1 / 62

Essentiel sikkerhed

Essentiel sikkerhed. Kim Mikkelsen Chief Security Advisor Microsoft. Agenda. Forretnings casen Disciplinen “Security Risk Management” Forsvar i dybden (Defense in Depth) Reaktionsmønstre og “Security Incident” Best Practices Patch Management værktøjer og praksis. Derfor bekymrer vi os?.

fola
Download Presentation

Essentiel sikkerhed

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Essentiel sikkerhed Kim Mikkelsen Chief Security Advisor Microsoft

  2. Agenda • Forretnings casen • Disciplinen “Security Risk Management” • Forsvar i dybden (Defense in Depth) • Reaktionsmønstre og “Security Incident” • Best Practices • Patch Management værktøjer og praksis

  3. Derfor bekymrer vi os? I 1953 blev en særdeles aktiv bankrøver ved navn Willie Sutton fanget. Adspurgt af en journalist hvorfor han havde røvet alle bankerne var hans kontante svar: “Fordi det er dér pengene er!” • Der er meget værdi i elektronisk form • Værdi og risiko vil altid hænge uløseligt sammen! • Internettet giver to grundlæggende aktiver for en kriminel • Mobilitet • Anonymitet • Sikkerhed er svært fordi • Angriberen har mange ressourcer og skal kun have succes én gang • Forsvareren er begrænset af samtidig at skulle håndhæve etik og love, samt levere nogle forretningsmål • Forsvareren skal vinde … altid

  4. Udvikling: Hvad tages for givet? Ford Taunus 15M. 1970 Ford Mondeo 2,0. 2004 145 HK, Topfart 215 Km/t Benzin Blyfri Oktan 95 3 punkts rulleseler + både for og bag 2 kreds bremser, ABS Bremse assistent Antiudskridningssystem (ESP) Laminerede ruder Airbags, både puder og gardiner Sikkerheds-ratstamme Forstærkninger i døre Deformerbare sikkerheds zoner Nakkestøtter 82 HK, Topfart 150 Km/t Benzin Blyholdig Oktan 98 3 punkts faste seler på forsæde 2 kreds bremser Lamineret forrude

  5. Windows Server 2003 Windows NT 3.51 Windows 2000 Server Windows NT 4.0 Udvikling: Internettets bagsideCERT rapporterede sårbarheder 1995-2002

  6. Men er der grund til bekymring? • Analyse i 2003 foretaget af Computer Security Institute: • 90% af de undersøgte virksomheder havde oplevet et brud i sikkerheden bredt funderet • 40% fangede personer der var trængt igennem sikkerhedssystemet –  fra 25% i 2002 • Prisen ved at implementere måling af sikkerhed er ikke triviel, men det er en brøkdel af prisen for at udbedre skaden når der opleves et brud på sikkerheden Kilde: Computer Security Institute (CSI) Computer Crime and Security Survey 2003

  7. ”Den grundlæggende sikkerhedslov” • Hvis en person kan overtale dig til at køre hans program på din PC, så er det ikke din PC længere • Hvis en person kan ændre på operativsystemet på din PC, så er det ikke din PC længere • Hvis en person har ubegrænset fysisk adgang til din PC, så er det ikke din PC længere • Hvis du tillader en person at uploade programkode til dit website, så er det ikke dit website længere • Dårlige passwords vil altid besejre stærk sikkerhed • En PC er aldrig mere sikker end administratoren er til at stole på • Krypterede data er aldrig sikrere end krypteringsnøglen • En ikke opdateret virusscanner er kun marginalt bedre end ingen virusscanner overhovedet • Absolut anonymitet er ikke praktisk, hverken i det virkelige liv eller på Nettet • Teknologi er ikke altid et universelt redskab for alting

  8. Agenda • Forretnings casen • Disciplinen “Security Risk Management” • Forsvar i dybden (Defense in Depth) • Reaktionsmønstre og “Security Incident” • Best Practices • Patch Management værktøjer og praksis

  9. God dybdegående guide: Microsoft Solutions Guide for Securing Windows 2000 Security Risk Management og associerede processer • Analyse- og vurderingsfase • Vurdering og værdifastsættelse af aktiver • Identificér sikkerheds risici • Analysér og prioritér sikkerhedsrisici • Kend din fjende! • Risiko sporing- og planlægningspolitikker • Udviklings- og implementeringsfase • Teknikker til udbedring af risiko • Test • Opsamling/indhentnng af viden om sikkerhed • Driftsfase • Revurdering af aktiver og sikkerheds risiko (fx. via penetreringstests) • Optimering og udrulning af nye eller ændrede modtræk

  10. Analyse- og vurderingsfasen • Vurderingsfase • Vurdering og værdifastsættelse af aktiver • Identificér sikkerheds risici • Analysér og prioritér sikkerhedsrisici • Kend din fjende! • Risiko sporing- og planlægningspolitikker • Udviklings- og implementeringsfase • Teknikker til udbedring af risiko • Test • Opsamling/indhentning af viden om sikkerhed • Driftsfase • Revurdering af aktiver og sikkerheds risiko (fx. via penetreringstests) • Optimering og udrulning af nye eller ændrede modtræk

  11. 1. Eksempel på vurdering og værdifastsættelse Prioritering af aktiver (Skala fra 1 til 10) 1. Server leverer grundlæggende funktionalitet, men har ingen finansiel effekt på forretningen 3. Server har vigtig information, men data kan hurtigt og nemt reetableres 5. Server indeholder vigtige data, der vil tage noget tid at reetablere (2-5 timer) 8. Server indeholder information der er væsentlig i relation til virksomhedens forretningsmål. Tabet af udstyr/service vil have stor effekt for alle brugere 10.Server har en central betydning for virksomhedens forretning. Tabet af udstyr og data vil have direkte effekt på virksomhedens evne til at agere på markedet.

  12. 2. Identificér sikkerheds-truslerne …Om lidt ser vi på hvem der bruger ‘værktøjerne’

  13. National interesse Personlig gevinst Se hvad jeg kan Nysgerrig 2. Kend din fjende Spion Tyv Trespasser Vandal ‘Forfatter’ Hobby-Hacker Script-Kiddie Ekspert Specialist

  14. National Interesse Personlig gevinst Se hvad jeg kan Nysgerrig …og de er hurtigere og bedreDays of risk Største beløb anvendt Spion Største tab i dkk. Hurtigst voksende segment Tyv Trespasser Største område i volumen Vandal ‘Forfatter’ Hobby-Hacker Script-Kiddie Ekspert Specialist

  15. 3. Analyse og prioritering af sikkerhedsrisiciDREAD anvender en 1-10 skalering på fem områder • Damage • Reproducibility • Exploitability • Affected Users • Discoverability Sårbarhed = (Prioritet af aktiv*trusselsrangering)

  16. 3. Sporing og planlægning af sikkerheds risiko aktiviteter

  17. Udviklings- og implementeringsfasen • Vurderingsfase • Vurdering og værdifastsættelse af aktiver • Identificér sikkerheds risici • Analysér og prioritér sikkerhedsrisici • Kend din fjende! • Risiko sporing- og planlægningspolitikker • Udviklings- og implementeringsfase • Teknikker til udbedring af risiko • Test • Opsamling/indhentning af viden om sikkerhed • Driftsfase • Revurdering af aktiver og sikkerheds risiko (fx. via penetreringstests) • Optimering og udrulning af nye eller ændrede modtræk

  18. Configuration management Patch management System monitoring System auditing Operational policies Operational procedures Udviklings- og implementeringsfasenUdbedring af risiko bør inkludere følgende generelle disciplinier

  19. Driftsfasen • Vurderingsfase • Vurdering og værdifastsættelse af aktiver • Identificér sikkerheds risici • Analysér og prioritér sikkerhedsrisici • Kend din fjende! • Risiko sporing- og planlægningspolitikker • Udviklings- og implementeringsfase • Teknikker til udbedring af risiko • Test • Opsamling/indhentning af viden om sikkerhed • Driftsfase • Revurdering af aktiver og sikkerheds risiko (fx. via penetreringstests) • Optimering og udrulning af nye eller ændrede modtræk

  20. Produktion LAN Testing Lab Internet Services Driftsfasen udvikles konstantRevurdér aktiver og risiko • Nye og ændrede aktiver og sikkerheds risici • Nye og ændrede modtræk og afledte policies Fx. ny ISP

  21. Agenda • Forretnings casen • Disciplinen “Security Risk Management” • Forsvar i dybden (Defense in Depth) • Reaktionsmønstre og “Security Incident” • Best Practices • Patch Management værktøjer og praksis

  22. En ramme for at tilgå sikkerhed • Defense in Depth anvender en lagdelt tilgang • Evnen til at identificere en angriber øges • Angribers chance for succes reduceres implicit Defense in depth antager at forrige lag fejler Politikker, procedurer og årvågenhed Fysisk sikkerhed ACL, kryptering Data Applikation Hardening af applikation, antivirus Hardening af OS, patch management, validering, HIDS Host Interne netværk Netværkssegmenter, IPSec, NIDS Firewalls, VPN karantæne Perimeter netværk Vagter, låse, tracking enheder Bruger uddannelse

  23. Defense in depth Politikker, procedurer og årvågenhed Fysisk sikkerhed Data Application Host Internal Network Perimeter

  24. Politikker, procedurer og årvågenhed Jeg skal bruge en firewall. Mine mulige porte er… Jeg har sat en kile ved døren for at få lidt bedre udluftning til serverrummet De har blokeret mit favorit site. Jeg bruger et modem istedet Jeg tror jeg vil bruge mit logon navn som password

  25. Politikker, procedurer og årvågenhed Du makker,jeg skal også konfigurere min firewall, hvilke porte skal vi åbne? Ved du egentlig hvor server-rummet er henne? Hey, tjekket modem. Er nummeret til linien dit eget? Jeg kan ikke rigtig finde på et godt password. Hvad bruger du?

  26. Politikker, procedurer og årvågenhedTræning er vigtigt mht. at understøtte sikkerhedspolitikker • Sikkerhedspolitikker for en virksomhed bør dække • Hvad ‘acceptabel anvendelse’ er • Remote Access • Beskyttelse af information • Data backup • Perimeter sikkerhed • Et baseline niveau for host og enheds sikkerhed • En god politik bør være formuleret således, at den kan bruges bredt og anvendes specifikt af IT mht. implementering • Godt sted at hente inspiration er www.sans.org og www.iss.net Konfiguration og procedure for firewalls Sikkerheds-policy for fysisk adgang Forespørgsel på enheder Guidelines for passwords

  27. Defense in depth Politikker, procedurer og årvågenhed Fysisk sikkerhed Data Application Host Internal Network Perimeter

  28. Beskrivelse af Fysisk lag

  29. Beskadige hardware Se, ændre eller fjerne filer Fjernelse af hardware Installation af ondsindet kode Mulig kompromitteringUniversal lov nr. 3

  30. Beskyttelse af Fysisk lag Døre med lås og alarmer Sikkerhedspersonale Adgangsprocedurer Overvågning af adgang til bygning Begræns brugen af data (input) enheder Anvend remote access værktøjer

  31. Defense in depth Politikker, procedurer og årvågenhed Fysisk sikkerhed Data Application Host Internal Network Perimeter

  32. Forretnings partner Hovedkontor LAN LAN Internet Services Internet Services Regionalt kontor Remote User Trådløst netværk LAN Beskrivelse af Perimeter lag Internet Perimeter netværk inkluderer adgang til: • Internettet • Regionale kontorer • Forretningspartnere • Remote users • Trådløse netværk • Internet applikationer

  33. Forretnings partner Hovedkontor LAN LAN Internet Internet Services Internet Services Regionalt kontor Remote User Trådløst netværk LAN Mulig kompromitteringPas på Helms Deep paradokset Perimeter netværk kompromittering kan betyde: • Angreb på corp netværk • Angreb på remote users • Angreb via forretningspartnere • Angreb via regionalt kontor • Angreb på Internet services • Angreb via Internet

  34. Forretningspartner Hovedkontor LAN LAN Internet Internet Services Internet Services Perimeter beskyttelse inkluderer følgende: Regionalt kontor • Firewalls • Blokering af kommunikations porte • Port og IP addresse oversættelse • VPN netværk • Brug tunnel protokoller (PPTP, L2TP) • VPN karantæne Remote User Trådløst netværk LAN Beskyttelse af Perimeter lag

  35. Defense in depth Politikker, procedurer og årvågenhed Fysisk sikkerhed Data Application Host Internal Network Perimeter

  36. Beskrivelse af intern Network lag Salg Marketing Trådløst netværk Human Resources Finans

  37. Kompromittering af intern Network lag Ikke autoriseret adgang til systemer Ikke forventede kommunikations porte Ikke autoriseret adgang til trådløse netværk Sniffing af pakker på netværk Adgang til alle netværk

  38. Beskyttelse af intern Network inkluderer Brug gensidig/to-faktor validering (eks.: Kerberos, certifikater, SmartCards, Bio) Lav netværks segmenter (VLAN’s) Kryptér netværks kommunikation (IPSec) Blokér kommunikationsporte Kontrollér adgang til netværksenheder (802.1X) Signér netværks pakker

  39. Defense in depth Politikker, procedurer og årvågenhed Fysisk sikkerhed Data Application Host Internal Network Perimeter

  40. Beskrivelse af Host lagHost dækker over både arbejdsstationer og servere • Specifik netværks rolle • Konfiguration af operativsystem

  41. Kompromittering af Host lag Ikke sikret konfiguration af operativsystem Adgang ikke monitoreret Udnyttelse af svagheder i OS Distribution af vira

  42. Beskyttelse af Host lag Brug gensidig/to-faktor validering Hardening af operativ system Installér sikkerhedsopdateringer Anvendelse af auditing Slå unødvendige services fra Installér og vedligehold antivirus software

  43. Defense in depth Politikker, procedurer og årvågenhed Fysisk sikkerhed Data Application Host Internal Network Perimeter

  44. Beskrivelse af Application lag • Sikkerheds problemer specifikke til applikationen • Samtidig opretholdelse af funktionalitet Server applikationer (for eksempel, Exchange Server eller SQL Server) Applikationer der opretter og tilgår data

  45. Mulig kompromittering • Nedetid på specifikke applikation/service • Eksekvering af ondsindet kode • Ekstrem anvendelse af applikation • Ikke ønsket anvendelse af applikation

  46. Anvend kun påkrævede services og funktionalitet Beskyttelse af Application lag Konfiguration af applikations sikkerhed Installation af sikkerhedsopdateringer Installation og opdatering af AV software Kør applikationer med minimerede priviligier

  47. Defense in depth Politikker, procedurer og årvågenhed Fysisk sikkerhed Data Application Host Internal Network Perimeter

  48. Dokumenter Filer Applikationer Beskrivelse af Data lag

  49. Kompromittering Forespørge filer Se eller ændre information Erstatte eller modificere applikations filer Documenter Filer applikationer

  50. Beskyttelse af Data lag Kryptér filer med EFS Begræns data med Access Control Lists Flyt filer fra standard placeringer Hav data backup og reetableringsplaner Beskyt dokumenter og e-mails med Rights Management Service teknologier

More Related