Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging [email protected] V-ICT-OR Vlaamse ICT organisatie Ons overkomt dit niet… • ….of toch? • Inschatting Risico Kans • Zijn wij een doelwit? • Zijn we goed beveiligd? •? •? X Schade • Imagoschade • Financiële schade • Operationele schade •… Eenvoudiger is er vanuit gaan dat je interessant bent! Piramide van cyber-dreigingen Bron: Kaspersky Lab ‘The Critical Security Controls for Effective Cyber Defense’ Wat? • 2008- Vraag van MOD (VS) aan NSA om prioriteitenlijst op te stellen met doeltreffende controlepunten • Aanbevolen reeks acties voor cyber verdediging • Samenwerking NSA-Sans-security experts • Moeder document NIST SP 800-53 (National Institute of standards) • Wereldwijd in gebruik volgens SANS 73% past toe of is het van plan – slechts 10% volledig Geen vervanging maar een aanvulling voor bestaande security normen!!! ‘The Critical Security Controls for Effective Cyber Defense’ Doelstellingen • De aanval moet de verdediging informeren • Prioritering • Gezamenlijke Indicatoren (voor IT professionals – auditors - ….) • Permanente diagnose • Automatisering ‘The Critical Security Controls for Effective Cyber Defense’ Controlepunten 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. Inventaris van geautoriseerde en niet-geautoriseerde apparaten Inventaris van geautoriseerde en niet-geautoriseerde software Veilige configuratie voor hard- en software op mobiele apparaten, laptop’ s, werkstations Permanente kwetsbaarheidscontroles en sanering Beveiliging tegen malware Toepassingsbeveiliging Toegangscontrole voor draadloze systemen Data herstelmogelijkheden Assessment van de kennis van beveiliging en aangepaste training om de leemten op te vullen Veilige configuratie voor netwerk apparaten als firewalls, routers en switches Beperking en controle van de gebruikte poorten, protocollen en diensten op het netwerk Gecontroleerd gebruik van administrator rechten Bescherming van de netwerkgrenzen Onderhoud, bewaking en analyse van de audit logboeken Gecontroleerde toegangscontrole gebaseerd op het ‘need to know principe’ Bewaking en controle van de accounts Data bescherming Incidentbeheer Veilige netwerk engineering Penetratietesten en rode team oefeningen Structuur controlepunten • Waarom? – Het belang – Hoe wordt deze kwetsbaarheid gebruikt? Tip: gebruik deze gegevens om te overtuigen (awareness) • Hoe implementeren? – Actiepunten om deze maatregel in te voeren • Procedures en tools – Procedures en software voor de automatisering van dit punt • (Meet)Indicatoren • Testen – Werkwijze om deze maatregel te testen • Diagram – Grafische weergaven van de implementatie componenten De 5 Quick Wins • • • • • Whitelisting toepassing (CSC 2); Gebruik van standaard, veilig systeem configuraties (CSC3); Patch software binnen 48 uur (in CSC4); Patch systeemsoftware binnen 48 uur (CSC4); Verminder aantal gebruikers met beheerdersrechten (CSC3CSC 12). Voorbeeld: Quick win 1 Whitelisting toepassingen • Waarom? – Aanvallers zoeken permanent naar kwetsbare software – Zonder kennis van bestaande toepassingen – geen kennis van kwetsbaarheden • Hoe implementeren? – Gebruik whitelisting technologie – Maak een lijst met toegestane software en versienummers • Procedures en tools – Endpoint security systems – IDS-IPS systemen (Zie ook http://www.sans.org/critical-security-controls/vendor-solutions/) Voorbeeld: Quick win 1 (vervolg) Whitelisting toepassingen • Indicatoren – Hoe lang duurt detectie van nieuwe software? – Kunnen de scanners ook meer details geven zoals locatie, kwetsbaarheden? • Testen – Installeer niet-geautoriseerde software op x-pc’s – test gelukt indien alert > 24h Voorbeeld: Quick win 1 (vervolg) Whitelisting toepassingen • Diagram Tips • Bespreek de 5 Quick Wins met de veiligheidsconsulent • De CSC’s schetsen de ideale wereld – durf compromissen sluiten • Zorg voor de nodige expertise • Overweeg externe hosting indien beter beveiligd Vragen? [email protected]