Draware

Tænk som de cyber kriminelle og kom et skridt foran

Sikkerhedsansvarlige tænker i lister. Cyber kriminelle tænker i diagrammer. Så længe, det er sådan, vinder de cyber kriminelle.

 

De sikkerhedsansvarliges tankegang

Mange af de tiltag, en virksomhed tager for at forsvare netværket, fejler allerede inden et angreb begynder, fordi de sikkerhedsansvarlige betragter ”slagmarken” på en bestemt måde. De fleste sikkerhedsansvarlige fokuserer på at beskytte deres aktiver, prioritere dem og sortere dem i forhold til arbejdsbyrde og forretningsmæssig funktion.

De sikkerhedsansvarlige drukner i lister over aktiver – i system management services, i inventory databaser over aktiver, i regneark. Der er bare et problem med alt dette. De cyber kriminelle har ikke en liste over aktiver – de har et diagram. Aktiver er forbundet med hinanden sikkerhedsmæssigt. De kriminelle bryder ind i et netværk ved at gå ind et tilfældigt sted i diagrammet og benytte en teknik som fx spearphishing og derefter hacke og finde sårbare systemer ved at navigere rundt i diagrammet. Og hvem laver diagrammet? Det gør du.

 

Hvad er et diagram?

Diagrammet i dit netværk er det sæt af sikkerhedsmæssige afhængighedsforhold, der skaber ækvivalens blandt dine aktiver. Designet i dit netværk, administrationen af dit netværk, den software og de services, der benyttes i dit netværk og brugernes adfærd på dit netværk påvirker alt sammen diagrammet.

Tag fx en domain controller. Peter administrerer DC’en fra en arbejdsstation. Hvis denne arbejdsstation ikke er beskyttet i lige så høj grad som domain controlleren, kan DC’en blive kompromitteret. Enhver anden konto, der er en admin på Peters arbejdsstation, kan kompromittere Peter og domain controlleren. Alle disse admins logger på en eller flere andre maskiner som en del af de almindelige arbejdsprocesser. Hvis cyber kriminielle kompromitterer bare en enkelt af dem, har de en vej ind til at kompromittere domain controlleren.

 

”Six Degrees of Separation”

Teorien om Six Degrees of Separation går ud på, at der kun er seks led mellem dig og ethvert andet menneske i verden.

Cyber kriminelle kan ligge og vente på en kompromitteret maskine og bruge en password dumper som fx Mimikatz, indtil en værdifuld konto logger på maskinen. Lad os se os et eksempel på et diagram:

 

Figur 1: Eksempel på et netværks login diagram

 

Gruppen af punkter til venstre er en enkelt terminal server, der benyttes af hundrede vis af brugere. Hvis cyber kriminelle kompromitterer denne maskine, kan der med tiden dumpes credentials på mange brugere.  

 

 

Figur 2 A: Kompromitteret terminal server kan give mange credentials

 

Hvordan kan de cyber kriminelle komme sidelæns hen til et værdifuldt aktiv?

 

Figur 3: En angrebslinje fra en kompromitteret terminal server til et værdifuldt aktiv

 

Gennem søgning i diagrammet opdager de cyber kriminelle flere veje til det værdifulde aktiv. Hvis de kompromitterer terminal serveren, kan de også kompromittere Bruger46 og Bruger128. Disse brugere er hhv. administratorer på Maskine2821 og Maskine115. Ved at kompromittere disse arbejdsstationer, kan de cyber kriminelle kompromittere Bruger1 og Bruger34, som begge administratorer på det værdifulde aktiv. Hvis det værdifulde aktiv skal være beskyttet, må alle de afhængige elementer være beskyttet i lige så høj grad som det værdifulde aktiv – og dermed være ækvivalente inden for den gruppe.

 

Sikkerhedsafhængigheder

Når en bruger udfører login af en bestemt type (interaktive, på terminal servere osv.) på et Windows netværk, bliver disse bruger credentials (og single-sign-on ækvivalenter som fx et Kerberos TGT eller NTLM hash) sårbare over for tyveri, hvis den underliggende host bliver kompromitteret. Herudover er der mange andre slags forbindelser, der skaber sikkerhedsafhængigheder:

  • Lokale admin konti med et fælles password. Kompromittér et system, dump det lokale admin password og brug det password på andre hosts med det samme password.
  • Filservere, der indeholder login scripts, der kører for mange brugere og servere, der opdaterer software.
  • Print servere, der leverer print drivere til klient maskiner.
  • Myndigheder, der udsteder certifikater til smart card logins.
  • Database administratorer, der kan køre kode under kontekst af en database server, der kører som en privilegeret bruger.

Og så videre. Der er også indirekte forbindelser. En maskine, der har en sårbarhed, kan blive kompromitteret og pludselig tillade cyber kriminelle at oprette nye forbindelser i diagrammet. Eller brugere kan have en konto på to upålidelige domæner med et password, som skaber en skjult forbindelse mellem domæner.

 

Administrér dit diagram

Hvad kan du gøre for at forsvare dit netværk? Det første trin er at visualisere dit netværk ved at lave dine lister om til diagrammer. Dernæst kan du implementere kontroller, der luger ud i diagrammet:

Undersøg, om der er uønskede forbindelser, der kan give store brud i forbindelserne.
Implementér infrastruktur partitionering og credentials siloer, der reducerer dem.

  • Reducér antallet af administratorer. Benyt Just-In-Time / Just Enough teknikker til at minimere privilegier.
  • Brug to faktor godkendelser til at begrænse visse krydsninger mellem forbindelser.
  • Benyt en sikker credential rotation hvis en brugerkonto bliver kompromitteret.
  • Gentænk ”forest trust relationships”.
  • Lær at opdage, når nogen tænker i lister

Sikkerhedsansvarlige skal sikre sig, at cyber kriminelle ikke er forud for dem, når de visualiserer ”slagmarken”. I denne konkurrence kan de sikkerhedsansvarlige faktisk have en fordel. De har allerede adgang til alle informationer om deres eget netværk, hvor de cyber kriminelle er nødt til at studere netværket bid for bid.

Sikkerhedsansvarlige kan lære noget af, hvordan hackerne forstår diagrammet. De studerer infrastrukturen som den er – ikke som en upræcis intellektuel model set fra et ufuldstændigt inventory system over aktiver eller et forældet netværksdiagram. Administrér ud fra virkeligheden, for det er den tankegang, en forberedt sikkerhedsansvarlig bør have.

 

Oversat fra artikel i Microsoft TechNet af John Lambert (MSTIC)), april 2015

 

Se flere nyheder i vores NYHEDSARKIV.

Ny betænkning fra Justitsministeriet om GDPR

Ny betænkning fra Justitsministeriet om Databeskyttelsesforordningen

Den 24. maj kom betænkningen (nr. 1565) fra Justitsministeriet om Databeskyttelsesforordningen i form at 1.100+ sider, der omhandler oplægget til det danske lovforslag som skal erstatte den eksisterende persondatalov. Dette lovforslag forventes fremsat i folketinget til efteråret.

Du kan finde mere om dette forslag på følgende link: samt hente betænkningens to bind på:

Bind 1, del 1: http://justitsministeriet.dk/sites/default/files/media/Pressemeddelelser/pdf/2017/betaenkning_nr._1565_del_i_bind_1.pdf

Bind 1, del 2: http://justitsministeriet.dk/sites/default/files/media/Pressemeddelelser/pdf/2017/betaenkning_nr._1565_del_i_bind_2.pdf

Der kommer desuden vejledninger til en række specifikke emner i den nye forordning som du kan ser her   

Vi koncentrerer os i denne artikel mest om A32 – Behandlingssikkerhed og A33-34 – Notifikationspligten. Vejledningerne til disse punkter forventes at udkomme i december 2017 (A32) og januar 2018 (A33-34).

Det er som sædvanligt småt med detaljer om praktiske tiltag hvad angår A32-34, men følgende kan uddrages af betænkningen:

  • Behandlingssikkerheden bør hvile på principperne i ISO27001 som alle statslige myndigheder skal følge og alle offentlige myndigheder bør følge. (Her henviser vi til ISO27002 og til CIS 20 Critical Security Controls. Det er vigtigt at få foretaget en GAP analyse for at finde ud af hvor langt din organisation er fra disse standarder og hvad der skal gøre for at leve op til kontrollerne i ISO27002 og/eller 20 CSC).
  • Det anbefales at støtte sig til ISO 29134 Privacy Impact Assessment. (Vi kan anbefale at du kigger på PIA på www.nymity.com)
  • Behandlingssikkerhed A32 stykke 1, litra D: A32, stykke 1, Litra d: Det sigtes hermed til f.eks. med jævne mellemrum at teste/afprøve, vurdere og evaluere - alt afhængigt af om det er relevant - firewalls, krypterede forbindelser, krypterede lagringer, foranstaltninger imod forsøg på overbelastnings-angreb (DDos), foranstaltninger imod forsøg på at gætte adgangsgivende faktorer (Brute force), adgangskontrol, brugeradministrationsprocessen og meget andet (ISO27001 A.17.1.1-17.1.3)

 

Behandlingssikkerhed bør omfatte nogle eller alle af følgende elementer:

  • Fysisk sikkerhed
  • Organisatoriske forhold
  • Systemtekniske forhold
  • Uddannelse og instruktion (Fx.Wombat Security for uddannelse af brugerne og awareness træning. Se mere på www.draware.dk)
  • Sikring af bygninger og lokaler
  • Formel autorisation af brugerne
  • Adgangskoder (Her anbefaler vi ManageEngine Password Manager Pro. Se mere på www.draware.dk)
  • Benyttelsesstatistik
  • Transaktionslogning (Her anbefaler vi et log management system som fx Correlog eller EventTracker. Se mere på www.draware.dk)
  • Registrering af uautoriserede adgangsforsøg (se bemærkning ovenfor)
  • Kryptering
  • Regler for udskrifter
  • Regler for destruktion
  • Uddannelse samt tilsyn

 

Der henvises til Justitsministeriets sikkerheds-bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger (https://www.retsinformation.dk/forms/r0710.aspx?id=842) og Datatilsynets vejledning nr. 37 af 2. april 2001 (https://www.retsinformation.dk/Forms/R0710.aspx?id=1002). Desuden henvises til "Cyberforsvar der virker" offentliggjort via digitaliseringsstyrelse og center for cyber sikkerhed hos forsvarets efterretningstjeneste opdateret i januar 2017 (https://www.digst.dk/Informationssikkerhed/Cyber-og-informationssikkerhed/Cyberforsvar-der-virker).

Meget af dette materiale er jo ret gammelt så vi anbefaler at følge vejledningen på Center for Internet Security (20 Critical Security Controls – www.cisecurity.org) og holde sig orienteret ved at søge på Google og finde ”Mandiant M-Trends”, ”Verizon Databreach Investigations” samt NIST ” Framework for Improving Critical Infrastructure Cybersecurity”

Notifikationspligten er nærmere omtalt på side 490 i betænkningen og her er det vigtigt at pointere at der sigtes til en 2-dels oplysningspligt:

  • Den første er en ”straks oplysning” der skal indgives så snart det er blevet bekræftet at der virkelig er tale om en sikkerhedsbrist som involverer personfølsomme data
  • Og den anden som SENEST skal indgives 72 timers efter bristen er opdaget og indeholde følgende detaljer:
  • Databristens karakter
  • Hvilke og hvor mange personfølsomme data er berørt
  • Hvilke konsekvenser har databristen for datasubjektet
  • Hvad har organisationen gjort/vil gøre for at mindske skadevirkningerne af databristen for datasubjektet
  • Hvad har organisationen gjort/vil gøre for at forhindre at denne databrist sker igen
  • Indberetning skal ske til Erhvervsstyrelsen via www.virk.dk
    • Kendelse: https://vimeo.com/185130265
    • Teknisk forsvar: https://vimeo.com/185129438
    • Leverandør: https://vimeo.com/185129439
    • Beredskab: https://vimeo.com/185129437
    • Medarbejder: https://vimeo.com/185129436
  • Eksempler på brud på persondatasikkerheden nævnes på side 493
  • Definitionen på om der er sket en sikkerhedsbrist listes på side 494

Notifikationspligten direkte mod datasubjektet (A34 stykke 2) skal indeholde:

  • Navn og kontaktoplysninger for DPO eller et andet kontaktpunkt
  • Beskrivelse af de sandsynlige konsekvenser bruddet på persondatasikkerheden
  • Beskrivelse af de foranstaltninger som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondata sikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse mulige skadevirkninger

 

Nyt GDPR undervisningsmodul fra Wombat Security

Wombat Security lancerer et GDPR (Databeskyttelsesforordningen) undervisningsmodul, der forbedrer medarbejdernes bevidsthed om sikker datahåndtering

Modulet er et interaktivt undervisningsmodul, der er designet til at fremme adfærdsændringer og gøre det nemmere at opnå compliance 

 

Maj 2017

Wombat Security Technologies (Wombat), som er en af verdens førende leverandører af programmer, der fremmer bevidstheden om og indeholder undervisning inden for cyber-sikkerhedsområdet, har netop lanceret deres seneste modul: GDPR: A Practical Overview (Et praktisk overblik), der er designet til at hjælpe organisationer med at undgå bøder og brud, der kan forhindres ved at forbedre medarbejdernes bevidsthed om de gennemgribende nye europæiske love om personfølsomme data. Modulet er oversat til dansk.

GDPR (General Data Protection Regulation)  - på dansk Databeskyttelsesforordningen - har været mange år undervejs og er en omfattende opdatering af de europæiske databeskyttelsesregler. GDPR er designet til at styrke beskyttelsen af individers privatliv og forbedre organisationers datahåndtering og sikkerhedspraksis. De nye regler har enorme konsekvenser, ikke bare for organisationer, der er placeret inden for EU, men for alle, der lagrer, behandler eller deler data, der vedrører europæiske borgere. Hvis man ikke overholder reglerne, kan man for private virksomheder imødese bøder på op til 4% af virksomhedens årlige omsætning eller 150 mollioner danske kroner, hvad der end er højest.

Fristen for at overholde de nye GDPR regler er sat til d. 25. maj 2018, men Gartner har advaret om, at mindst 50% af alle de virksomheder, der påvirkes af GDPR, ikke vil være fuldt ud i stand til at overholde lovgivningen i slutningen af 2018*.

Det er her, Wombat’s GDPR: A Practical Overview modul kommer ind. Det indeholder en interaktiv og effektiv måde at forbedre virksomhedens medarbejderes viden om datahåndtering og bevidsthed om den nye lovgivning.

I modsætning til mange andre undervisningsplatforme, der fx fokuserer på at fortælle den underviste, hvad han ikke skal gøre, benytter Wombat’s moduler de såkaldte Learning Science Principles, som kombinerer koncepter og procedurer, der hjælper brugerne med hurtigt at engagere sig og forstå formålet. Modulet er kontekstbaseret, leveres i små bidder af 5-15 minutter længde og giver øjeblikkelig feedback, så man opnår en blivende adfærdsændring.

Indholdet i Wombat GDPR modulet er udviklet med hjælp fra flere eksperter, herunder førende konsulenter i informationssikkerhed, BSI Cybersecurity og informationsrobusthed.

Modulet er desuden mobilvenligt og WCAG 2.0 AA kompatibelt, så alle brugere kan få adgang til det.

Joe Ferrara, der er President og CEO for Wombat Security, sagde for nyligt at: ” Verizon’s seneste undersøgelsesrapport om databrud viser, at der var næsten 2000 dokumenterede brud sidst år, herunder 20, hvor man mistede mere end en million registreringer. Organisationer og virksomheder er nødt til at forbedre deres datahåndtering og sikkerhed, før den nye europæiske persondataforordning træder i kraft”.

“Wombat’s GDPR: A Practical Overview undervisningsmodul gør de ansatte til det stærkeste aktiv i overholdelsen af GDPR. Dette sker ved en effektiv metode, der hjælper brugerne med at forstå GDPR gennem aktiv deltagelse i stedet for passiv indlæring. Der er kun et år til, at GDPR træder endeligt i kraft, så det er nu man som organisation skal være proaktiv for at kunne nå at overholde reglerne og reducere risikoen for databrud gennem en reel adfærdsændring blandt medarbejderne.

Undervisningsmodulet indeholder følgende nøgleområder:

  • Hvorfor blev GDPR udviklet af jurister?
  • Hvorfor har alle medarbejdere en rolle at spille i GDPR?
  • Hvordan GDPR klassificerer personlige data?
  • Hvilken type organisation gælder GDPR for?
  • Hvad forstår man ved et databrud?
  • Bøder hvis man ikke overholder reglerne (non-compliance)
  • Nye individuelle privatlivsrettigheder for individer hvad angår samtykke, adgang og sletning af data
  • De vigtigste retningslinjer ved datasikkerhed og -privatliv
  • En Data Protection Officer’s roller og ansvar
  • De fire vigtigste områder i forbindelse med at øge compliance og reducere risikoen:
  • - Ansvarlighed
  • - Sletning af data
  • - Opdagelse og rapportering af eksponering
  • - Data mapning

GDPR: A Practical Overview er blot et af mange undervisningsmoduler, medarbejderne bør gennemføre for at sikre, at de beskytter virksomhedens data”, udtaler Joe Ferrara fra Wombat.

*Gartner siger, at organisationer er uforberedte på den europæiske databeskyttelseslovgivning i 2018 http://www.gartner.com/newsroom/id/3701117

---

Om Wombat Security Technologies 

Wombat Security Technologies leverer informationssikkerhedsbevidstheds- og undervisnings-software, der hjælper organisationer med at lære deres medarbejdere, hvordan de udviser sikker adfærd.

Wombat’s SaaS-baserede undervisningsløsning til cyber-sikkerhed indeholder en platform med integrerede brede vurderinger såvel som et bibliotek over simulerede angreb og korte, interaktive træningsmoduler.

Wombat’s løsninger hjælper organisationer med at reducere succesfulde phishing og malware angreb med op til 90%. Wombat, som Gartner anerkender som førende i den såkaldte Magic Quadrant for undervisningsleverandører til computer-baseret træning af sikkerhedsbevidsthed, hjælper store Fortune 1000 og Global 2000 kunder i enterprisesegmenter som den finansielle sektor, banksektoren, energi- og teknologisektorerne, højere uddannelsesinstitutioner og detailbranchen med at styrke deres cybersikkerhedsforsvar.

Om Draware og Wombat

Draware er certificeret i Wombat’s løsninger og har med stor succes implementeret deres løsninger hos vores kunder. Vi har kun modtaget gode tilbagemeldinger. Kunderne fortæller, at de er glade for at arbejde med Wombat’s løsninger, som er meget brugervenlige og håndgribelige og samtidig virkelig gør en stor forskel for sikkerheden i deres organisationer.

Ring eller skriv til os, hvis du vil høre mere om løsningerne på Tlf. +45 45762021/info@draware.dk

 

Sikkerhedstendenser i 2017 - Et kig i krystalkuglen

I vores nye dokument om sikkerhedstendenser kan du læse om de vigtigste tendenser på IT Sikkerhedsfronten i 2017 samt om, hvordan du kan bruge Drawares omfattende kendskab til processer og løsninger til at sikre dig mod malware og forberede din virksomhed på at være ”compliant” med persondataforordningen, når den træder i kraft i maj 2018.

Læs mere