Strategi f

1
Hotbild och riskhantering i cyberrymden
sten.sorenson_at_aerotechtelub.se
2
sten.sörenson_at_aerotechtelub.se
ar-bolaget
Mandator
Security Dynamics Acquires DynaSoft
3
(No Transcript)
4
Cyberrymden - några karaktärsdrag

• Teknikutvecklingen tillsammans med
  CNN-effekten, suddar ut nivåerna Taktiskt -
  Operativt - Strategiskt

• Internet ger obegränsad access med ett minimum
  av spårbarhet

• Spridningen av hot och kapabla aktörer står i
  skarp konstrast till skyddande åtgärder
  (begränsade tillgångar på teknik och människor)

• Den moderna cyberrymden skiljer sig markant
  från etablerade och antika spelregler och lagar
  för försvar och brottsbekämpare.

• Ökade hot och sårbarheter är parallell med den
  ökade nyttan

• Samma teknik som möjliggör globala
  kommunikationer och affärer, möjliggör även
  omfattande massförstörelse och massiva störningar.

• Osynligheten hos cyberrelaterade hot i
  kombination med det ömsesidiga beroendet mellan
  stat och näringsliv av samma system, suddar ut
  skiljelinjen mellan statlig och privat sektor.

5
Infosäkerhet tillväxtfaktorer

• Mobiler av olika slag - radiolan
• Distribuerad datalagring
• Globalisering och affärslösningar
• 24 timmars myndigheter
• Intelligenta hushåll
• Nya lagar för digitala signaturer
• Frihet för kryptoexport

6
IT säkerhet trender

• Trådlöst
• WLAN, DECT, Bluetooth, GSM, Mobitex
• Biometri
• I kombination med med andra teknologier
• Computer Forensics
• Behov av att obducera IT-system, Krypterad
  e-post eller HD, steganografi, PLDer, mobiltfn,
  IC-/bank-/SIM-kort.
• Resursbrist

7
Personligt nätverk låg kostnad
Bluetooth
HiperLAN/2
8
2002 CSI/FBI Computer Crime and Security Survey
(släpptes 8 april)
7e året i rad, årets upplaga bygger på 503
respondenter inom IT-säkehet bland amerikanska
bolag, myndigheter, finansiella och medicinska
institutioner samt universitet.
90 (främst stora företag och myndigheter)
upptäckte IT-säkerhetsrelaterade incidenter. 44
kunde/ville kvantifiera därav uppstådda
kostnader. 41 respondenter kunde/ville
kvantifiera kostnaderna för informationsstölde
r Högsta förlusten 50 miljoner dollar, den
genomsnittsliga förlusten drygt 4 miljoner dollar.
9
2002 CSI/FBI Computer Crime and Security Survey
Varför denna exceptionella ökning i uppskattade
förluster?

• Angriparen vet mer om vad som är värdefullt och
  har allt bättre metodik- och teknikstöd.
• Den angripne har fått ökade insikter i att
  information har ett värde och att själva
  värderingen har ökat.

Ett exempel Juli 2001 - domstolen i Santa Clara
County, USA dömde mjukvaruföretaget Avant att
betala 182 miljoner dollar i kompensation till
konkurrenten Cadence, eftersom Avant- personal
funnits skyldiga till stöld av källkoder från
Cadence.
10
2002 CSI/FBI Computer Crime and Security Survey
74 uppgav Internetanslutningen som frekvent
attackmål 34 uppgav även interna system som
frekvent attackmål
Trots att 89 hade brandväggar och 60 IDS,
kunde 40 rapportera systempenetration från
utsidan. Trots att 90 använde
anti-virusprogram, blev 85 smittade med virus,
maskar etc. 1/3 rapporterade olika
IT-relaterade intrång till polisen, vilket är en
uppåtgående trend, polisens tjänster är ju
gratis...
11
Politiska/fysiska konflikter kopplat till
cyberattacker

• En amerikansk rapport (sommaren 2001)
  studerade konflikterna mellan
• Pakistan/Indien, Israel/Palestina, NATO/Serbien
  (Kosovo) och Kina/USA (spionplanskraschen)

• Cyberattacker följer på fysiska attacker

• Politiskt motiverade cyberattacker ökar i volym,
  blir allt mer sofistikerade och koordinerade

• Cyberattacker inriktar sig mot kvalificerade mål

12
www.alldas.de
13
(No Transcript)
14
(No Transcript)
15
(No Transcript)
16
(No Transcript)
17
Exempel på attacker

• Citibank (1994)
• Hackergrupp ledda av Vladimir Levin bröt sig in i
  bankens system och överförde gt10 miljoner till
  egna konton
• Solar Sunrise (1998)
• Pentagon och MIT attackerades i en välorganiserad
  attack. Två ungdomar från Kalifornien handledda
  avAnalyzer stod bakom attacken.
• e-Jihad (2000-2002)
• Palestinska och israeliska hackers anfaller mål
  bl.a. Bank of Israel, Tel Aviv Exchange Market,
  Palestinska myndigheten.

18
Exempel på attacker (forts)

• Emulex, augusti 2000

• En pressrelease som gav sken att komma från
  Internet Wire Inc Emulex med svåra finansiella
  problem och under utredning av SEC!
• Emulex börskurs föll 60 , motsvarande 2
  miljarder dollar.
• Jakobs tjänade 250.000 dollar på terminsaffärer.
  

• World Economic Forum, Davos, februari 2001

• The theft of the data represented good
  sabotage aimed at attacking the powerful and
  those in power and at disturbing the operation
  of this welloiled machine.
• Virtual Monkeywrench (Hackergrupp, 4 personer)

19
Exempel på attacker (forts)

• Attack mot bank sändes i tysk TV - september
  2001
• TV-kanalen ARDs program Ratgeber Technik,
  visade
• Hur hackers bryter sig in i HypoVereinsbank
  (München)

• ARD är polisanmäld av banken.
• ARDs inställning är att undersökande journalism
  skyddas av tysk lag om det är i allmänhetens
  intresse.

• Hackarna såg det som ett sätt att marknadsföra
  det egna företaget Multimedia Network Systems.

20
Exempel på attacker (forts)

• I november 2001 dömdes två tjänstemän vid Cisco
  Systems till vardera tre års fängelse.
• De hade brutit sig in i företagets interna
  system och tillförskansat sig en avsevärt bättre
  tilldelning ur företagets optionsplan
• Det sammanlagda värdet för Cisco var 8 miljoner
  dollar.
• De blev ålagda att betala skillnaden mellan 7,8
  miljoner dollar i stulna aktier och det
  beslagtagna värdet på 5 miljoner dollar i form av
  juveler, bilar och lyxvaror som de köpt på sig
  efter att ha löst ut de flesta aktierna.

21
Exempel på attacker (forts)

• I februari 2002 framkom att den japanska
  rymd-myndigheten (NASDA) blev hackad
• En anställd vid NEC Toshiba Space Systems hade
  i december tillskapat sig access till NASDAs
  interna system och därigenom tagit del av hemlig
  information från en konkurrent (Mitsubishi
  Electric).
• NASDA förbjöd NEC Toshiba Space Systems att
  delta i en budgivning under en månad och krävde
  en intern förflyttning av den för NASDA
  oidentifierade anställde.
• De båda företagen tillsammans med NASDA är
  involverade i ett gemensamt projekt för
  utveckling av en supersnabb Internetsatellit,
  planerad för rymdsättning 2005.

22
Incidents "attempts, either failed or
successful, to gain unauthorized access to a
system or its data."
23
Cyberhot - Grundläggande komponenter

• Snabba hotbildsförändringar
• Teknikutvecklingen går mycket snabbt och är
  tämligen oförutsägbar
• Förmåga kan stjälas, lånas eller köpas
• Mobilisering via nätverk

• Sårbarhetsrelaterat hot
• Varje ny identifierad sårbarhet ger potentiella
  angripare ett nytt tillfälle

Dolda attacker
Osäkra ursprungskällor

• Komplexiteten i nätverken
• Ökar snabbare än förmågan att identifiera
  kritiska noder och verifiera säkerheten

24
Cyberattacker - trenderCERT/CC april 2002

• 1. Automatisering - verktyg får ökad hastighet
• Scanning och attack i ett paket
• Attackverktyg självinitierar nya attackcykler
• Koordinerad ledningsförmåga

• 2. Mer sofistikerade attackverktyg
• Anti-forensisk - dolda attackprofiler/signaturer
  
• Dynamiskt uppträdande - slumpmässigt /
  förbestämt
• Modulbaserade - snabb uppgradering, mot multipla
  mål

• 3. Sårbarheter upptäcks snabbare
• Automatiserade upptäckter - time to patch mer
  kritisk

25
Cyberattacker - trenderCERT/CC april 2002

• 4. Utvecklingen av brandväggsvänliga protokoll
• T.ex. IPP (Internet Printing Protocol), Active X
  controls,
• Javas script och andra mobila koder.

• 5. Asymmetriska hot ökar
• Säkerhet på Internet sammanflätad -
  motståndskraften
• i ett system bygger på anslutande systems
  säkerhet.

• 6. Attacker mot Internets infrastruktur ökar allt
  mer
• Distribuerade DoS-attacker
• Maskar - självreplikerande (till skillnad från
  virus) och
• inkluderar ofta inbyggda D0S-attacker tillsammans
  med
• den generella scanningstrafik som genereras

26
Hotanalys
Motivation Förmåga Tillfälle HOT

• Hotaktörer
• Statliga underrättelsetjänster
• Kommersiella konkurrenter
• Organiserad brottslighet
• Illojala anställda
• Terrorister
• Hacktivister
• Hackers och crackers

27
Är detta en hacker?
28
Hackers - inte bara oskyldiga tonåringar

• Mer ekonomiska drivkrafter
• Koppling till organiserad brottslighet
• Ryssland och Östeuropa
• Hackerverktyg utbjuds till försäljning
• Allt fler hackers involveras i hacktivism
• Högre grad av organisering
• Tillfälliga nätverk Honkers Union och Project
  China
• Silverlordz, Brasilian hackerz, P()W, etc
• Har givit upphov till ny form av HUMINT på
  Internet

29
Hotanalys

• Olika tillvägagångssätt - förslag på
  klassificering
• Nätverksattacker

• Virusattacker

• Fysiska attacker

• Elektroniska attacker

• Informationsattacker

30
Riskanalys
Sannolikheten av en attack inom en viss
tidsram 1. Mot särskilda mål 2. Från särskilda
hotaktörer 3. Med ett visst tillvägagångssätt

Bedömda sårbarheter inom samma tidsram och den
bedömda effekten av en attack

RISKANALYS
31
Riskhantering
Risker är nödvändiga - om utveckling och intäkter
är av intresse...
Professionell riskhantering medger medvetet
risktagande.

• Det handlar ytterst om att ensamt eller i
  kombination
• Möta hotbilden
• Reducera sårbarheten
• Acceptera risken
• Sprida risken

32
Risk Avoidance gt Risk Management!
Risker
Kostnader
33
Kan man försäkra sig mot cyberattacker?

• Vilket syfte har inbrottslarm i den fysiska
  världen?
• Brottsförebyggande eller premiesänkande?
• Vid granskning av befintliga försäkringsvillkor
• Vilka cyberattacker omfattas, är detta
  kalkylerat?
• Utvecklingen i omvärlden
• Downstream liability
• Tredjemansansvar - EU-förslag inom e-commerce
• Produktutveckling för nya försäkringsprodukter
• Krav på IT-revision och Red Team-tester
• Livförsäkringar för bolag? - jmf
  riskkapitalmarknaden
• Tekniken kan bara skydda oss mot kända hot och
  sårbarheter!

34
Cyberrymdens dilemma

• Vad är en kriminell handling, ett terrordåd eller
  en krigshandling?
• Hur upptäcker man det?

• Vilka är motiven?

• Vem eller vilka är avsändare?
• Statliga underrättelsetjänster
• Kommersiella konkurrenter
• Organiserad brottslighet
• Illojala anställda
• Terrorister
• Hacktivister
• Hackers och crackers

35
(No Transcript)
36
Handlar det om intellektets kamp?
Enligt regeringens definition på
informationsoperationer är Ett viktigt inslag
att påverka beslutsprocesser och
beslutsfattande.... ...att skydda och försvara
information, informationssystem och förmåga till
rationellt beslutsfattande. (källa IT-proppen)
De aktörer som vi idag ser som potentiella hot,
har ett gemensamt De följer inte våra
spelregler!
Människans förmåga att bearbeta och analysera är
begränsad. Vår hjärna har svårt att frigöra sig
från det inlärda till att se det ännu inte
inträffade. Det gäller särskilt om dess karaktär
är ny och obekant. Till det kommer, allt för
ofta, revirbenägenhet och grupptänkande, som
snävar in ansvar och fantasi.
Förmågan till att tänka fritt och nytt kan vara
livsviktig!
37
Hur gör vi på nationell svensk nivå?
38
IW en problembild
Finansföretag drabbas av virus via
datakommunikation ? omsättningsförluster 8-10
mrd kr/dag ? kris på finansmarknaden, börsen
stänger etc.

• Vem ska de ringa till?
• Vem har ansvar för de förebyggande åtgärderna?
• Slutsats I dag hamnar detta ansvar mellan
  stolarna
• Hur skissera en lösning?

39
(No Transcript)
40
Sårbarhets och säkerhetsutredningen

• Överlämnades till regeringen den 11/5 - 2001
• Nytt system för det civila försvaret och för
  hantering av allvarliga kriser i fred
• Staten bör ta ett särskilt ansvar för
  krissituationer som privata aktörer endast i
  begränsad omfattning kan skydda sig emot samt
  situationer där höjd beredskap gäller
• Nationellt krishanteringsorgan som knyts till
  Regeringskansliet
• Planeringsmyndighet på nationell nivå

41
Sårbarhets och säkerhetsutredningensSkydd mot
informationsoperationer

• Samordningsfunktion, beredande och rådgivande
  organ inom regeringskansliet
• Omvärldsbevakningsfunktion inom
  planeringsmyndigheten
• IT-incidenthanteringsfunktion, organisatorisk
  fristående ställning med anknytning till PTS
• IT-teknikkompetensfunktion, organisatorisk
  fristående ställning med anknytning till FRA
• Evaluering- och certifieringssystem för
  IT-produkter och IT-system inom FMV

42
(No Transcript)
43
Aktiv IT-kontroll, Red Team

• Regeringskansliet, FM, FRA, FMV, FHS, FOI,
  RPS,ÖCB och PTS
• Skillnader Red Team IO/undtjänst/hacker

Reglerad Oreglerad
Tidsbegränsad Tillräcklig tid
Inga skador Syftet är skador
Provocerar upptäckt Undviker upptäckt
Alla brister En brist räcker
Känd miljö Okänd miljö
44
Samhällets säkerhet och beredskapprop
2001/02158 14 mars 2002

• Krisberedskapsmyndigheten omvärldsanalys,
  samverkan offentlig sektor och näringsliv, hur
  förebygga katastrofer, hur förbereda för nya hot,
  samordna beredskapsarbete
• FRA Ansvar för teknikkompetens
• FMV Ansvar system för certifiering och
  evaluering
• PTS Ansvar IT- incidenter, CERT
• SRV bilda Centrum för risk- och
  säkerhetsutbildning
• FM nytt regelverk ska underlätta hjälp till
  övriga samhället

45
Senaste nytt från EUs teleministrar

• Info och utbildning om betydelsen av infosäkerhet
• Verka för användning av goda rutiner best
  practices
• Nationella CERT och översyn standards
• Öka Europas inflytande över Internets styrning
• Använda och vidareutveckla Common Criteria
• Biometriska system och interoperabilitet inom EU
• Förslag ang infoutbyte mellan medlemsstater och
  kommissionen och hur få med näringslivet
• Inrätta Cyber Security Task Force för
  medlemsstater och näringsliv (förslag klart medio
  2002)
• (Näringsdep 2001-12-06)

46
Senaste nytt från EUs teleministrar 2

• Enighet om skydd för privatliv vid
  e-kommunikation
• E-postreklam, inklusive SMS kräver samtycke i
  förväg, spamming förbjuds, adress för nej
• Rätt att spara trafikuppgifter, ge möjlighet till
  brottsbekämpning mm, inom Eurätten, för
  nationellt säkerhetsintresse, inom EU
  konventionen om mänskliga rätttigheter
• Cookies, får användas först efter info om
  förekomst och med möjlighet vägra användning
• (Näringsdep 2001-12-06)

47
Ja, Ja Ja.Men hur gör ni själva hemma på firman?
48
Har vi råkat ut för något?

• Givetvis inte! - Men kanske några misstankar
• Riktade virusattacker vid ett antal tillfällen.
  Kan slå hårt mot tidskritiskt arbete då vi måste
  stänga av servrar, e-post, applikationsprogram.
• DOS-attacker mot servrar, konsekvens enligt ovan
• Vi är ett av förstahandsmålen enligt alla
  analyser Industrispionage är en realitet
• Våra konkurrenter vill vinna affärer

49
Hur skyddar vi oss ?

• Policy och regler
• Organisation, IT-råd o Säkerhetsråd
• Samverkan med andra säkkluster
• Outsourcing av drift bibehållen styrning,
  planerade revisioner
• Egen hårdvara och testutrustning
• Sektionering, utbildning, tystnadsplikt
• Särskilda insatser IRMA
• Teknik state of the art COTS

Vi lever som vi lär
50
En tillkommande ledningsdimension
51
Arkitektur grunden för ett nätverks- och
tjänstebaserat system av system
Säkerhets- arkitektur
Teknisk tjänstearkitektur
Informationsutbytes- arkitektur
System av system ark
Kommunikationsarkitektur
Nätarkitektur
Fasta nät
Trådlösa
52
Information Assurance- att ge och ta

• Anpassa det svenska regelverket till det
  internationella (sex nations överenskommelsen och
  NATOs)
• Anpassa till den privata sektorn och COTS
• Samhällets skydd byggs tillsammans med
  näringslivet i en internationell miljö.
• Samhället kan bidra med hotbildsanalyser och
  underrättelser

53
Säkerhet i nätet - Förslag till förhållningssätt

• Använd ett logiskt slutet verksamhetsinternt
  intranät
• Kryptera all information (allt är paket!)
• IPv6 för all trafik - möjliggör mobilitet med
  säkerhet
• Decentralisera nätdrift, signaleringsfunktioner
• Skydda nätstyrningsdata på samma sätt som
  ledningsinformation
• Stark autenticering av alla användare (minst två
  av något man vet något man har något man är)
• Auktorisera informationsbehörighet med avseende
  på identitet, roll, tid, plats,...

54
Säkerhet är...

• Säkerhet är en fråga för hela företaget/myndighete
  n
• Säkerhet är en process
• Säkerhet är en försäkring
• Säkerhet måste dokumenteras
• Databrott är till största del insiderjobb