Embed Size (px)
DESCRIPTION
Presentation från GRC 2014 den 15 maj. Kontakta gärna talaren om du har några frågor. Hela schemat för eventet hittar du här: http://www.transcendentgroup.com/sv/har-har-du-hela-schemat-for-grc-2014/
Citation preview
Nya IT-säkerhetshot och
trender i en värld av
lösningarMattias Nyholm, CISA, CISM, CISSP
Trender inom IT-säkerhetshot
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
cloud
bigdata
APT
sociala medier
mobile
Agenda
• Vikten av att förstå hot
• Drivkrafter bakom
utvecklingen
• Exempel på nya hot - vilka
är de och hur hanterar man
dem?
• Möjligheter till förbättringar
• Effektiv säkerhetshantering
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
risk
konsekvens
sårbarhet
hot
Konsekvenser för
verksamheten
• Stöld av känslig information
• Avbrott eller produktions-
bortfall
• Brister i regelefterlevnad
• Ekonomisk skada
• Påverkan på anseende och
förtroende
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Sårbarheter och hot
• Människa, teknik och
organisation
• Kunskap om den egna
verksamheten
• Kunskap om angriparen
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Vad är det som är nytt då?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Verksamhetens krav på IT ökar
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
omvärld
• snabb teknisk utveckling
• kunder och medarbetare blir mer kräsna
• ökade krav på snabbhet och tillgänglighet
• nya tjänster och beteenden sprids blixtsnabbt
verksamhets-krav på IT
• värde
• flexibilitet
• snabbhet
• tillgänglighet
• enkelhet
• skalbarhet
Risk kontra…
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
för mot
Cloud-tjänster
• Kompletta tjänster
– Software as a Service (SaaS)
• Plattform/infrastruktur
– Platform as a Service (PaaS)
– Infrastructure as a Service
(IaaS)
• Public / Private / Hybrid
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Bakom kulisserna i ett IT-system/tjänst
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
IT-tjänst
applikation
data
middleware
OS
virtualisering
servrer
lagring
nätverk
backup
datorhall
Utförande och kontroll
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
applikation
data
middleware
OS
virtualisering
servrer
lagring
nätverk
backup
datorhall
egendrift
IaaS PaaS SaaS
egen hantering
tredje part
Exempel på hot kopplat till Cloud
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
integritet och legala aspekter
• tredje part har åtkomst till information
• integritet och regulatoriska krav
• jurisdiktion vid tvist
ekonomiska aspekter
• skadestånd inte i paritet med påverkan.
• framtida prisökningar
säkerhet och tillgänglighet
• säkerhetsbrister
• incidenthantering
• svårt att ta hem data och återställa tjänsten
• förlorad kontroll
tjänstehantering
• tjänsten utvecklas i en riktning eller en takt som inte passar
• svårt att kravställa och granska
• bristande insyn
• påverkan från tredje part
Identifiera hot för en
cloud-tjänst
• Förstå vad tjänsten innehåller
och hur/var den produceras.
• Egna krav CSA CCM
• Granskning certifieringar och
attesteringar
• Granska leverantörens och
tjänstens historik och stabilitet.
• Simulera olika scenarion.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Riskkarta
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
externa faktorer
• business intelligence
• externa parter
• anseende och förtroende
• övrigt
regulatoriska krav
• lagar och regleringar
• standarder och krav
administrativ säkerhet
• IS-styrning
• tillgångar
• operativa faktorer
• personal
• övrigt
teknisk/fysisk säkerhet
• systemutveckling
• IT-drift
• system och nätverk
• miljöskydd
• skydd av utrustning
IS-styrning
• organisation
• styrande dokument
• ansvar och roller
• projekt och aktiviteter
• kommunikation
• samarbete
• regelefterlevnad och revision
Fallgropar
• Verksamheten köper själva
tjänster (”Shadow IT”).
• Användare hanterar data i
privata tjänster (”Bring your
own Service”).
• Felaktiga antaganden om
tjänsteinnehåll, garantier och
ansvarsfördelning.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Slutsatser cloud
• Cloud-tjänster finns i otaliga varianter och leveransmodeller.
• Cloud-tjänster leder till nya typer av hot att ta hänsyn till.
• Ökat beroende till tredje part, både för genomförande och
kontroll.
• Den största utmaningen är tjänster vi inte känner till.
• Befintliga modeller och kompetenser behöver utvecklas.
– Kravställning
– Revision och uppföljning
– Styrning och hantering av leverantörer.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Vilken är din favoritfärg? Vad
heter din hund? Vilket är din
mammas flicknamn?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Exempel på hot med sociala medier
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
verksamhet
• ägarskap och kontroll över kanaler
• kontroll över budskap
• legala aspekter
anställda
• skriver saker om företaget
• avslöjar hemlig information
• privat användning från företagets utrustning
externa personer
• olämpligt innehåll i företagets kanaler
• kampanjer eller kritik
angripare
• kartläggning av verksamhet och organisation
• insyn i personlig information och aktiviteter
• identifiering av nyckelpersoner
Identifiera hot med
sociala medier
• Beakta perspektiven teknik, människa och organisation.
• Ta hänsyn till medarbetarnas kunskap och medvetenhet.
• Förstå kanaler och användning.
• Tänk igenom scenarion och genomlys rutiner för dem.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Riskkarta
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
externa faktorer
• business intelligence
• externa parter
• anseende och förtroende
• övrigt
regulatoriska krav
• lagar och regleringar
• standarder och krav
administrativ säkerhet
• IS-styrning
• tillgångar
• operativa faktorer
• personal
• övrigt
teknisk/fysisk säkerhet
• systemutveckling
• IT-drift
• system och nätverk
• miljöskydd
• skydd av utrustning
IS-styrning
• organisation
• styrande dokument
• ansvar och roller
• projekt och aktiviteter
• kommunikation
• samarbete
• regelefterlevnad och revision
Big data
• Avancerad Business
Intelligence
• Analys av enorma mängder
information.
• Kombinera data från olika
interna och externa källor
• Används för att förstå trender,
beteenden och hitta mönster
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Exempel på hot kopplat till Big data
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
internt
• legala aspekter och integritet
• bevara anonymitet
• svårt att hantera övervakning och loggning
• brister i datahantering och åtkomstkontroll
• validering av indata och resultat
• risk att kombinerad information är känslig
• felaktig användning av resultat
externt
• konkurrenter eller tredje part använder big data…
Identifiera hot med
Big data
• Detektivarbete!
• Samma arbetssätt:
1. skaffa kunskap
2. förstå och identifiera
användning
3. identifiera hotscenarion
4. koppla till riskkarta.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Överallt. Alltid. Min!
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Vad kan hända?
• Stöld eller manipulation av
information
• Avlyssning och spårning
• Imitation
• Dataläckage via appar och
tjänster
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Slutsatser mobila
enheter
• Nya användningsmönster
ger nya hot.
• Ofta begränsat stöd (eller
acceptans) för säkerhet.
• Svårt att skydda fullt ut.
• Potentiellt stor volym av
mindre incidenter.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Cloud. Mobile. Social media. Big
data. Blir det bättre eller sämre?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Möjligheter till förbättringar
• Cloud för att skapa tillförlitliga tjänster.
• Sociala medier som robust kommunikationskanal.
• Big data för att upptäcka avvikelser, oegentligheter och
incidenter.
• Mobile för att hantera tillgänglighet och snabbhet.
• Mer tid att fokusera på det kritiska.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Effektiv säkerhetshanthantering
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
förebygg upptäck
åtgärdaförbättra
Summering
• Utvecklingen går fort och
drivs av ökat värdefokus.
• Organisationens IT blir mer
integrerad och komplex.
• Högre beroende till tredje
part.
• Nya möjligheter leder till nya
typer av hot.
• För att identifiera och förstå
hoten behövs ny kompetens.
• Utveckla metoder att hantera
och granska:
– Styrning och uppföljning
– Kravställning och revision
– Attesteringar och
certifieringar.
• Ta tillvara möjligheter att
förbättra verksamheten och
hantera befintliga risker.
• Skapa en effektiv
säkerhetshantering.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Till sist
• Ansvar och risk ligger alltid
kvar hos organisationen.
• Fokus på kritiska processer och
känslig information.
• Verktygslådan för konsekvens-
analys och riskhantering är
densamma.
• …men komplettera med nya
hot!
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
www.transcendentgroup.com
