kmd’s tilgang til cybertrussler - cisco...ca. 3.000 ansatte 40 år gamle historiskset...
TRANSCRIPT
![Page 1: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/1.jpg)
KMD’s tilgang til cybertrussler
Public
![Page 2: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/2.jpg)
Afdelingsleder, Information Security KMD, 2014 – Information Security Manager Takeda, 2013 – 2014 Group Risk Consultant DONG Energy, 2010 - 2013 IT-Security Specialist A.P. Moller - Maersk Group, 2007 – 2010 Derudover erfaring fra forsvaret og Novozymes.
SIMON THYREGOD
Civilingeniør, CISSP, CISM
![Page 3: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/3.jpg)
Ca. 3.000 ansatte
40 år gamle
Historiskset hovedsageligt fokus på velfærds Danmark
Eksempler på kunder og projekter:
Hvert år håndterer KMD’s systemer milliardbeløb, der svarer til
mere end 25% af Danmarks bruttonationalprodukt
1 million danskere i den private og offentlige sektor modtager
hver måned deres løn via KMD’s lønsystemer
Kilde: kmd.dk
![Page 4: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/4.jpg)
© KMD A/S UDPLUK FRA KMD’S SIKKERHEDSSTRATEGI
Sikkerhed er vores DNA
Sikkerhed er en kombination af teknologi, processer og personer Vi tager vores egen medicin – vi går til markedet med de produkter
vi selv benytter
Vi vælger stratetiske partnere blandt de bedste (e.g. Symantec, RSA, LogPoint, Cisco)
Vi baserer vores leverancer på kendte standarder, men også egen
ekspertise (bl.a. ISO27001, ISO9001, ISO20000)
Sikkerhed skal gøre forretningen agil – ikke være en hindring
![Page 5: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/5.jpg)
ÅRSAG TIL SIKKERHEDSHÆNDELSER
Vulnerabilities
Weak change mng.
Poor access control
Firewall Configuration Shadow IT
Basis Malware
Lack of logging
?
ISO 27001
Lack of overview
![Page 6: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/6.jpg)
© KMD A/S HVEM ER I RISIKOGRUPPEN FOR FORSKELLIGE TYPER AF ANGREB?
0
5
10
15
20
25
30
35
40
45
IT Offentlig Energi Transport Retail FinansKilde: Verizon 2014
![Page 7: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/7.jpg)
Ikke længere chikane, men motiverede angreb
(ønsker ikke at blive opdaget)
Starter med det svageste led
Herefter eskaleres rettigheder
(Jumping from host to host)
Svært at opdage!
SKIFT I ANGREBSTEKNIKKER
![Page 8: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/8.jpg)
GAMMELDAGS TILGANG
![Page 9: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/9.jpg)
I DAG: PREVENT – DETECT – RESPOND
![Page 10: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/10.jpg)
TEKNOLOGI - UNDERSTØTTET AF PROCESSER OG MENNESKELIG
KOMPETENCE
![Page 11: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/11.jpg)
Perimeter
•DDoS
• Firewalls
• E-mail gateways
•Web gateway
• IDS/IPS
Network
•Network IDS/IPS
•Network Security Analysis
• SIEM
Systems/
Applications
• Virtual Patching
• Vulnerability Management
• Identity & Access Management
• Advanced Intrusion Detection
Endpoint
• Anti-malware
• Vulnerability Management
• Advanced Intrution Detection
•Mobile Device Management
ET LAG ER IKKE NOK – EKSEMPLER PÅ BESKYTTELSESLAG
![Page 12: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/12.jpg)
Øget risiko for DDoS
Øget risiko for defacements
Udnyttelse af sårbare 3.parts applikationer og plugins
Kendte kompromitterede domæner
EKSEMPEL FRA KMD – ADVARSEL FRA CFCS 15. + 18. FEB
![Page 13: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/13.jpg)
Perimeter
•DDoS
• Firewalls
• E-mail gateways
•Web gateway
• IDS/IPS
Network
•Network IDS/IPS
•Network Security Analysis
• SIEM
Systems/
Applications
• Virtual Patching
• Vulnerability Management
• Identity & Access Management
• Advanced Intrusion Detection
Endpoint
• Anti-malware
• Vulnerability Management
• Advanced Intrution Detection
•Mobile Device Management
CFCS - HÅNDTERING I PRAKSIS
![Page 14: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/14.jpg)
Trusselsniveau løftet til GUL (øget bemanding/overvågning)
Øget overvågning af DDoS system
Spærring af kompromitterede domæner i web gateway
Øget overvågning af Network Security Analytics og SIEM
Ekstra sårbarhedsskanning af alle eksterne domæner
Tvangs-patching eller virtual patching af servere
Tvangs-patching af klienter
Dagligt statusmøde
CFCS – HANDLINGSPLAN
![Page 15: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/15.jpg)
Phishing e-mail sendt til KMD medarbejder og rapporteret til
Group Security.
Link til ondsindet kode (malware) fx informationstyv.
Ikke fanget af anti-malware løsninger
EKSEMPEL FRA KMD – PHISHING E-MAIL
![Page 16: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/16.jpg)
Perimeter
•DDoS
• Firewalls
• E-mail gateways
•Web gateway
• IDS/IPS
Network
•Network IDS/IPS
•Network Security Analysis
• SIEM
Systems/
Applications
• Virtual Patching
• Vulnerability Management
• Identity & Access Management
• Advanced Intrusion Detection
Endpoint
• Anti-malware
• Vulnerability Management
• Advanced Intrution Detection
•Mobile Device Management
PHISHING E-MAIL - HÅNDTERING I PRAKSIS
![Page 17: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/17.jpg)
Hvem/hvor mange har modtaget e-mailen?
Hvem har klikket på linket?
ER VI SÅRBARE?
PHISHING EMAIL – YDERLIGERE UNDERSØGELSER
![Page 18: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/18.jpg)
Trusselsniveau bibeholdes på GRØN
Afsender spærres (gerne på IP/server-niveau)
Link spærres
Malware sample analyseres (fx Cuckoo Sandbox)
Sample sendes til anti-virus og signaturer opdateres
RSA Network Security Analytics opdateres
Data Packets gennemsøges
Advanced Intrusion Detection på klienter og servere gennemgås
for aktive processer med samme fingerprint
Potentielt inficerede klient renses eller geninstalleres
PHISHING EMAIL – HANDLINGSPLAN
![Page 19: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/19.jpg)
Cryptolocker prøver at kryptere lokale filer og fildrev
Nøgle skal købes mod løsepenge (?)
Eksempelvis havde vi en kunde hvor KMD har ansvaret for
filserverne, men ikke klienterne eller deres gateways.
EKSEMPEL – CRYPTOLOCKER
![Page 20: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/20.jpg)
Perimeter
•DDoS
• Firewalls
• E-mail gateways
•Web gateway
• IDS/IPS
Network
•Network IDS/IPS
•Network Security Analysis
• SIEM
Systems/
Applications
• Virtual Patching
• Vulnerability Management
• Identity & Access Management
• Advanced Intrusion Detection
Endpoint
• Anti-malware
• Vulnerability Management
• Advanced Intrution Detection
•Mobile Device Management
CRYPTOLOCKER - HÅNDTERING I PRAKSIS
![Page 21: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/21.jpg)
Trusselsniveau bibeholdes på GRØN
Stop ulykken!
Filer genskabes vha. backup hvor muligt
KMD ikke har klient eller mail gateway ansvar –> det er svært at
forebygge!
SIEM –> Antal filændringer
Advanced Intrusion Detecion -> Filnavne el. informationsfil
Network Security Analytics -> Beacon Pattern
CRYPTOLOCKER – HANDLINGSPLAN
![Page 22: KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer](https://reader036.vdocuments.site/reader036/viewer/2022081514/605276540518bf2ae564e14c/html5/thumbnails/22.jpg)
Get the basics right!
Husk de opdagende kontroller
Informationssikkerhed er alles ansvar, men bør være et uafhængigt organ
Informationssikkerhed kræver ledelses-engagement
ANBEFALINGER