norcert - hva gjør vi når det brenner?
DESCRIPTION
Presentasjon på ISF medlemsmøte på Latter 24.04.2014TRANSCRIPT
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 1
Marie Moe, senioringeniør, Ph. D. Nasjonal sikkerhetsmyndighet
NorCERT Hva gjør vi når det brenner?
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier Foto: colourbox.com
FOTO: ROBERT MCPHERSON, Aftenposten
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 4
Seksjon for deteksjon
(VDI)
Deteksjonsteknologi Drift og infrastruktur Innsamling av data
Korrelasjon
Hendelseshåndtering Koordinering Eskalering
Analyse
Nettverks- og systemanalyse Analyse av skadevare
Informasjonsdeling Øvelser
NorCERT
Teknisk analyse og informasjonsdeling
Operasjonssenteret (OPS)
NorCERT- Hva gjør vi?
Håndtere Oppdage Forståelse
Saksmengde
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 5
§ Antall detekterte målrettede dataspionasjeforsøk øker § Særlig rettet mot
§ Forsvarssektoren § Olje- og gassektoren § Høyteknologiselskaper § Norske myndigheter
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 6
Digital spionasje
0 2 4 6 8
10 12 14 16 18
Alvorlige, håndterte hendelser
saker STORE MØRKETALL
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 7
50 alvorlige digitale spionasjesaker
Statlig etterretning & industrispionasje Hvem som er angrepsmålet Ressursbruk over tid Avansert metodebruk Arbeider langsiktig Vellykkede angrep Angrepsforsøk som er avvist
Foto: colourbox.com
Hendelsesforløp
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 8
Infeksjon Oppdagelse Ryddet opp?
• VDI • Tips • Virksom-
heten selv
• Varsle • Eskalere • Dele informasjon • Koordinere • Analyse/vurdering
• Forebyggende tiltak
• Testing • Økt årvåkenhet
Etablere fotfeste, hente ut informasjon, skjule spor…
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 9
Illustrasjon og tekst – R. Thon/NSM
Virksomheten og hendelsen er «vasket» og anonymisert
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 10
Illustrasjon og tekst – R. Thon/NSM
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 11
VANNHULLSANGREP
Foto: colourbox.com
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 12
Illustrasjon og tekst – R. Thon/NSM
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 13
Illustrasjon og tekst – R. Thon/NSM
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 14
Illustrasjon og tekst – R. Thon/NSM
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 15
Illustrasjon og tekst – R. Thon/NSM
Hvordan håndterer vi digital spionasje?
§ Trusselforståelse
§ Deteksjon og varsling
§ Teknisk bistand på forensics og analyse
§ Bygge “intrusion sets”
§ Råd og veiledning § Rapportering og informasjonsdeling
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 16
Hvordan dele informasjon effektivt?
Noen rammeverk eksisterer:
§ TAXII/STIX § Utviklet av MITRE § Trusted Automated eXchange of Indicator Information § Structured Threat Information eXpression
§ OpenIOC § Extensible XML skjema utviklet av MANDIANT
§ MISP § Malware Information Sharing Platform § Utviklet av det belgiske forsvaret, brukes av NATO NCIRC
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 17
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 18
Viktig med deltakelse i formelle og uformelle samarbeidsfora!
Samhandling og informasjonsdeling
§ NorCERT som informasjonsknutepunkt
§ Koordinering av hendelseshåndtering § Varsling og rapportering av
hendelser § Sårbarhetsvurderinger § Deling av tekniske analyser
§ Deling av kunnskap – begge veier § SektorCERT Forum § Hospitering § Liaisonering § Nasjonalt cybersikkerhetssenter
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 19
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 20
Sektorvise responsmiljøer
UNINETT CERT
Justis CSIRT FinansCERT
Cyberforsvaret/BKI
Militær sektor
Justis sektor
KraftCERT?
Helse
Universitet
HelseCSIRT
Informasjonsdeling nasjonalt - arrangementer § Nasjonalt Cybersikkerhetssenter
§ Operativ orientering fra operasjonssenteret § Cyberkoordineringsgruppen (CKG)
§ NSM, PST og ETJ § Gruppe for Cyber Network Defense (CND)
§ FD, JD, SMK, Cyberforsvaret, Kripos og EOS tjenestene
§ NSMs sikkerhetskonferanse
§ NorCERTs sikkerhetsforum § VDI Workshop § Sektor-CERT Workshop § ISP-SEC § MSSP-SEC § DI-SEC
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 21
22
Internasjonalt samarbeid
§ Medlem av EGC (European Government CERT Group) § AT, DK, FI, FR, DE, NL, NO, ES, SE, CH, UK, BE
§ Medlem av FIRST (Forum for Incident Response and Security Teams)
§ Aktiv i International Watch and Warning Network (IWWN)
§ Medlem av TF-CSIRT (initiativ for økt samarbeid mellom europeiske CERT)
§ ENISA (European Network and Information Security Agency) § Cyber Europe øvelser
§ ENISA/Europol EC3 workshops
§ ENISA NCSS Experts Group
§ NATO § NCIRC § CCD CoE § Øvelser
§ Bilateralt samarbeid med tilsvarende enheter i utlandet
§ Multilateralt samarbeid med nordiske land
Hva er viktigst for å lykkes?
ü Struktur og organisering
ü Teknologi
ü Kompetanse ü Øving og erfaring
ü Kontaktnettverk
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 23
Foto: colourbox.com
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 25
NorCERT, Nasjonal sikkerhetsmyndighet (NSM) www.cert.no, www.nsm.stat.no Hendelser: [email protected] Andre henvendelser: [email protected]
Takk for oppmerksomheten!
@MarieGMoe