Pressesenter
Vi ønsker å gi viktige generelle erfaringer videre så langt det lar seg gjøre. Her i vårt pressesenter kan du lese mer om oss og det vi mener er viktige innspill om IT-sikkerhet. Som selskap ønsker vi å være mest mulig åpne om vår virksomhet og erfaringer. Det ligger i sakens natur at vi uttaler oss på generelt og nøytralt grunnlag fordi vi håndterer til dels svært sensitive oppgaver og problemstillinger for våre kunder. Secode er upolitisk og uttaler seg ikke om spesifikke hendelser, trender eller observasjoner ut over det som fremkommer på disse sidene.
  PRESSESENTER   
PRESSEMELDINGER
SERTIT - CC i Norge
ARTIKLER FRA SECODE
Sosial sjarm
Sikkerhetshull i web-applikasjoner
Loud attacks are history
Sikkerhetsbrudd i interne soner
WEB ARTIKLER
Kontroll med lynmeldinger
Det sårbare samfunn
Februar 2007

SECUREDANMARK 2007:

Loud attacks are history

Av Arnt Ove Nedrebø

Den 9. oktober ble Securedanmark 2007 avholdt i København med et hundretalls sikkerhetsanalytikere og sikkerhetsansvarlige fra toneangivende danske selskaper til stede.

 

Foredragsholderne var varierte og svært interessante, blant andre Paul Kurtz, tidligere Senior director for critical infrastructure protection on the White House's Homeland Security Council.

 

Ungdom og teknologi kontra konservativ sikkerhetstenking

Det er tydelig at it-avdelingene blir utsatt for et stigende press om stadig hurtigere implementering av nye programmer, gadgets og devices til enkel kommunikasjon og formodet produktivitetsøkning. Det rapporteres at denne trenden også påvirker og påvirkes av det stramme arbeidsmarkedet, og at en liberal holdning gjør det enklere å rekruttere unge arbeidstagere. Mot-presset fra It-sikkerhetsansvarlige med begrunnelse i risikotenkning vinner vanskeligere frem, og nødvendiggjør i stigende grad en entydig prosess omkring sikkerhetspolicy (interne regler og pålegg) og et tydelig og kompetent ledelsesengasjement. I den grad IM programvare (instant messaging) har hatt sitt inntog blant annet i meglermiljøer og benyttes aktivt i handel, kommer også krav om å fange og lagre denne kommunikasjonen for senere sporbarhet.

 

Slaget om budsjettmidlene

Toppledere er typiske risikotagere, og mange av dem vil instinktivt forsøke å unngå tiltak som i en eller annen form belaster bunnlinjen. De velger rett og slett å leve med risikoen. Skal man vinne frem med sine bekymringer og kunne gjøre noe med dem, vil det ofte kreve en stor pedagogisk innsats fra sikkerhetsansvarlige. Rådene er å unngå teknisk snakk, og forenkle budskapet om trusselen og løsningen så mye som mulig. Dersom en sikkerhetsansvarlig har gjort oppmerksom på en konkret trussel uten å oppnå forståelse, er denne risikoen overført til lederen - vær tydelig og presis i kommunikasjonen.

 

Risikoen må i størst mulig grad ses fra business-siden

Det bør være business siden som utfører risikovurderinger på vegne av virksomheten, og ikke ensidig It-avdelingen. It-avdelingen er en servicevirksomhet som gjør det mulig for virksomheten å utøve sin aktivitet. Det er derfor viktig at de forretningsansvarlige involveres i risikovurderingene, og at tiltakene i størst mulig grad tilpasses den enkelte virksomhet og de økonomiske og markedsmessige konsekvensene av sikkerhetsbrudd.

 

Loud attacks are history

Internett har ingen aldersgrenser, og det er irrelevant å tro at bare 16-årige script-kiddies står bak all ondsinnet ondsinnet trafikk. De bråkete angrepene er nå historie, angriperne kommer på katteføtter og er nærmest umulige å oppdage. Flere og flere aktører stiller seg ikke lenger spørsmålet om hvorvidt de er kompromittert - for det regner de uansett med at de er, men spør seg i stigende grad om hva utøverne kan ha interesse av å gjøre i virksomhetens nettverk.

 

Rike hackere vil bli rikere

Virksomheten med hacking, manipulering og nettsvindel oppgis nå til å være en milliard-dollar industri.

Trusselutviklingen tilsier at flere og flere utøvere vil være parat til å gjøre store investeringer for å nå sine mål om å kompromittere utvalgte ofre - dersom gevinsten står i forhold til innsatsen. Sikkerhet handler således i stigende grad om kostnad - og for å møte den nye trenden med kommersielt drevne hackere bør man gjøre det så dyrt og ulønnsomt som mulig å lykkes - slik at de vil se seg om etter andre angrepsmål.

 

Forbered virksomheten på utpressing

Store virksomheter bør snarest tenke grundig igjennom hva responsen skal være dersom de blir utsatt for utpressing via Internett. Dette kan ha form både som trusler om skadeverk på it-systemene, trusler om DOS angrep eller generell skittkasting i ulike nettmedier. Virksomhetene i Norge bør tenke igjennom scenariet og lage en handlingsplan.

 

Vi er alle konsumenter

Uansett hvilke yrker vi har - er vil alle konsumenter av Internett både på jobb og ikke minst privat. En videreutdanning av alle konsumenter i sikkerhets-bevissthet vil være en av bransjens store utfordringer fremover.

 

ISP'er, kommersialitet og ansvar

Ulike tiltak for å stanse ondsinnet trafikk i transitt bør pålegges internett-leverandørene og det bør vurderes en lovgivning på dette området. Det er i dag slik at disse leverandørene har trukket en grense for hva de ønsker å gjøre med denne typen problematikk. Hvis de foretar seg noe, vil det alltid bli spørsmål om at de skal gjøre mer, og dette sammenfaller ikke med deres krav om å drive lønnsom forretning. På den andre siden er det uakseptabelt at man for penger så og si transporterer terrorister med finlandshetter direkte til banken uten å ha moralske skrupler av noen art.

 

PIT - Point in Time assessment

Bransjen benytter i stigende grad Point of Time assessments, eller øyeblikksbilder av sine nettverk, devices, konfigurasjoner og trafikkmønstre. Alle endringer ofres stor oppmerksomhet for å finne årsaken til dem og kontinuerlig friskmelde systemene. I ekstreme tilfeller utarbeides PIT's en gang hvert døgn.

 

Fokus på informasjonen vi skaper

Hver gang vi lagrer et nytt dokument har vi skapt ny informasjon. Sikkerhetsbransjen bruker svært mye av sin oppmerksomhet på systemene vi skaper, men svært lite tid på informasjonen vi skaper. Innhold og sensitivitet må fokuseres, og måten det lagres og vedlikeholdes må ha stort fokus. I et tilfelle hvor en medisintype viste seg å være dødelig, var produsenten i retten ikke i stand til å bevise at sin dokumentasjon fra forskning, utvikling og testing ikke var manipulert i ettertid. Det synes ikke lenger tilstrekkelig bare å sikre informasjonen mot manipulering, i ekstremtilfeller vil virksomheten måtte kunne bevise integriteten og ha en entydig endringshistorikk for å kunne nytte informasjonen i bevisøyemed.

 

Catch the ball!

Bestem deg for å fange ballen. Du vet ikke nødvendigvis hvor den er nå, men med en plan skal du vite nøyaktig hvor den befinner seg på et gitt tidspunkt i fremtiden. Lag sikkerhetsmål og en strategi og tidsplan for når du skal ha nådd dem. Ta kontroll - og still spørsmålet om hvor du ønsker at din virksomhet skal være om ett eller to år.


 


 

 

 

 
Largest Botnet eve...

 

Secode bistår nå mer enn 100 kunder innenfor:

  • Bank, finans og forsikring
  • Shipping
  • Handelsvirksomhet
  • Helsesektor og sykehus
  • Telecom og nett
  • Forsvaret
  • Forsvarsindustri
  • Departementer og direktorater
  • Justissektoren
  • Energisektoren
  • Produksjonssektoren

Vil du vite mer - ta kontakt ved å klikke her

Get_Secoded!