• No results found

Kan vi måle sikkerhet?

N/A
N/A
Info
Nedlasting
Protected

Academic year: 2022

Share "Kan vi måle sikkerhet?"

Copied!
28
0
0

Laster.... (Se fulltekst nå)

Last ned nå ( 28 sider )

Fulltekst

(1)

Statistikker, metrikker og rapporter for bedre

felles sikkerhet

(2)

Kan vi måle sikkerhet?

Logger er opphav til mye nyttig informasjon

– Men du verden så mye annet også

De som gir råd om analyse snakker ut fra et generelt perspektiv

Logger fra blant annt IDSer, Brannmurer, Netflow, arbeidstasjoner kan gi svært spesifikk og viktige

sikkerhetsmetrikker

(3)

Metrikker må være gjenkjennbart

Antall portscannere per dag er et eksempel på hva man kan se. Det er mye av det, alle er utsatt for det, og det kan være mange forskjellige hensikter.

Gode metrikker:

– Utvetydige og meningsfulle for en forutbestemt hensikt, og lesbar for en sikkerhetsanalytiker

– Å måle for å få en metrikk bør ikke koste mye, verken i midler eller trafikkforstyrrelse.

– Målinger skal gjøres med samme metode, med tilstrekkelig

intervall mellom målinger, og helst med automatiske metoder.

(4)

Hver metrikk har sitt publikum

Antall portscannere per dag er fint for analytikerne, men er av mindre verdi for ledelsen Metrikker kan for eksempel tiltenkes

– Teknikere

– Operative sikkerhetsanalytikere

– Strateger

– Ledelse

(5)

Metrikker må ha en kontekst

Antall portscannere per dag gir ingen mening om man ikke vet hva som er normalen. Man må kjenne ba sel in e.

Kunnskap om omgivelsene:

– For eksempel: Dersom det er mye falske positiver må man ta dette med i beregningen nå man danner seg et bilde av

aktiviteten.

Av og til gir også andres data en viktig kontekst

– Trusselbildet blir tydeligere

(6)

Flere ledd i datainnsamling

Det blir store mengder data, som stiller høye krav til MINST maskinvare og analytikere (potensielt også finansene)

Selv om man benytter seg av “sampling” for å dra ut data vil det være formålstjenlig å ha tilgang til de

opprinnelige data dersom resultatene fører til grundigere undersøkelser

(7)

Feil som oppstår

IDSer er sensitive til falske positiver, spesielt om der er store mengder falske positiver

IDSer (eller brannmurer) som blir utsatt for ondsinnet trafikk fra “the usual suspects” kan rapportere dette kontinuerlig, og dette kan forvirre de metrikker man faktisk er ute etter

Tuning av disse verdiene, kontinuerlig oppfølging

(8)

Innsamling av data for informasjon

Man kan korrelere data for å kunne gjenkjenne visse typer angrep

– Man kan også lage nye egne metrikker for dette

– Dette er metrikker som kan deles

– Det er også metrikke som det tjenes penger på

Blacklist-baserte metrikker er alltid nyttig, med eller uten korrelering

– C&C, TOR, kjente skadevarekilder, kjente kompromitterte

Man kan gå dypt å for eksempel logge feil protokoll, feil bruk av en protokoll (f.eks. ulovlige flagg i TCP eller forsøk på å svare på ikke-etablerte sesjoner)

Man kan benytte slike data i forbindelse med geografisk sperring

På enkeltmaskiner kan man loggen endringer i executables, men da må man vite hva man har. Det gjelder alt.

(9)

Innsamlig av data til informasjon II

Generelt vil man kunne skape metrikker ved å observere status quo (ikke bandet), f.eks

– Ulovlige enheter på nettverket

– Ulovlige minnepinner

Alle disse kan også snevres inn, særlig for kontekst

– Variasjon i trafikkvolum

Ha oversikt over ordinær datamengde eksfiltrasjon av data

illegitim nedlasting av payload

– Ulovlige innlogginger (kontekst: var det lovlige?)

– Alerter på suspekt og/eller usannsynlig brukeraktivitet f.eks. innlogging fra flere steder, rare steder eller på rare tider (dette blir dog fort brennbart)

Hvis man også logger mengde av vanlige data som f.eks. HTTP 4xx eller 200 OK vil dette f.eks kunne være indikasjon på DDoS

(10)

Trusselbildet

I dag er det et gap mellom det myndigheter uttrykker om trusselbildet og det som understøttes ved statistiske data eller rapporter.

Det nasjonale trusselbildet som foreligger for bransjen er ikke-transparent.

Politiske motiver og vilje til å ta de rette beslutninger på departementsnivå bør være fundert i realistiske

metrikker.

(11)

Trusselvurdering for bransjen ut fra statistikker og metrikker

Man må kunne samle relevante data, f.eks. antall portscannere per dag totalt, og bevegelser i hvem som er utsatt for dette.

Metoden må ha lav kostnad, gjøres på lik måte hver gang og helst være automatisk

Metoden må ikke ha negative konsekvenser for selskapene, også mht sikkerhetspolicier og GDPR.

(12)

Trusselvurdering fra metrikker

Hva er trusselbildet for en enkelt tjeneste hos et selskap?

Hva er trusselbildet på tvers? Kanskje noen prøver forskjellige angrep på samme tjeneste hos forskjellige selskap.

Krysskorrelering av data i enkeltselskap gir metrikker for egne trusler

Krysskorrelering på tvers av selskapene gir metrikker både for enkeltselskap, tuning-data og verdifull

informasjon for kritisk infrastruktur

(13)

Hva kan man se når man ser flere

Early warning for andre

Angrep kamuflert som mundan støy

Angrep kamuflert i andre angrep

(14)

Spørsmål? Ta kontakt på [email protected] eller [email protected]

(15)

Statistikker, metrikker og rapporter for bedre

felles sikkerhet

(16)

Kan vi måle sikkerhet?

Logger er opphav til mye nyttig informasjon

– Men du verden så mye annet også

De som gir råd om analyse snakker ut fra et generelt perspektiv

Logger fra blant annt IDSer, Brannmurer, Netflow, arbeidstasjoner kan gi svært spesifikk og viktige sikkerhetsmetrikker

(17)

Metrikker må være gjenkjennbart

Antall portscannere per dag er et eksempel på hva man kan se. Det er mye av det, alle er utsatt for det, og det kan være mange forskjellige hensikter.

Gode metrikker:

– Utvetydige og meningsfulle for en forutbestemt hensikt, og lesbar for en sikkerhetsanalytiker

– Å måle for å få en metrikk bør ikke koste mye, verken i midler eller trafikkforstyrrelse.

– Målinger skal gjøres med samme metode, med tilstrekkelig

intervall mellom målinger, og helst med automatiske metoder.

(18)

Hver metrikk har sitt publikum

Antall portscannere per dag er fint for analytikerne, men er av mindre verdi for ledelsen Metrikker kan for eksempel tiltenkes

– Teknikere

– Operative sikkerhetsanalytikere

– Strateger

– Ledelse

(19)

Metrikker må ha en kontekst

Antall portscannere per dag gir ingen mening om man ikke vet hva som er normalen. Man må kjenne basel ine.

Kunnskap om omgivelsene:

– For eksempel: Dersom det er mye falske positiver må man ta dette med i beregningen nå man danner seg et bilde av aktiviteten.

Av og til gir også andres data en viktig kontekst

– Trusselbildet blir tydeligere

(20)

Flere ledd i datainnsamling

Det blir store mengder data, som stiller høye krav til MINST maskinvare og analytikere (potensielt også finansene)

Selv om man benytter seg av “sampling” for å dra ut data vil det være formålstjenlig å ha tilgang til de opprinnelige data dersom resultatene fører til grundigere undersøkelser

(21)

Feil som oppstår

IDSer er sensitive til falske positiver, spesielt om der er store mengder falske positiver

IDSer (eller brannmurer) som blir utsatt for ondsinnet trafikk fra “the usual suspects” kan rapportere dette kontinuerlig, og dette kan forvirre de metrikker man faktisk er ute etter

Tuning av disse verdiene, kontinuerlig oppfølging

(22)

Innsamling av data for informasjon

Man kan korrelere data for å kunne gjenkjenne visse typer angrep

Man kan også lage nye egne metrikker for dette

Dette er metrikker som kan deles

Det er også metrikke som det tjenes penger på

Blacklist-baserte metrikker er alltid nyttig, med eller uten korrelering

C&C, TOR, kjente skadevarekilder, kjente kompromitterte

Man kan gå dypt å for eksempel logge feil protokoll, feil bruk av en protokoll (f.eks. ulovlige flagg i TCP eller forsøk på å svare på ikke-etablerte sesjoner)

Man kan benytte slike data i forbindelse med geografisk sperring

På enkeltmaskiner kan man loggen endringer i executables, men da må man vite hva man har. Det gjelder alt.

(23)

Innsamlig av data til informasjon II

Generelt vil man kunne skape metrikker ved å observere status quo (ikke bandet), f.eks

Ulovlige enheter på nettverket

Ulovlige minnepinner

Alle disse kan også snevres inn, særlig for kontekst –

Variasjon i trafikkvolum

Ha oversikt over ordinær datamengde eksfiltrasjon av data

illegitim nedlasting av payload

Ulovlige innlogginger (kontekst: var det lovlige?)

Alerter på suspekt og/eller usannsynlig brukeraktivitet f.eks. innlogging fra flere steder, rare steder eller på rare tider (dette blir dog fort brennbart)

Hvis man også logger mengde av vanlige data som f.eks. HTTP 4xx eller 200 OK vil dette f.eks kunne være indikasjon på DDoS

(24)

Trusselbildet

I dag er det et gap mellom det myndigheter uttrykker om trusselbildet og det som understøttes ved statistiske data eller rapporter.

Det nasjonale trusselbildet som foreligger for bransjen er ikke-transparent.

Politiske motiver og vilje til å ta de rette beslutninger på departementsnivå bør være fundert i realistiske metrikker.

(25)

Trusselvurdering for bransjen ut fra statistikker og metrikker

Man må kunne samle relevante data, f.eks. antall portscannere per dag totalt, og bevegelser i hvem som er utsatt for dette.

Metoden må ha lav kostnad, gjøres på lik måte hver gang og helst være automatisk

Metoden må ikke ha negative konsekvenser for selskapene, også mht sikkerhetspolicier og GDPR.

(26)

Trusselvurdering fra metrikker

Hva er trusselbildet for en enkelt tjeneste hos et selskap?

Hva er trusselbildet på tvers? Kanskje noen prøver forskjellige angrep på samme tjeneste hos forskjellige selskap.

Krysskorrelering av data i enkeltselskap gir metrikker for egne trusler

Krysskorrelering på tvers av selskapene gir metrikker både for enkeltselskap, tuning-data og verdifull informasjon for kritisk infrastruktur

(27)

Hva kan man se når man ser flere

Early warning for andre

Angrep kamuflert som mundan støy Angrep kamuflert i andre angrep

(28)

Spørsmål? Ta kontakt på [email protected] eller [email protected]

Referanser

Last ned nå ( PDF - 28 sider - 8.96 MB )

RELATERTE DOKUMENTER

Kan Meråker bestå som egen kommune?

Dette er utfordringer Meråker kan jobbe sammen med andre kommuner om, og slik sett kan det vente til hvordan kommune- strukturen etter denne reformperioden blir tydeligere..

Kan de utvikles?

• Personer med demens har behov for mer tjenester fra kommunen enn personer uten demens. • Personer med demens legges tidligere inn på sykehjem enn personer

Vi kan kanskje ikke redde verden, men det er lov å prøve

Slik kan barn også bli hjulpet til å finne andre voksne å kny e seg til dersom egne foreldre er døde eller for traumatisert selv til å ta seg av barnet.. Mange barn kommer ut av

I dette nummeret kan du lese om:

Mykje folk og mange born var samla til hausttakkefest i Lavik kyrkje søndag 29.september 2019.. Det vart ein flott og lang inngangsprosesjon der borna bar inn korger med

- hvordan kan vi

I vårt arbeid som samspill- og kommunikasjonspartnere vil vi ofte føle at det er vanskelig å bryte gjennom den kode - eller de koder - som personer med medfødt døvblindhet bruker for

Mobbedommene og nye tiltak mot mobbing

reindrift Kommunal styring Plan og bygg Samfunnssikkerhet og beredskap.. Foto:

Kan man bli frisk av schizofreni?

Imidlertid er det viktig å understreke at selv om de fleste per- soner med schizofreni er uten psykotiske symptomer mesteparten av tiden, vil en del være preget av følelsesmatthet

Kan metodevurderinger vise oss hva vi kan slutte med i helsevesenet?

Allerede på dette nivået vil man kunne finne ut om nye metoder vil kunne erstatte eksisterende eller gis som tillegg til eksisterende tiltak?. Videre er det gjennom hele