Control driven cyber defense

Transcriptie

1 Control driven cyber defense An introduction to 20 critical security controls for effective cyber defense Engineer

2 Agenda Informatiebeveiliging & IT-security Een technische norm: 20 critical security controls De eerste 5 controls & infosec Implementeren van de 20 CSC Conclusie

3 Informatiebeveiliging & IT-security IT-security: firewalls antivirus update-systemen Intrusion detection/prevention systemen (IDS/IPS) Alles is technisch en niet zo zeer procedureel, juridisch, fysiek, organisatorisch of gericht op personeel

4 Informatiebeveiliging & IT-security Informatiebeveiliging: volgens de 133 controls uit de ISO27001 annex A: IT gerelateerde controls : 46% ß IT-security controls in relatie tot organizatie / documentatie: 30% Fysieke beveiligingsmaatregelen: 9% Juridische indekking: 6% Controls over relatie-management t.a.v. toeleveranciers en klanten: 5% human resources management controls: 4%

5 Split brain? IT-security Top down of bottom up? Vanuit techniek of vanuit proces?

6

7 20 CSC

8 Twenty Critical Security Controls for Effective Cyber Defense De 20 CSC

9 20 CSC Geschiedenis 1/ aanvraag vanuit DoD naar NSA NSA internal key controls - "For Official Use Only" Consortium van NSA + CIS + SANS

10 20 CSC Geschiedenis 2/2 Later ook: CESG & CPNI (UK) 1ste draft SANS 20 in 2009 Kennis is gebaseerd op >10 jaar onderzoek SANS instituut trok de kar SANS?

11 SANS Instituut Sinds professionals - Vendor independent Coöperatief onderzoeks- & trainingeninstituut Computer security trainingen & certificeringen Informatiebeveiligingsonderzoek

12 Verzelfstandiging 20 CSC 19 augustus 2013 SANS à The Council on CyberSecurity (the CCS)

13 20 CSC controls Compatible met - NIST ISO27002 En ook met - ITIL - COBIT - Etc.

14 Wat doet de controlset? Bestrijdt vulnerability based risk vanuit techniek Zoveel mogelijk automatiseren Tool om beheerdoelstellingen meetbaar te maken

15 Wat doet het niet? Governance- / beheer-framework Top-down approach

16 Controls Uitgangspunten

17 Controls Uitgangspunten Controls hebben direct invloed op weerbaarheid tegen risico's op het gebied van kwetsbaarheden

18 Controls Uitgangspunten Controls hebben direct invloed op weerbaarheid tegen risicos op het gebied van kwetsbaarheden Controls zijn gebaseerd op daadwerkelijke aanvalsinformatie: > 10 jaar aan relevante informatie

19 Controls Uitgangspunten Controls hebben direct invloed op weerbaarheid tegen risicos op het gebied van kwetsbaarheden Controls zijn gebaseerd op daadwerkelijke aanvalsinformatie, > 10 jaar aan relevante informatie Effectiviteit bepaalt prioriteit

20 Controls Uitgangspunten Controls hebben direct invloed op weerbaarheid tegen risicos op het gebied van kwetsbaarheden Controls zijn gebaseerd op daadwerkelijke aanvalsinformatie, > 10 jaar aan relevante informatie Effectiviteit bepaalt prioriteit De top-5 controls worden door gezien als Tier-1 : de fundering

21 U.S. State Department In 2009: Onderzoek: 3085 aanvallen op de systemen van de U.S. State Department Observatie: Critical Security Controls toepasbaar op vrijwel alle aanvallen. Programma gestart om de 20 CSC te implementeren, de CISO aan het roer

22 U.S. State Department Resultaat 88% afname van het vulnerability-based risk over ICT-landschap van systemen Het programma is nu het model voor grote overheidsinstellingen en bedrijven.

23 De Top 5 Controls

24 De Top 5 Controls 1 Hardware asset inventory van geautoriseerde en niet-geautoriseerde apparatuur

25 De Top 5 Controls 1 Hardware asset inventory van geautoriseerde en niet-geautoriseerde apparatuur NIST SP CM - Configuration Management ISO Asset Management PM - Program Management

26 De Top 5 Controls 2 Software asset inventory van geautoriseerde en niet-geautoriseerde software

27 De Top 5 Controls 2 Software asset inventory van geautoriseerde en niet-geautoriseerde software NIST SP CM - Configuration Management PM - Program Management SA - System and Services Acquisition ISO Security Policy 6 - Organization of Information Security 8 - Human Resources Security 10 - Communications & Operations Management 11 - Access Control 12 - Information Systems Acquisition, Development & Maintenance 15 - Compliance

28 De Top 5 Controls 3 Veilige standaardinstallaties & -instellingen voor hard- en software

29 De Top 5 Controls 3 Veilige standaardinstallaties & -instellingen voor hard- en software NIST SP CM - Configuration Management PM - Program Management SA - System and Services Acquisition SI - System and Information Integrity ISO Security Policy 6 - Organization of Information Security 8 - Human Resources Security 10 - Communications & Operations Management 11 - Access Control 12 - Information Systems Acquisition, Development & Maintenance 15 - Compliance

30 De Top 5 Controls 4 Continue controleren & wegnemen van kwetsbaarheden

31 De Top 5 Controls 4 Continue controleren & wegnemen van kwetsbaarheden NIST SP RA - Risk Assessment ISO Organization of Information Security 10 - Communications & Operations Management 12 - Information Systems Acquisition, Development & Maintenance

32 De Top 5 Controls 5 Malware defenses; anti-virus & anti-spyware

33 De Top 5 Controls 5 Malware defenses; anti-virus & anti-spyware NIST SP SC - System and Communications Protection ISO Communications & Operations Management SI - System and Information Integrity

34 ITIL aansluiting Service asset & configuration management Patch management Incident management Event management Change management

35 De Top 5 Controls 1 Hardware asset inventory van geautoriseerde en niet-geautoriseerde apparatuur 2 Software asset inventory van geautoriseerde en niet-geautoriseerde software 3 Veilige standaardinstallaties & -instellingen voor hard- en software 4 Continue controleren & wegnemen van kwetsbaarheden 5 Malware defenses; anti-virus & anti-spyware

36 Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken

37 Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken Subcontrols in 4 categorieën: - quick wins - configuration & hygiene - visibility & attribution - advanced

38 Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken Subcontrols in 4 categorieën Aansluitingen met standaarden (NIST)

39 Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken Subcontrols in 4 categorieën Aansluitingen met standaarden (NIST) Procedures & tools voor implementatie

40 Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken Subcontrols in 4 categorieën Aansluitingen met standaarden (NIST) Procedures & tools voor implementatie Metric beschrijving

41 Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken Subcontrols in 4 categorieën Aansluitingen met standaarden (NIST) Procedures & tools voor implementatie Metric beschrijving Test beschrijving

42 Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken Subcontrols in 4 categorieën Aansluitingen met standaarden (NIST) Procedures & tools voor implementatie Metric beschrijving Test beschrijving Entity Relationship Diagram

43

44

45 Hoe organisaties de controls implementeren 2 delen 5 stappen

46 Fase 1 Stap 1 - Awareness & GAP analyse Stap 2 Opstellen implementatie roadmap

47 Hoe organisaties de controls implementeren (2/2) Stap 3 Implementeren van de eerste fase uit de roadmap van Controls Stap 4 Integratie van de controls in de Business As Usual operations Stap 5 Beheren en rapporteren, KPI rapportages, etc. Hierna stap 3 t/m 5 herhalen voor de volgende fases in de roadmap.

48 Fasering in de uitrol Op basis van het officieuze Maturity Model

49 Maturity model 4 tiers (Tier = rank/classificatie) Is een mogelijk startpunt voor een roadmap Control à Top- 5 (Tier 1) Tier 2 Tier 3 Tier 4 NB: Altijd blijven kijken naar de werkelijke bedrijfsrisico s! Tier-1 is wel foundational

50 Critical Security Controls tier 1 1. Hardware inventory authorized & unauthorized devices (laptops/ desktops/servers/mobile) 2. Software inventory authorized & unauthorized applications 3. Secure configurations for hardware & software 4. Continuous Vulnerability Assessment & Remediation 5. Malware Defenses

51 Critical Security Controls tier 2 6. Application software security 7. Wireless Device Control 8. Data Recovery Capability 9. Security Skills Assessment and Appropriate Training to Fill Gaps

52 Critical Security Controls tier Secure configurations for network devices (switches/routers/firewalls/etc) 11. Limitation and Control of Network Ports, Protocols and Services 12. Controlled Use of Administrative Privileges 13. Boundary Defense 14. Maintenance, Monitoring and Analyses of Audit logs 15. Controlled Access Based On Need to Know 16. Account Monitoring and Control

53 Critical Security Controls tier Data loss prevention 18. Incident Response & Management 19. Secure Network Engineering 20. Penetration tests and Red team exercises

54 Fase 1 à Stap 1 - Awareness & GAP analyse ß Stap 2 Opstellen implementatie roadmap

55 Snow Security Assessment - Top-5 CSC - awareness training & gap-analyse

56 Snow Top-5: 1-daags assessment Awareness & training Uitleg over de het nut en de noodzaak van de controls, diepgaand bij de eerste 5. Inventarisatie Per control een sessie met de Subject Matter Expert(s) van de organisatie, waarin diep wordt ingegaan op de control en de huidige situatie in kaart wordt gebracht Resultaat Een rapportage van aandachtspunten met de daaraan gerelateerde risico s, de echte blind-spots op basis van de Top-5 critical security controls

57 Conclusie Resultaatgedreven, vanuit techniek Laaghangende fruit het eerst met de 20 CSC Tier 1 vereist processen vanuit de techniek Processen vereisen ook techniek: Van papieren tijger naar echte tijger Certificering is een middel, niet een doel en 20 CSC ondersteunen dit

58 20 CSC Middel

59 Bedankt!

60