Control driven cyber defense An introduction to 20 critical security controls for effective cyber defense ferdinand.hagethorn@snow.nl Engineer
Agenda Informatiebeveiliging & IT-security Een technische norm: 20 critical security controls De eerste 5 controls & infosec Implementeren van de 20 CSC Conclusie
Informatiebeveiliging & IT-security IT-security: firewalls antivirus update-systemen Intrusion detection/prevention systemen (IDS/IPS) Alles is technisch en niet zo zeer procedureel, juridisch, fysiek, organisatorisch of gericht op personeel
Informatiebeveiliging & IT-security Informatiebeveiliging: volgens de 133 controls uit de ISO27001 annex A: IT gerelateerde controls : 46% ß IT-security controls in relatie tot organizatie / documentatie: 30% Fysieke beveiligingsmaatregelen: 9% Juridische indekking: 6% Controls over relatie-management t.a.v. toeleveranciers en klanten: 5% human resources management controls: 4%
Split brain? IT-security Top down of bottom up? Vanuit techniek of vanuit proces?
20 CSC
Twenty Critical Security Controls for Effective Cyber Defense De 20 CSC
20 CSC Geschiedenis 1/2 2008 aanvraag vanuit DoD naar NSA NSA internal key controls - "For Official Use Only" Consortium van NSA + CIS + SANS
20 CSC Geschiedenis 2/2 Later ook: CESG & CPNI (UK) 1ste draft SANS 20 in 2009 Kennis is gebaseerd op >10 jaar onderzoek SANS instituut trok de kar SANS?
SANS Instituut Sinds 1989-165.000+ professionals - Vendor independent Coöperatief onderzoeks- & trainingeninstituut Computer security trainingen & certificeringen Informatiebeveiligingsonderzoek
Verzelfstandiging 20 CSC 19 augustus 2013 SANS à The Council on CyberSecurity (the CCS) http://www.counciloncybersecurity.org/
20 CSC controls Compatible met - NIST 800-53 - ISO27002 En ook met - ITIL - COBIT - Etc.
Wat doet de controlset? Bestrijdt vulnerability based risk vanuit techniek Zoveel mogelijk automatiseren Tool om beheerdoelstellingen meetbaar te maken
Wat doet het niet? Governance- / beheer-framework Top-down approach
Controls Uitgangspunten
Controls Uitgangspunten Controls hebben direct invloed op weerbaarheid tegen risico's op het gebied van kwetsbaarheden
Controls Uitgangspunten Controls hebben direct invloed op weerbaarheid tegen risicos op het gebied van kwetsbaarheden Controls zijn gebaseerd op daadwerkelijke aanvalsinformatie: > 10 jaar aan relevante informatie
Controls Uitgangspunten Controls hebben direct invloed op weerbaarheid tegen risicos op het gebied van kwetsbaarheden Controls zijn gebaseerd op daadwerkelijke aanvalsinformatie, > 10 jaar aan relevante informatie Effectiviteit bepaalt prioriteit
Controls Uitgangspunten Controls hebben direct invloed op weerbaarheid tegen risicos op het gebied van kwetsbaarheden Controls zijn gebaseerd op daadwerkelijke aanvalsinformatie, > 10 jaar aan relevante informatie Effectiviteit bepaalt prioriteit De top-5 controls worden door gezien als Tier-1 : de fundering
U.S. State Department In 2009: Onderzoek: 3085 aanvallen op de systemen van de U.S. State Department Observatie: Critical Security Controls toepasbaar op vrijwel alle aanvallen. Programma gestart om de 20 CSC te implementeren, de CISO aan het roer
U.S. State Department Resultaat 88% afname van het vulnerability-based risk over ICT-landschap van 85.000 systemen Het programma is nu het model voor grote overheidsinstellingen en bedrijven.
De Top 5 Controls
De Top 5 Controls 1 Hardware asset inventory van geautoriseerde en niet-geautoriseerde apparatuur
De Top 5 Controls 1 Hardware asset inventory van geautoriseerde en niet-geautoriseerde apparatuur NIST SP 800-53 CM - Configuration Management ISO27002 7 - Asset Management PM - Program Management
De Top 5 Controls 2 Software asset inventory van geautoriseerde en niet-geautoriseerde software
De Top 5 Controls 2 Software asset inventory van geautoriseerde en niet-geautoriseerde software NIST SP 800-53 CM - Configuration Management PM - Program Management SA - System and Services Acquisition ISO27002 5 - Security Policy 6 - Organization of Information Security 8 - Human Resources Security 10 - Communications & Operations Management 11 - Access Control 12 - Information Systems Acquisition, Development & Maintenance 15 - Compliance
De Top 5 Controls 3 Veilige standaardinstallaties & -instellingen voor hard- en software
De Top 5 Controls 3 Veilige standaardinstallaties & -instellingen voor hard- en software NIST SP 800-53 CM - Configuration Management PM - Program Management SA - System and Services Acquisition SI - System and Information Integrity ISO27002 5 - Security Policy 6 - Organization of Information Security 8 - Human Resources Security 10 - Communications & Operations Management 11 - Access Control 12 - Information Systems Acquisition, Development & Maintenance 15 - Compliance
De Top 5 Controls 4 Continue controleren & wegnemen van kwetsbaarheden
De Top 5 Controls 4 Continue controleren & wegnemen van kwetsbaarheden NIST SP 800-53 RA - Risk Assessment ISO27002 6 - Organization of Information Security 10 - Communications & Operations Management 12 - Information Systems Acquisition, Development & Maintenance
De Top 5 Controls 5 Malware defenses; anti-virus & anti-spyware
De Top 5 Controls 5 Malware defenses; anti-virus & anti-spyware NIST SP 800-53 SC - System and Communications Protection ISO27002 10 - Communications & Operations Management SI - System and Information Integrity
ITIL aansluiting Service asset & configuration management Patch management Incident management Event management Change management
De Top 5 Controls 1 Hardware asset inventory van geautoriseerde en niet-geautoriseerde apparatuur 2 Software asset inventory van geautoriseerde en niet-geautoriseerde software 3 Veilige standaardinstallaties & -instellingen voor hard- en software 4 Continue controleren & wegnemen van kwetsbaarheden 5 Malware defenses; anti-virus & anti-spyware
Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken
Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken Subcontrols in 4 categorieën: - quick wins - configuration & hygiene - visibility & attribution - advanced
Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken Subcontrols in 4 categorieën Aansluitingen met standaarden (NIST)
Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken Subcontrols in 4 categorieën Aansluitingen met standaarden (NIST) Procedures & tools voor implementatie
Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken Subcontrols in 4 categorieën Aansluitingen met standaarden (NIST) Procedures & tools voor implementatie Metric beschrijving
Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken Subcontrols in 4 categorieën Aansluitingen met standaarden (NIST) Procedures & tools voor implementatie Metric beschrijving Test beschrijving
Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken Subcontrols in 4 categorieën Aansluitingen met standaarden (NIST) Procedures & tools voor implementatie Metric beschrijving Test beschrijving Entity Relationship Diagram
Hoe organisaties de controls implementeren 2 delen 5 stappen
Fase 1 Stap 1 - Awareness & GAP analyse Stap 2 Opstellen implementatie roadmap
Hoe organisaties de controls implementeren (2/2) Stap 3 Implementeren van de eerste fase uit de roadmap van Controls Stap 4 Integratie van de controls in de Business As Usual operations Stap 5 Beheren en rapporteren, KPI rapportages, etc. Hierna stap 3 t/m 5 herhalen voor de volgende fases in de roadmap.
Fasering in de uitrol Op basis van het officieuze Maturity Model
Maturity model 4 tiers (Tier = rank/classificatie) Is een mogelijk startpunt voor een roadmap Control à 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 Top- 5 (Tier 1) Tier 2 Tier 3 Tier 4 NB: Altijd blijven kijken naar de werkelijke bedrijfsrisico s! Tier-1 is wel foundational
Critical Security Controls tier 1 1. Hardware inventory authorized & unauthorized devices (laptops/ desktops/servers/mobile) 2. Software inventory authorized & unauthorized applications 3. Secure configurations for hardware & software 4. Continuous Vulnerability Assessment & Remediation 5. Malware Defenses
Critical Security Controls tier 2 6. Application software security 7. Wireless Device Control 8. Data Recovery Capability 9. Security Skills Assessment and Appropriate Training to Fill Gaps
Critical Security Controls tier 3 10. Secure configurations for network devices (switches/routers/firewalls/etc) 11. Limitation and Control of Network Ports, Protocols and Services 12. Controlled Use of Administrative Privileges 13. Boundary Defense 14. Maintenance, Monitoring and Analyses of Audit logs 15. Controlled Access Based On Need to Know 16. Account Monitoring and Control
Critical Security Controls tier 4 17. Data loss prevention 18. Incident Response & Management 19. Secure Network Engineering 20. Penetration tests and Red team exercises
Fase 1 à Stap 1 - Awareness & GAP analyse ß Stap 2 Opstellen implementatie roadmap
Snow Security Assessment - Top-5 CSC - awareness training & gap-analyse
Snow Top-5: 1-daags assessment Awareness & training Uitleg over de het nut en de noodzaak van de controls, diepgaand bij de eerste 5. Inventarisatie Per control een sessie met de Subject Matter Expert(s) van de organisatie, waarin diep wordt ingegaan op de control en de huidige situatie in kaart wordt gebracht Resultaat Een rapportage van aandachtspunten met de daaraan gerelateerde risico s, de echte blind-spots op basis van de Top-5 critical security controls
Conclusie Resultaatgedreven, vanuit techniek Laaghangende fruit het eerst met de 20 CSC Tier 1 vereist processen vanuit de techniek Processen vereisen ook techniek: Van papieren tijger naar echte tijger Certificering is een middel, niet een doel en 20 CSC ondersteunen dit
20 CSC Middel
Bedankt!