Hoe zorg je ervoor dat je geen slachtoffer wordt van Cybercrime

Presentatie over: "Hoe zorg je ervoor dat je geen slachtoffer wordt van Cybercrime"— Transcript van de presentatie:

1 Hoe zorg je ervoor dat je geen slachtoffer wordt van Cybercrime
Stef Liethoff Stef_Liethoff

2 Cloud app revenue explosion
First and foremost, it shouldn’t come as a surprise that cloud computing is one of the most dramatic workplace shifts we’ve seen in decades. When we think about cloud app growth, it’s often about individuals’ usage of apps like Box and Dropbox. The reality is every line of business is adopting cloud apps, whether for HR, finance, supply chain, or business intelligence. Mobile, the other major crossover we’re seeing – with mobile devices and access surpassing that of PCs in virtually every measure – has fueled this shift. Cloud is no longer a question – it’s the way we do business.

3 Hoe komen cloud apps binnen de organisatie
10% IT-led Gecontrolleerd 70% Business-led Meestal ongecontrolleerd (buiten IT om) 20% User-led

4 Realiteit: IT heeft geen overzicht meer wat er gebeurt!
Cloud Services Business Critical Business gaat buiten IT om en installeren Cloud apps Lastig voor IT om alle cloud apps te beheren en te beveiligen Cloud app per direct beschikbaar. Via IT duurt het te lang Verbindingen lopen niet altijd via datacenter Business verwacht wel dat IT alles veilig houdt en de performance wordt gegarandeerd IT heeft twee keuzes: IT blokkeert, Business zet toch door IT faciliteert en maakt gebruik cloud apps acceptabel en veilig voor de business Training videos from iPhone Sales from the road on iPad Office from everywhere Corporate storage Marketing user groups HQ Home/Hotspot Regional Hub VPN On-the-go Branch Branch

5 Lopen we teveel met onze hoofd in de wolken?

6 Waarop zal een hacker zich richten?
Cloud Services Business Critical Data Center Services Business Critical

7 Hoe ziet een gerichte aanval eruit?
April 7, 2017 Hoe ziet een gerichte aanval eruit? Attackers Move Methodically to Gain Persistent & Ongoing Access to Their Targets Net use commands Reverse shell access Backdoor variants VPN subversion Sleeper malware Maintain Presence Move Laterally Initial Compromise Establish Foothold Escalate Privileges Internal Recon Complete Mission Social engineering Spear phishing with custom malware Custom malware Command and control 3rd party application exploitation Credential theft Password cracking “Pass-the-hash” Critical system recon System, active directory & user enumeration Staging servers Data consolidation Data theft Key Points: This slide shows some of the key tactics that attackers are using at each stage of the attack. At organizations where Mandiant responded to a targeted attack in the last year, the typical attacker went undetected for 229 days. Copyright © 2010, Mandiant Corp.

8 10-stappen plan voor Cloud vertrouwen!
Are you being compromised? Welke “kroonjuwelen” in de cloud en welke impact? Welke cloud apps zijn er nu in gebruik? Analyseer de cloud apps? Monitor, detectie en forensisch onderzoek Classificeer data en voorkom dataverlies? Handhaaf gebruik cloud apps en data via policies? Bescherm uw endpoints tegen Cybercrime aanvallen? Incident response Controleer uw Cloud Service provider (en u zelf) Nováccent Company

9 1) Are you being compromised?

10 2) Welke kroonjuwelen in de cloud en welke impact?

11 3) Welke cloud apps zijn er nu in gebruik?
Inventariseer alle cloud apps (IT goedgekeurd of niet) Waar draaien apps op en waar vandaan Beoordeel apps of ze geschikt zijn voor bedrijfsmatige doeleinden (security, business continuity, auditable) Beoordeel risico’s Standaardiseer waar mogelijk

12 4) Analyseer de cloud apps
Wie gebruikt de app, welke groepen gebruikers, welk device, welke browser, locatie, tijd Welke activiteiten voert app uit: download, upload, share, edit, beheer Welke data wordt gedeeld: files, welke classificatie, mag dit conform policy Welke data bevindt zich binnen de app, mag dit conform de policy

13 5) Monitor, detectie en forensisch onderzoek
Uit analyse blijkt dat een medewerker die op het punt staat de organisatie te verlaten, een excel sheet met alle klantgegevens heeft ge upload naar een cloud storage app. De toegang tot deze app is met zijn persoonlijke login! IT wil een audit trail hebben van iedere cloud app actie van de betreffende gebruiker Monitoren en analyseren van gebruikers activiteiten en detecteren van afwijkend gedrag Forensisch onderzoek naar aanleiding van een incident, bv datalek

14 6) Classificeer data en voorkom dataverlies?
Classificeer de data (gebruiker, DLP of hybride) en merk de informatie met deze classificatie informatie Beveilig de bron tegen ongeautoriseerde toegang en gebruik, onafhankelijk waar het document staat (binnen of buiten) Neem risico weg dat geautoriseerde gebruikers informatie (per ongeluk) delen met ongeautoriseerde gebruikers Behoud controle over de privacy, vertrouwelijkheid en integriteit van informatie door de toegang en gebruiksrechten te beperken Audit het gebruik en delen van informatie. Audittrail is van belang bij forensisch onderzoek

15 7) Handhaaf gebruik cloud apps en data via policies?
Voorbeelden: Faciliteer gebruik collaboration apps, maar voorkom dat vertrouwelijke informatie gelezen kan worden door mensen buiten de organisatie Voorkom file uploads met gevoelige informatie naar cloud storage apps of zorg ervoor dat de data beveiligd is Sta toe dat HR medewerkers toegang hebben tot HR apps, maar zorg ervoor dat bv de informatie niet gedownload kan worden buiten Nederland of informatie niet ingezien kan worden buiten de organisatie

16 8) Bescherm uw endpoints tegen Cybercrime aanvallen?
FireEye threat prevention platform (NX, EX, FX, or AX) detects threat and generates alerts with analysis detail. Detect Upon matching an indicator, a threat is confirmed. Agent notifies HX which then alerts the operator. Validate HX is notified. HX generates indicator and pushes to endpoint agents. Agents look for matching events in look-back cache and continues to monitor future events. Discover Operator can contain the compromised endpoint by blocking all traffic with single click workflow while continue with investigation Contain IOCs Notify Contain Confirm A A A A A A A A A A A A A A A

17 Priority = detection & response
9) Incident response Prevention=Friction Layered security slows down targeted attacks but cannot fully stop them. Firewall IPS/IDS Antivirus Now What?? Priority = detection & response When determined attackers get through, rapid detection and response ensures they do not achieve their ultimate objective.

18 10) Controleer uw Cloud Service provider
Voldoet uw provider aan de Cloud Controls Matrix (CCM) van de Cloud Security Alliance? CCM levert u ook inzicht wat er aan uw zijde dient te gebeuren CCM is gebaseerd op industrie- standaarden als ISO 27001/27002, ISACA COBIT, PCI, NIST ISAE3402 verklaring en A&P testen

19 Allow is the new block (allow is new block green light slide)

20 Samenvattend: Inzicht krijgen Wat wil ik (policy)
Huidig gebruik Ben ik al gehackt? Wat wil ik (policy) Handhaven en controleren Het 10-stappenplan van Nováccent biedt een praktische leidraad om te komen tot “Met vertrouwen Leven op de Cloud”

21