Carsten Maartmann-Moe 14.09.2015, ISF Høstkonferansen 2015

1. Måling og visualisering
av informasjonssikkerhet
Carsten Maartmann-Moe
14.09.2015, ISF Høstkonferansen 2015

2. Hos Transcendent Group møter du erfarne
konsulenter innen governance, risk and compliance.
Våre tjenester skaper trygghet og muligheter for
myndigheter, offentlige og private selskaper og
organisasjoner innen en rekke ulike bransjer.
Les mer om oss på www.transcendentgroup.com
Om selskapet
©TranscendentGroupNorgeAS2015

3. Jeg kommer ikke til å snakke om IT-
sikkerhet og dashboards
©TranscendentGroupNorgeAS2015

4. Hvorfor skal vi måle?
©TranscendentGroupNorgeAS2015

5. Hvordan måler man noe som er
uhåndgripelig og ikke kvantifiserbart?
Måling av ROI innenfor informasjonssikkerhet er
vanskelig:
• Hvor mye sparer du i unngåtte sikkerhetshendelser?
• Må du motregne dette mot tap av brukervennlighet
som følge av innførte sikkerhetstiltak?
• Får vi virkelig verdi av verktøy X før vi har bemanning
til å fikse rotårsakene til problemene vi opplever?
©TranscendentGroupNorgeAS2015

6. Sikkerhet er en prosess – men det finnes
dårlige prosesser
Ignoranse
Har jeg et
problem?
Ja, verktøy fra
leveran-dør X
sier det
Panikk
“Fiks”
problemet
©TranscendentGroupNorgeAS2015

7. Hva skal målingen(e) besvare?
• Hvor vi har problemer / om ting fungerer som det
skal?
• Om vi klarer å endre adferd?
• Statistikk?
• Compliance?
©TranscendentGroupNorgeAS2015

8. Hvordan skal vi kommunisere
resultater?
©TranscendentGroupNorgeAS2015

9. Metric definition: Email encryption
adoption rate
Justification: Measures the ROI of the [removed] email encryption solution.
Description % emails sent encrypted, grouped on internal, external and total
Type Compliance and implementation
Frequency Monthly
Formula # emails encrypted per month / total email volume per month * 100
Audience/customer [Client org. unit]
Responsible party [Client resources responsible for measurement]
Data source [removed] Email Encryption and Exchange
Target type Higher is better
Target Steady increase in adoption
ISO 27k ref. 10.1 Cryptographic controls
Comments and
notes
Scripting needed to pull data automatically, estimated to 8 hours.
©TranscendentGroupNorgeAS2015

10. Eksempler på målinger
©TranscendentGroupNorgeAS2015

11. Hva skjer: antall sikkerhetshendelser
3
5
8
4
5
3
0
1
2
3
4
5
6
7
8
9
Q2-12 Q3-12 Q4-12 Q2-13 Q3-13 Q4-13
©TranscendentGroupNorgeAS2015

12. Trend: # medium+high sårbarheter i
Internett-eksponerte systemer
2,3
1,4 1,4
2,4
1,8
0,8
0,6
0,0
0,5
1,0
1,5
2,0
2,5
0
5
10
15
20
25
30
35
40
45
50
Medium+Highsårbarheterpersystem
Antallsårbarheter
Low Medium High M+H vulns. per system
©TranscendentGroupNorgeAS2015

13. Asia
Usikkerhet: risikostatus fordelt per region
EU USA
Operations IT
HR Compliance
Marked og salg
Marked og salg
Operations
HR
IT
Compliance
Størrelsen av firkantene representerer antall systemer hver forretningsenhet. Fargen
indiker risiko og usikkerhet (rød = dårlig, grønn = bra, grå = vi vet ikke ennå)
HR
Marked og salg
Operations Compliance
©TranscendentGroupNorgeAS2015

14. Bruke målinger til å trigge
endring
©TranscendentGroupNorgeAS2015

15. Passord
Passordstyrke er en av de viktigste sikkerhetstiltakene
Men vi vet at å bruke sterke passord ikke er lett:
• Det er ikke lett å lage sterke passord
• Det er ikke lett å huske på passord
• Det finnes få enterprise-ready løsninger som fjerner behovet for
passord
• Regler om kompleksitet og passordbytte bidrar til at brukere
velger svake passord (“passordsyken”)
©TranscendentGroupNorgeAS2015

16. Måling av ISF-deltagere
©TranscendentGroupNorgeAS2015

17. Måling – resultat
0%
20%
40%
60%
80%
100%
Har ett sterkt passord på
jobben
Tror den
gjennomsnittlige
kollegaen har ett sterkt
passord på jobben
Tror [teknisk utfordret
person] har ett sterkt
passord jobben
ISF
Vanlige mennesker
©TranscendentGroupNorgeAS2015

18. Passordbytte er ment å minimere skade
• Tanken er at hvis man bytter
passord ofte, så minimerer
man tiden en angriper har
disponibel til å utnytte det
kompromitterte passordet.
• Hvis policyen din er å bytte
hver 90. dag, sier du egentlig
at det er akseptabelt at en
angriper kan benytte
kompromittert ett passord i
45 dager.
Statistisk sannsynlig tidspunkt
for kompromittering av
passord
90dager
45dager
©TranscendentGroupNorgeAS2015

19. Men: Forskning viser at passordbytter
ikke virker
“To be economically justifiable, time spent by computer users changing passwords
should yield $16 billion in annual savings from averted harm.”
Microsoft: So long, and no thanks for the externalities: The rational rejection of security advice by
users (2010)
“[…] our evidence suggests it may be appropriate to do away with password
expiration altogether, perhaps as a concession while requiring users to invest the
effort to select a significantly stronger password than they would otherwise (e.g., a
much longer passphrase).”
Yinqian Zhang: The security of modern password expiration: An algorithmic framework and
empirical analysis (ACM CCS 2010)
©TranscendentGroupNorgeAS2015

20. Passordbytte virker
også mot sin hensikt
Hvor mange av dere har et «system»
for å lage nye passord?
©TranscendentGroupNorgeAS2015

21. Passordbytte koster samfunnet
Mørketallsundersøkelsen 2014
estimerer at man på grunn av
datakriminalitet i Norge taper.
19 MrdNOK årlig
(19 000 000 000)
Passordbytte: Hvis 2,7 millioner
nordmenn i arbeid* bruker 1
time totalt årlig @ ca. 500
NOK* i verdiskapning i timen
så er det.
1,35 MrdNOK årlig i tapt
verdiskapning
(1 350 000 000)
*) Kilder: 2015, Sintef og SSB
©TranscendentGroupNorgeAS2015

22. Vi ønsker å måle passordstyrken
Hvor sterke passord de ansatte lager er en god indikator,
og svarer blant annet på følgende spørsmål:
• Skjønner mine ansatte kommunikasjonsmaterialet rundt
passord som er en del av awareness-kampanjen?
• Endrer de oppførsel (lager de sterke passord)?
• Fungerer de tekniske passordkontrollene som skal sikre
ett sterkt passord?
©TranscendentGroupNorgeAS2015

23. Så hva planlegger vi å gjøre?
• Fjerne policyen om at alle må bytte passord hver 90. dag
• Hver 90. dag trekker vi ut krypterte passord fra AD, og forsøker
å knekke dem
• De passordene vi knekker vil vi resette (på samme måte som før,
dvs. at brukeren får 14 dager på seg)
• Vi vil inkludere informasjon som gjør det enkelt for brukerne å
forstå hvordan de lager ett sterkt passord som er enkelt å huske
• Så lenge du har ett passord som du aldri må bytte håper vi at
dette vil gjøre det enklere å huske
• Vi vil måle fremgangen kontinuerlig
©TranscendentGroupNorgeAS2015

24. Hvordan kommuniserer vi det?
• Vi jobber kontinuerlig med å forbedre sikkerheten og gjøre det enklere for
alle ansatte i [navn]
• Som en del av dette arbeidet har vi identifisert at kravet om passordbytte
hver 90. dag tar uhensiktsmessig mye av ansattes tid og ikke har noen
positiv effekt på sikkerheten
• Derfor har vi vedtatt at de som lager sterke passord slipper å bytte passord i
fremtiden
• Vi kommer til å teste passordene deres med jevne mellomrom
• Dersom du har et svakt passord må du fortsette å bytte passord hver 90.
dag, på samme måte som i dag
• Dersom du lager et sterkt passord trenger du aldri bytte
passord igjen
©TranscendentGroupNorgeAS2015

25. Hvordan måler vi det og hva slags
resultater forventer vi?
Måling:
• Vesentlig forbedring i
passordkvalitet
• Konkret og målbar forbedring av
sikkerheten
Resultater:
• Reduserte kostnader: passordbytte,
glemte passord (support)
• Økt tilfredshet hos ansatte
80%
Tid Tid
Passord
cracket
Kostnad
passordbytte
©TranscendentGroupNorgeAS2015

26. Metric definition: Password strength
Justification: Password strength has great impact on overall security, and measures user’s behaviour and
awareness of [Client] governance and policies. Can be used to drive positive change*.
Description
% of Microsoft AD passwords cracked within a 24-hour timeframe, separated on
regular users and system administrators
Type Impact
Frequency Quarterly
Formula Number of passwords cracked / total number of user accounts * 100
Audience/customer [Client org unit]
Responsible party [Client resources]
Data source Microsoft AD
Target type Lower is better
Target 10 % on regular users, 0 % on system administrators
ISO 27k ref. 9.4 System and application access control
Comments and notes
Development and deployment needed to pull & analyze data, estimated to [#]
hours.
*) Metric has to be implemented together with governance and communication activities, see page [ref]
©TranscendentGroupNorgeAS2015

27. Oppsummering
©TranscendentGroupNorgeAS2015

28. Oppsummering
• Bruk målinger aktivt til å forbedre
hvordan dere jobber med
informasjonssikkerhet
• Visualiser målingene for å
understreke problemer, risiko eller
usikkerhet
©TranscendentGroupNorgeAS2015

29. Vanlige problemer og potensielle
løsninger
• Målingen viser at det vi gjør har liten effekt: Bra – presenter resultatet og
revurder det du gjør!
• Manglende automatisering: Start manuelt og med et par målinger, fortsett å
automatisere over tid samtidig som du ruller på nye målinger
• Målingen svarer ikke på spørsmålet «hvor sikker er jeg?»: Ikke alene, men
sammen med de andre målingene så viser den at vi forbedrer oss
• «Informasjonen er for teknisk for ledelsen»: Dersom du klarer å fremstille den
riktig så vil du finne at det er få andre i virksomheten som er bedre rustet til å
takle kompleksitet enn ledelsen
©TranscendentGroupNorgeAS2015

30. www.transcendentgroup.com