Jan-Olof kallas ofta för JOA och han har 40 år i branschen. Det kan ju verka lite märkligt, men tanke på att IT-säkerhet är runt 25 år gammal som bransch. Men JOA jobbar inom Infosec har arbetat med området då det handlade mycket om fysisk säkerhet. Han är också författare till flera böcker och har talat för sitt ämne i lika länge.
Tobias däremot har bara skrivit en bok, än så länge, mne valdes till ”Årets GRC profil” av organisationen Government Risk Complianc
Världen är föränderlig och att titta djupare på hur den ser ut just nu, är en spännande och ibland förvånande resa. Just när man tror att man fattat hur det fungerar, ändras spelplanen.
Avsnittet: 129 – GTCC, möt 18 skarpa IT-hjärnor i september
Inspelat: 2021-07-07 (publicerat 2021-07-18)
Deltagare: Kent Illemann, Ulf Berglund, Erik Zalitis och Ina Nordqvist
Detta avsnitt är ett samarbete med SIG Security.
Va, är vår semester redan slut? Nix, men vi har ändå tid att ge er nyheten om Nordens nya IT-säkerhetskonfens: GTC. I samarbete med SIG Security tar vi nu alltså pulsen på de 18 säkerhetsexperter som kommer berätta om vad som händer i IT-säkerhet- och InfoSec-området just nu.
Kent, Ulf och Ina samlades hemma hos mig en onsdag eftermiddag där vi hade allt uppkopplat. Man samlades ute på min balkong, medan jag gjorde klart det sista och sedan körde vi igång. Det skulle ha blivit 90 minuter, men istället märkte vi att 45 räckte. Efter att ”saxen” gått i ”bandet”, var vi nere i nästa 37 minuter. Detta är exakt som det ska vara. Det är bara fördelar med att hålla sådana här diskussioner rimligen korta och koncisa. Allt viktigt hann sägas.
Jacob Henricson
CISO, Skanska Sverige
http://skanska.com
Erik Blomberg
CISO, Handelsbanken
http://handelsbanken.se
Eva Throne-Holst
Information Security Officer, Nordnet Bank
http://nordnet.se
Sandra Elvin
CISO, Microsoft
http://microsoft.com
Tony Kylberg
CSO, Head of Group Security & Cyber Defence and Third Party Governance, SEB
http://seb.se
Thomas Nilsson
CIO, Försvarsmakten
http://forsvarsmakten.se
Anne-Marie Eklund Löwinder
Säkerhetschef, Internetstiftelsen
http://internetstiftelsen.se
Rebecca Ihrfors
Chef ledningssystem, FMV
http://fmv.se
Brian O’Toole
Head of Digital Services Security Center, Ericsson
http://ericsson.com
Helena Lindberg
Sveriges Riksrevisor, Riksrevisionen
http://riksrevisionen.se
David Jacoby
Senior Security Researcher, Kaspersky
http://kaspersky.com
Marcus Södervall
Head of Security & DPO, Stravito
http://stravito.se
Nicklas Kjellin
CTO, Covr Security AB
http://covrsecurity.com
Viktor Laszlo
Grundare, Devfinity
Daniel Melin
Moln- och datacenterstrateg, Skatteverket
http://www.skatteverket.se
Johan Christenson
Grundare och VD, City Network
https://citynetwork.se/om-foretaget/
Magnus Bergström
It-säkerhetsspecialist
http://imy.se
Anna Rehnström
VP Infrastructure & Platform Services, Basefarm
http://basefarm.com
Avsnittet: 124 – Cyberpsykologi – en grundsten i riskhantering
Inspelat: 2021-05-14 (publicerat 2021-05-16)
Deltagare: Mattias Jadesköld, Erik Zalitis och Robert Willborg
Detta avsnitt är ett samarbete med SIG Security.
Nu har vi ju många gånger sagt att social engineering är den mest kraftfulla attacken mot ett företag. Alltså att lura folk att hjälpa dig läcka ut deras data, ta över deras system eller helt enkelt gör det du säger till dem att göra. Inga brandväggar skyddar mot sådant.
Vi har talat om hur insiderhoten ser ut, så nu är det dags att diskutera riskhanteringen i frågan: alltså hur hanterar du risken som dina användare kan vara? Cyberpsykologi! Alltså att se våra mänskliga beteenden som en viktig del i riskmodellering och hantering.
Detta kan verka självklart och till och med floskelvarning, men det är skillnad på att säga att det är viktigt gentemot att faktiskt skapa policies, arbetsmetoder och sköta riskerna konsekvent genom att se psykologin som en central faktor. Alltså, fråga dig själv detta: hur ofta bryr du dig om att tänka på säkerhet ur ett psykologiskt perspektiv?
A) Ibland om det känns bra,
B) Har väl gjort det någon gång.
C) Vi gör inte det idag. Men vi tänker på att införa det.
D) En gång gjorde jag det… Låt mig berätta om detta tillfälle… Allt jag vet om IT-säkerhet bygger på denna händelse.
E) Vi gör det idag och har en plan där alla delar är byggda så att vi tar hänsyn till hur människor tänker och agerar.
Allt annat än E) är att inte inte göra någonting alls.
Det är också viktigt att inte skapa personberoenden, att se till att IT-avdelningen inte blir den sura grindvakten som säger ”Nej” till det mesta, att förstå men inte acceptera att folk pinkar in revir, få bort ”my little server”-administratörerna som hellre startar ett krig mot IT-avdelningen än att bli av med den där servern som de har under skrivbordet.
Men var är säkerheten i detta? Svaret är att det blir säkrare när folk känner att de är delaktiga i att följa policies, acceptera att de inte kan få behålla sina höga behörigheter utan att det finns en anledning och att man gör instruktioner och utbildningar som är lätta att förstå och ta till sig.
Att använda cyberpsykologi är att kunna bygga en organisation som faktiskt arbetar mot att hålla en högre säkerhetsnivå rent allmänt.
Diskussionen kommer också in på frågan om hur vi gör när vi anställer folk. När vi tittar på deras bakgrund, är det konstigt om det inte finns några avtryck på nätet? För en 60-åring? Kanske inte? För en 20-åring? Ja, det är mer rimligt att det borde finnas.
Sen är moral och vad vi ser som varningstrianglar när vi tittar på andra personer också något som förändras över tiden. Bill Clinton vågade inte erkänna att han ”rökt på”, så han sa ”I smoked, but did not inhale”. Detta gjorde att han klarade den, för den tiden, kontroversiella frågan. I slutet av 2006 fick Obama också frågan och sa med humor i rösten: ”I inhaled frequently…that was the point.”. Vid den tiden och med tanke på Obamas ungdomliga framtoning, var det inte längre ett problem.
Rekommenderade böcker inom cyberpsykologi:
Mary Aiken: The Cyber Effect
Christopher Hadnagy: Social Engineering, the art of human hacking
Patrik Wincent: Den Digitala Drogen
Yasmin Winberg och Julia Lundin: Badfluencer
Kevin Mitnick: The art of Deception
Kevin Mitnick: The art of Intrusion
Avsnittet: #118 – Praktiska råd efter Schrems II
Inspelat: 2021-03-26 (publicerat 2021-04-03)
Deltagare: Erik Zalitis och Per Gustavsson
Detta avsnitt är ett samarbete med SIG Security.
Så vad göra när molnet är en röra av legala fällor och möjlighet för Amerikanska myndigheter att begära ut Europeers data från datacenter placerade i USA?
Visst har vi pratat om det hela i avsnitt 102 med Agnes Hammarstrand, men helt ärligt, det känns som vi gärna vill ta detta även med en organisation som kan berätta om hur Schrems II påverkat dem i verkligheten. Denna organisation är Göteborgs stad som via SIG Security givit Per Gustavsson, deras Chief Information Security Officer (CISO), möjligheten att förklara situationen för oss.
Så vad innebär det att Schrems II-domen invaliderar USAs ”Privacy Shield” ? Detta är något som Göteborgs stad varit tvungna att ta hänsyn till. Man har också varit en av de få i Sverige som använt Microsofts customer lockbox, något som de nu överger, men varför? Lyssna på avsnittet så får du klarhet i frågan.
Episode: #117 – Pentest och ekonomi (eng)
Recorded: 2021-03-26 (published 2021-03-28)
Participants: Erik Zalitis and Simon Roe (Outpost24)
This episode is brought to you by SIG Security.
This text and the podcast is in English as mr Roe is a native English speaker.
So where to begin? I will assume you know what penetration testing means. Instead I will try to interpret Simon’s ideas and counter them with my own. I agree with much of what he says, but have some other experiences on some occasions.
Simon likes to talk about the future of pentesting by comparing it to Netflix. Instead of a lengthy negotiation of terms and prices, only to be told ”we will be able to start in eight weeks”, it should be a formalized process and little waiting times. This will mean that recurrent testing with short intervals can be done.
A common process is that you tell the customer that this is a 10 hour test or we need 40 hours. Simon rather tells you that this is what you get for x hours. He also believes that the customer should be able to see the tentative finding as the test runs and then fix them and ask the tester to retest within the tests original time frame.
Let’s first talk about where I agree with him:
The tests must be more formalized. Pentesting used to be long winded negotiation and suffer from some ”rockstar hacker” mentality. The testers were seen as super talented hackers that could warrant the exorbitant pricing. This is thankfully over now. The prices of testing is slowly decreasing as it should and there are many frameworks for testing available. Simon may talk about a Netflix (”Click to order”) approach, but for me it looks more like the ”order a new server by calling the customer manager” as opposed to the modern ”click a button to provision a new server on Amazon AWS”. I’m 100% with Simon here.
The reports and status should be available on a portal. This can make the process of delivering the bad news more secure, so the company gets the report and not some opportunistic hackers. The portal must have very heavy security and also feature automatic destruction of data and multifactor authentication not to say auditing.
Where I have other views on the matter
He wants to publish results on the portal as the test proceeds and also let the tester re-test (as I wrote previously). This is not something I would do. The rationale is that test must be allowed to finish before analysis can be done. Also, remember, we have a limited amount of testing hours. Retesting within those will consume time from completing the principal attacks properly. Also, I believe it will not give the customer a chance to understand the underlying problems before fixing them.
Then when it comes to the negotiation of the time frame, I see it a little bit differently.
I believe the correct approach to decide a time frame for testing is:
This means, the test can be properly defined and accepted.
To sum it up, I like the idea of optimizing the pentesting procedures in order to make it behave like any other service you purchase and believe that Simon’s ideas are a good way to step in exactly that direction.
But what about going even further? I have an idea too:
Create a governing body for pentesting that oversees the process. It should be voluntary for testing companies to join, but can be used to prove that ”we’re a part of the international ethical hacker congress” (or whatever such an organization may be called). Part of the organisation can be making sure testers work, plan, attack, report and negiotiate jobs in a very similar way. The may create tools, procedures and provide a things like templates for reports and automatic data exports so reports from different testing companies can be loaded into an application to compare and summarize them. Some may think that ISC2 or ECCouncil could do this, but I think a large scope is needed for this.
Avsnittet: #115 – Supply Chain Cyber Security med Jonas Lejon
Inspelat: 2021-03-12 (publicerat 2021-03-14)
Deltagare: Mattias Jadesköld, Erik Zalitis och Jonas Lejon
Detta avsnitt är ett samarbete med SIG Security.
Allt är ju elände som vanligt. Nu kan man inte ens lita på att den där hemliga kryptotelefonen, superavancerade servern eller programvaran är pålitlig även om man skaffat den genom en trovärdig leverantör. Supply chain-attacker handlar om att flytta attacken till leverantörssidan, så det du köper levereras ”för-hackat”.
Många fick säkert kaffet i vrångstrupen när nyheterna vrålade ut att Huawei installerat ”ris-kornsstora” spionchip i servrar de sålde. Det visade sig inte vara sant, men för många var det ett sent uppvaknande och en insikt om att saker kan levereras i ett olämpligt skick. Och det är inget nytt. På 90-talet lyckades en tidning leverera ett virus genom en diskett som följde med tidningen. Därefter har vi hört om virus på USB-stickor direkt från affären ett antal gånger.
Förr kanske det var vanligt att detta var ett misstag, men numera är det nästan garanterat att det är ett medvetet drag. Och leverantören själv kan vara helt oskyldig. I detta avsnitt, som är ett samarbete mellan oss och SIG Security, pratar vi om Sky ECC-attacken, Solarwinds-hacket och diverse andra kända supply-chain-attacker med Jonas Lejon.
Jonas driver en egen blogg (kryptera.se), utför penetrationstester och håller föredrag om IT-säkerhet.
Avsnittet: #103 – GDPR 2.0 med Agnes
Inspelat: 2020-11-27 (publicerat 2020-12-06)
Deltagare: Erik Zalitis, Mattias Jadesköld och Agnes Hammarstrand.
Jag startade Rodecastern några minuter i fyra söndagen den 1 november 2020 efter att ha fått kontakt med David som sprang runt i sitt hus med sitt headset på. Vi kom att prata i 90 minuter, men någonstans måste man ju dra en gräns, så avsnittet är knappt 60 minuter. Bland det bortklippta i detta videosamtal finns när jag fick se Davids alla Amigor, C64or och Ataris som fanns i källaren. Han har också ett antal BBS:er som man kan ”ringa” till via telnet också.. Otroligt häftigt.
Avsnittet heter 78 – Digitalisering
Det spelades in 2020-05-18 och lades ut 2020-05-31.
Deltagare: Mattias Jadesköld, Erik Zalitis och Pernilla Rönn.
Show notes skrivna av Erik Zalitis.
Detta är ett samarbete med SIG Security.
”Må du leva i spännande tider” sägs vara ett citat med gamla Kinesiska anor. Detta är troligen inte alls historiskt korrekt, men i talesättet ligger en del mörker. Det ska enligt vad jag förstått var en förtäckt önskan om olycka till en fiende. Hur det än är med den saken, lever vi faktiskt i ”spännande” tider och framtiden är både en stor möjlighet och ett stort hot.
Pernilla Rönn, som började sin karriär i branschen 1994, höll nyligen föredraget ”THE DIGITAL TRANSFORMATION SETS NEW REQUIREMENTS ON CYBER SECURITY” för SIG Security och här berättar hon om vilka utmaningar vi står inför när vi får den uppkopplade staden där allting står i ständig kommunikation med allting annat. Vad är då kraven på vår Cybersäkerhet när detta nu börjar hända?
Det handlar egentligen om just vilka krav den nya digitala transformationen ställer på oss och samhället och givetvis hur de möjliggör en säkrare framtid.
Det är rätt självklart att alla involverade organisationer måste tänka om och modernisera sitt arbetssätt. Ordet för dagen är ”DevSecOp” som jag kallar för ”an army of one”, med en liten nickning till USAs arme som har just detta motto. Pernilla menar att alla i hela organisationen måste arbeta med säkerhet, vilket kommer få den där utpekade säkerhetsavdelningen att på sikt i någon mån faktiskt försvinna.
1994 när hon började, var medvetenheten om IT-säkerhet låg och det var i stora drag inte ens en fråga.
SIG Security, vår eminenta samarbetspartner:
https://www.sigsecurity.org/
Hennes föredrag (tyvärr, ni har missat det!):
https://www.sigsecurity.org/fokus-kvall-21-4-virtuell-den-digitala-transformationen-staller-nya-krav-pa-cybersakerheten-risker-och-mojligheter-med-det/
Senaste kommentarer