Module 2Module 2
Countermeasures & PlanningCountermeasures & Planning
Kentucky Industrial Assessment CenterKentucky Industrial Assessment Center
Cybersecurity ModuleCybersecurity Module
Acknowledgement: Some of the lecture slides in this module are based on slides prepared by DavidRaucher at CHR Solutions titled “Cybersecurity and the NIST Framework” and slides prepared for“Computer Security: Principles and Practice”, 3/e, by William Stallings and Lawrie Brown.
How to get started?How to get started?
We have to acknowledge in this current landscape everyoneis vulnerable, every network is a potential target; at the sametime we have to acknowledge that time, money, andresources are limited.We have to acknowledge in this current landscape everyoneis vulnerable, every network is a potential target; at the sametime we have to acknowledge that time, money, andresources are limited.
1.1.Understand the Threat (last module)
2.2.Understand the Countermeasures
3.3.Have a plan
CountermeasuresCountermeasures
Categorization of countermeasuresCategorization of countermeasures
	functional areas that primarily require computer security technical measures include:
the protection of transmitteddata from passive attacksthe protection of transmitteddata from passive attacks
the broadest service protects alluser data transmitted betweentwo users over a period of timethe broadest service protects alluser data transmitted betweentwo users over a period of time
connection confidentialityconnection confidentiality
the protection of all userthe protection of all user
data on a connectiondata on a connection
connectionless confidentialityconnectionless confidentiality
protection of all user data in asingle data blockprotection of all user data in asingle data block
selective-field confidentialityselective-field confidentiality
confidentiality of selected fieldswithin the user data on aconnection or a single data blockconfidentiality of selected fieldswithin the user data on aconnection or a single data block
traffic-flow confidentialitytraffic-flow confidentiality
requires that an attacker notbe able to observe thesource and destination,frequency, length, or othercharacteristics of the trafficon a communications facilityrequires that an attacker notbe able to observe thesource and destination,frequency, length, or othercharacteristics of the trafficon a communications facility
DataConfidentiality
Service
can apply to a stream ofmessages, a single message,or selected fields within amessagecan apply to a stream ofmessages, a single message,or selected fields within amessage
a connectionless integrityservice generally providesprotection against messagemodification onlya connectionless integrityservice generally providesprotection against messagemodification only
a connection-oriented integrityservice assures that messages arereceived as sent, with noduplication, insertionmodification, reordering, orreplaysa connection-oriented integrityservice assures that messages arereceived as sent, with noduplication, insertionmodification, reordering, orreplays
destruction of data is alsocovered under this servicedestruction of data is alsocovered under this service
addresses both messagestream modification and denialof serviceaddresses both messagestream modification and denialof service
need to make a distinctionbetween the service with andwithout recoveryneed to make a distinctionbetween the service with andwithout recovery
concerned with detectionrather than preventionconcerned with detectionrather than prevention
the incorporation of automatedrecovery mechanisms is themore attractive alternativethe incorporation of automatedrecovery mechanisms is themore attractive alternative
Data
Integrity
Service
concerned with assuringthat a communication isfrom the source that itclaims to be fromconcerned with assuringthat a communication isfrom the source that itclaims to be from
must assure that theconnection is not interferedwith by a third partymasquerading as one of thetwo legitimate partiesmust assure that theconnection is not interferedwith by a third partymasquerading as one of thetwo legitimate parties
Peer Entity AuthenticationPeer Entity Authentication
provides for the corroboration of theidentity of a peer entity in anassociationprovides for the corroboration of theidentity of a peer entity in anassociation
provided for use at theestablishment of, or at times duringthe data transfer phase of, aconnectionprovided for use at theestablishment of, or at times duringthe data transfer phase of, aconnection
attempts to provide confidence thatan entity is not performing either amasquerade or an unauthorizedreplay of a previous connectionattempts to provide confidence thatan entity is not performing either amasquerade or an unauthorizedreplay of a previous connection
Authentication
Service
Data Origin AuthenticationData Origin Authentication
provides for the corroboration of thesource of a data unitprovides for the corroboration of thesource of a data unit
does not provide protection againstthe duplication or modification ofdata unitsdoes not provide protection againstthe duplication or modification ofdata units
this type of service supportsapplications like email where thereare no prior interactions between thecommunicating entitiesthis type of service supportsapplications like email where thereare no prior interactions between thecommunicating entities
the ability to limit and control theaccess to host systems andapplications via communicationslinksthe ability to limit and control theaccess to host systems andapplications via communicationslinks
each entity trying to gain accessmust first be identified, orauthenticated, so that access rightscan be tailored to the individualeach entity trying to gain accessmust first be identified, orauthenticated, so that access rightscan be tailored to the individual
AccessControl
Service
Nonrepudiation
Service
prevents either sender orreceiver from denying atransmitted messageprevents either sender orreceiver from denying atransmitted message
receiver can prove that thealleged sender in fact sentthe messagereceiver can prove that thealleged sender in fact sentthe message
the sender can prove thatthe alleged receiver in factreceived the messagethe sender can prove thatthe alleged receiver in factreceived the message
a service that protects a systemto ensure its availabilitya service that protects a systemto ensure its availability
defined as the property of asystem or a systemresource being accessibleand usable upon demandby an authorized systementity, according toperformance specificationsof the systemdefined as the property of asystem or a systemresource being accessibleand usable upon demandby an authorized systementity, according toperformance specificationsof the system
a variety of attacks can result inthe loss of or reduction inavailabilitya variety of attacks can result inthe loss of or reduction inavailability
some of these attacks areamenable toauthentication andencryptionsome of these attacks areamenable toauthentication andencryption
some attacks require aphysical action to preventor recover from loss ofavailabilitysome attacks require aphysical action to preventor recover from loss ofavailability
X.800 treats availability as aproperty to be associated withvarious security servicesX.800 treats availability as aproperty to be associated withvarious security services
addresses the security concernsraised by denial-of-serviceattacksaddresses the security concernsraised by denial-of-serviceattacks
depends on proper managementand control of system resourcesdepends on proper managementand control of system resources
Availability
Service
Use of Least PrivilegeUse of Least Privilege
User AuthenticationUser Authentication
http://travel.state.gov/content/passports/english/passports/_jcr_content/my_passport_slider2/slotmachine_par1/widescrollercomponen/wideScrollerImage.img.png/1336500120730.png
http://www.dameware.com/getattachment/5e35473e-28b5-4488-8a8b-20953d0fc49a/EMVpicture.jpg.aspx?width=520&height=520&ext=.jpg
http://www.authworks.com/images/3600-01.jpg
Message AuthenticationMessage Authentication
CryptographicalHash Function h(x)CryptographicalHash Function h(x)
Take arbitrary length input into a fixed length outputTake arbitrary length input into a fixed length output
Pre-image resistant: difficult to find x given h(x)Pre-image resistant: difficult to find x given h(x)
Collision resistant: difficult to find x and y such thath(x)=h(y)Collision resistant: difficult to find x and y such thath(x)=h(y)
Encryption ToolsEncryption Tools
SymmetricEncryption ToolsSymmetricEncryption Tools
Same key is used for encryption and decryptionSame key is used for encryption and decryption
Security is measured by length of key and known attacksSecurity is measured by length of key and known attacks
Highly efficient implementationHighly efficient implementation
Require special care in distributing the secret keyRequire special care in distributing the secret key
Example: AES (128/192/256 bits),  RC4 (40-2048 bits)Example: AES (128/192/256 bits),  RC4 (40-2048 bits)
Encryption ToolsEncryption Tools
AsymmetricEncryption ToolsAsymmetricEncryption Tools
aka. Public-keyEncrytpionaka. Public-keyEncrytpion
Different keys for encryption and decryptionDifferent keys for encryption and decryption
Security based on key size and computational hardnessSecurity based on key size and computational hardness
Implementation based on arithmetic on large integer field – slowImplementation based on arithmetic on large integer field – slow
No key distribution issues, but trust is neededNo key distribution issues, but trust is needed
Example: RSA (1024/2048/4089 bits),  ECC (128 bits), Diffie-Hellman Key ExhangeExample: RSA (1024/2048/4089 bits),  ECC (128 bits), Diffie-Hellman Key Exhange
More than just encryptionMore than just encryption
Screen Shot 2014-02-06 at 6.44.51 AM.png
Digital Signaturefor authenticationDigital Signaturefor authentication
Digital EnvelopeDigital Envelope
Private
Key
Public
Key
Operating Systems HardeningOperating Systems Hardening
First critical step in securing a system is to secure the baseoperating systemFirst critical step in securing a system is to secure the baseoperating system
Basic stepsBasic steps
Install and patch the operating systemInstall and patch the operating system
Harden and configure the operating system to adequately addressthe indentified security needs of the system by:Harden and configure the operating system to adequately addressthe indentified security needs of the system by:
Removing unnecessary services, applications, and protocolsRemoving unnecessary services, applications, and protocols
Configuring users, groups, and permissionsConfiguring users, groups, and permissions
Configuring resource controlsConfiguring resource controls
Install and configure additional security controls, such as anti-virus, host-based firewalls, and intrusion prevention system (IPS)Install and configure additional security controls, such as anti-virus, host-based firewalls, and intrusion prevention system (IPS)
Test the security of the basic operating system to ensure that thesteps taken adequately address its security needsTest the security of the basic operating system to ensure that thesteps taken adequately address its security needs
Generations of Anti-Virus Software
	Signature approaches		Match a large collection of known patterns of malicious data against data stored on a system or in transit over a network		The signatures need to be large enough to minimize the false alarm rate, while still detecting a sufficiently large fraction of malicious data		Widely used in anti-virus products, network traffic scanning proxies, and in NIPS	Rule-based heuristic identification		Involves the use of rules for identifying known penetrations or penetrations that would exploit known weaknesses		Rules can also be defined that identify suspicious behavior, even when the behavior is within the bounds of established patterns of usage		Typically rules used are specific		SNORT is an example of a rule-based NIDS
Signature or Heuristic DetectionSignature or Heuristic Detection
Intrusion PreventionSystem (IPS)Intrusion PreventionSystem (IPS)
	Comprises three logical components:
Host-based IPS (HIPS)Host-based IPS (HIPS)
Monitors the characteristics of asingle host for suspicious activityMonitors the characteristics of asingle host for suspicious activity
Network-based IPS (NIPS)Network-based IPS (NIPS)
Monitors network traffic andanalyzes network, transport, andapplication protocols to identifysuspicious activityMonitors network traffic andanalyzes network, transport, andapplication protocols to identifysuspicious activity
Distributed or hybrid IPSDistributed or hybrid IPS
Combines information from anumber of sensors, often both hostand network based, in a centralanalyzer that is able to betteridentify and respond to intrusionactivityCombines information from anumber of sensors, often both hostand network based, in a centralanalyzer that is able to betteridentify and respond to intrusionactivity
Network IPS(Intrusion Prevention System)Network IPS(Intrusion Prevention System)
33
https://www.howtoforge.com/images/snort_base_debian/alerts.png
http://blog.redborder.com/hs-fs/hubfs/snort_world_sm.png?t=1491208052709&width=409&name=snort_world_sm.png
 Firewalls Firewalls
f1.pdf
Design Goal:
All traffic from inside tooutside, and vice versa, mustpass through the firewall
Only authorized traffic asdefined by the local securitypolicy will be allowed to pass
The firewall itself is immuneto penetration attacks.
f5.pdf
ExampleDistributedFirewallConfigurationExampleDistributedFirewallConfiguration
NGFW (Next Generation Firewall)NGFW (Next Generation Firewall)
Identity-PolicyControl and
VPN
URL Filtering
Management
Analytics &Automation
Advanced ThreatProtection – FileVisibility andControl
ApplicationVisibility
& Control
Network Firewall
Routing | Switching
Clustering &High Availability
WWW
Built-in NetworkProfiling
IntrusionPrevention(IPS)
Y:\Training\Cisco Templates\2010_Updated Templates\New Cisco Brand\Kubrik Icons\256 Pixel Size\barchart_0035_256.png
Y:\Training\Cisco Templates\2010_Updated Templates\New Cisco Brand\Kubrik Icons\256 Pixel Size\settings_0016_256.png
Y:\Training\Cisco Templates\2010_Updated Templates\New Cisco Brand\Kubrik Icons\256 Pixel Size\applications_4107_256.png
Y:\Production\Cisco Projects\C97 Presentation (PPT-PDF)\C97-732214-00\Suppported files\v3a\4.png
Y:\Production\Cisco Projects\C97 Presentation (PPT-PDF)\C97-732214-00\Suppported files\v3a\1.png
Y:\Production\Cisco Projects\C97 Presentation (PPT-PDF)\C97-732214-00\Suppported files\v3a\3.png
Y:\Production\Cisco Projects\C97 Presentation (PPT-PDF)\C97-732214-00\Suppported files\v3a\5.png
32
Cloud ComputingCloud Computing
A model for enablingubiquitous, convenient,on-demand networkaccess to a shared poolof configurablecomputing resourcesthat can be rapidlyprovisioned and releasedwith minimalmanagement effort orservice providerinteraction.A model for enablingubiquitous, convenient,on-demand networkaccess to a shared poolof configurablecomputing resourcesthat can be rapidlyprovisioned and releasedwith minimalmanagement effort orservice providerinteraction.
This cloud model promotesavailability and iscomposed of fiveessential characteristics,three service models,and four deploymentmodels.”This cloud model promotesavailability and iscomposed of fiveessential characteristics,three service models,and four deploymentmodels.”
SecaaS is a segment of theSaaS offering of a CPSecaaS is a segment of theSaaS offering of a CP
Defined by The Cloud SecurityAlliance as the provision ofsecurity applications andservices via the cloud either tocloud-based infrastructureand software or from thecloud to the customers’ on-premise systemsDefined by The Cloud SecurityAlliance as the provision ofsecurity applications andservices via the cloud either tocloud-based infrastructureand software or from thecloud to the customers’ on-premise systems
Security as a ServiceSecurity as a Service
The PlanThe Plan
Security PolicySecurity Policy
factors to consider:factors to consider:
value of the assets beingprotectedvalue of the assets beingprotected
vulnerabilities of the systemvulnerabilities of the system
potential threats and thelikelihood of attackspotential threats and thelikelihood of attacks
trade-offs to consider:trade-offs to consider:
ease of use versus securityease of use versus security
cost of security versus cost offailure and recoverycost of security versus cost offailure and recovery
formal statement of rules and practices that specify orregulate how a system or organization provides securityservices to protect sensitive and critical system resourcesformal statement of rules and practices that specify orregulate how a system or organization provides securityservices to protect sensitive and critical system resources
Cybersecurity PlanCybersecurity Plan
1.Assemble your security team1.Assemble your security team
2.Assess Current CybersecurityPosture (risk)2.Assess Current CybersecurityPosture (risk)
3.Define a target profile andexecute3.Define a target profile andexecute
4.Implement easy changes –password, permissions, access,firewalls, and socialengineering4.Implement easy changes –password, permissions, access,firewalls, and socialengineering
5.Continuously monitor,communicate and collaborate5.Continuously monitor,communicate and collaborate
	Assemble your team		Assess your current posture		Define a Target Profile and execute		Implement easy changes now		Continuously monitor, communicate, & collaborate
Outside HelpOutside Help
Hire a consultant to helpHire a consultant to help
NIST Cybersecurity FrameworkNIST Cybersecurity Framework
Risk AssessmentRisk Assessment
Hire a managed service security provider to implement changesHire a managed service security provider to implement changes
PatchesPatches
Anti-virusAnti-virus
Anti-malwareAnti-malware
Hardware updatesHardware updates
Vulnerability ScansVulnerability Scans
Penetration TestingPenetration Testing
Executive Order 13636 (February 2013)Executive Order 13636 (February 2013)
NIST Framework (http://www.nist.gov/cyberframework/)(February 2014)NIST Framework (http://www.nist.gov/cyberframework/)(February 2014)
Framework CoreFramework Core
Identify, Protect, Detect, Respond, RecoverIdentify, Protect, Detect, Respond, Recover
Framework Implementation TiersFramework Implementation Tiers
Tier 1 - 4Tier 1 - 4
Framework ProfileFramework Profile
Current and TargetCurrent and Target
Framework ResourcesFramework Resources
30
NIST Cybersecurity FrameworkNIST Cybersecurity Framework
Framework CoreFramework Core
Acceptable risk determinationAcceptable risk determination
ExecutiveExecutive
IT DepartmentIT Department
Tier determination and gap analysisTier determination and gap analysis
Example: Risk DeterminationExample: Risk Determination
ID: IdentifyID: Identify
ID.AM: Asset ManagementID.AM: Asset Management
ID.AM-1 (Physical devices and systems within theorganization are inventoried)ID.AM-1 (Physical devices and systems within theorganization are inventoried)
Current Tier Assignment – 2Current Tier Assignment – 2
Target Tier Assignment – 3Target Tier Assignment – 3
Estimated dollars to address - $$Estimated dollars to address - $$
Priority Assignment – Priority 1Priority Assignment – Priority 1
Example use of the coreExample use of the core
Example use of the coreExample use of the core
Function
Reference
NIST Framework Subcategory
SMBQuestions
Summary
Reference
 IDENTIFY
ID.AM-1
Physical devices and systems within theorganization are inventoried
What
An inventory from the following dept. has beencompleted: Field Ops, Network Operation Transport,Network Operations Wireless, Technology Services(Corporate), Technology Services (External), and the NOC
CSRIC-IV CybersecurityFramework Report –
 IDENTIFY
ID.AM-2
Software platforms and applications withinthe organization are inventoried
What
A complete inventory of the corporate software platformsand applications have been identified
CSRIC-IV CybersecurityFramework Report – Appendix A-3and A-3.1
 IDENTIFY
ID.AM-5
Resources (e.g., hardware, devices, dataand software) are prioritized based on theirclassification, criticality, and business value
What
Yes, all resources have been identified and prioritizedbased on their classification,
CSRIC-IV CybersecurityFramework Report – Appendix A
 IDENTIFY
ID.AM-6
Cybersecurity roles and responsibilities forthe entire workforce and third‐partystakeholders (e.g., suppliers, customers,partners) are established
Who
The company provides training to all new hires as well asannual training for all our employees regarding theirresponsibilities in regards to cybersecurity and bestpractices to help eliminate a threat from occurring. Alongwith training we have a variety of policies and proceduresaddressing employee responsibilities, information on whoto contact if a threat is suspected or has occurred as wellas the responsibilities of those assigned to handle thesituation.
Roles and responsibilities concerning our customers canbe found in our Dedicated Hosting and ColocationAgreement – User
Employee:
Cybersecurity Plan – EmployeeResponsibilities
Policy A-8 Identity Theft Red FlagPolicy
Policy A-10 CPNI
Policy A-11 HIPAA
Policy A-12 CJIS
Policy B-23 Internet Code ofConduct
Policy B- 24 Email Code ofConduct
Policy B-29 Social Media/SocialNetworking Policy
24
Carrier NIST ExperienceCarrier NIST Experience
35
*
https://ics-cert.us-cert.gov/sites/default/files/CSETLogoWeb.jpg
See https://ics-cert.us-cert.gov/Assessments
36
*
https://ics-cert.us-cert.gov/sites/default/files/CSETLogoWeb.jpg
See https://ics-cert.us-cert.gov/Assessments