Tittel - norsk: Kartlegge effektive måter å oppdage og stoppe dataangrep på for Norsk Helsenett
Tittel - engelsk: Identify effective ways to detect and stop computer attacks for Norsk Helsenett

Oppgave nr.: 14E

Oppgavestiller: Norsk Helsenett SF

Kontaktperson: Ole Morten Grodås

Telefon: 73565933 / 90636054

E-postadresse: ole.grodas@nhn.no

Postadresse: Norsk Helsenett SF, Postboks 6123, 7435 TRONDHEIM

Studenter: Runar Strømsøe Viken og Emil Dyrstad

Veileder ved IIE, NTNU: Stein Meisingseth

Sammendrag:

Bedrifter lagrer stadig mer sensitiv informasjon og kostnadene bedrifter bruker på å forsvare dataene sine kan bli veldig store. Prosjektgruppen har sett på ulike verktøy bedrifter kan implementere for å bedre datasikkerheten sin på en effektiv måte.

Det har blitt utført en litteraturstudie på datasikkerhet, med fokus på hvordan man kan beskytte dataene sine mot dataangrep. Vi har sett på cyber kill chain, APT-angrep og ulike tilnærminger for å beskytte seg mot dataangrep.

Videre har vi kartlagt effektive måter å oppdage og stoppe angrep på. Vi har lagt vekt på å benytte oss av verktøy som er lite ressurskrevende. Det har blitt utarbeidet en liste over ulike verktøy som vi har vurdert opp mot fem ulike kriterier. De tre verktøyene som scoret høyest ble valgt ut til en praktisk test i lab. De tre verktøyene som ble valgt ut er EMET, AppLocker og Windows Defender.

I lab-testen har vi testet de tre verktøyene opp mot to scenarioer som vi har laget. Den ene er at man mottar kjørbare filer på e-post og den andre er at man besøker en infisert nettside. Datamaskinene som brukes i testene er koblet opp mot en Splunk-server som henter ut alle relevante alarmer og presenterer disse. Etter testene sitter vi igjen med et resultat som sier hvilke av verktøyene som klarte å stoppe de ulike scenarioene og hvordan de stoppet angrepet.

Abstract in English:

Companies stores more and more sensitive information and the resources they have to use in order to keep the information safe can become very high. The project group has looked at tools companies can implement in order to improve their computer security in an efficient way.

We have done a literature study on computer security, with focus on how to protect your assets against cyber-attacks. We have looked at cyber kill chain, APT attacks and different strategies companies can use to protect them self against cyber-attacks.

Furthermore, we have identified efficient ways to detect and stop cyber-attacks. We have emphasized tools that requires a low amount of resources to be implemented and maintained. A list of tools has been produced and all the tools has been assessed against five criteria. The three tools with the highest score were chosen for a practical test in our lab. These three were EMET, AppLocker and Windows Defender.

In our lab we have tested the three types of tools against two scenarios that we have created. In the first scenario you get an email with executable files and in the second scenario you visit an infected web site. The computers we use under the tests are connected to a Splunk server that extracts all relevant alarms and presents them. After the tests, we are left with a result that says which tools were able to stop the different scenarios and how they stopped the attack.

Når ikke annet er avtalt, eier studenter selv den IPR (immaterielle rettigheter) de skaper som en del av studier/studieopphold ved Institutt for informatikk og e-læring (IIE). Alle resultater er åpent tilgjengelig. Opphavsretten reguleres av Åndsverksloven. Avtaler som inngås mellom IIE og studenter skal som minimum sikre instituttet rett til å bruke generert IPR til utdannings- og forskningsformål. Instituttet skal også motta en vurderingskopi av resultatet av arbeidet som benyttes til vurdering. Marker med kryss det som gjelder denne oppgaven:

Normalsituasjonen: Studentene har selv alle rettigheter knyttet til resultatet fra bacheloroppgaven, med de unntak som er beskrevet over.

Avvik fra normalsituasjonen: Oppdragsgiveren har rettighetene og kan utnytte produktet kommersielt og videreutvikle produktet/metoden. Instituttet vil ikke utnytte produktet kommersielt, men vil kunne arbeide videre med den grunnlagskompetansen som er vunnet gjennom prosjektet, som beskrevet over.

Avvik fra normalsituasjonen: Resultatene fra arbeidet legges ut som OpenSource iht lisens

__________________________________ (Se http://creativecommons.no/lisenser).

Avvik fra normalsituasjonen: Programvare utviklet som del av bacheloroppgaven er sperret og kun tilgjengelig etter avtale med oppdragsgiver/studenter.

Avvik fra normalsituasjonen: Alle resultater fra arbeidet er sperret og kun tilgjengelig etter avtale med oppdragsgiver/studenter. (Vurder om det i stedet er tilstrekkelig å krysse av punktet over).