Insecure in Security – ”Knowing is half the battle”

Insecure in Security publiceras varannan vecka och återger och analyserar säkerhetsincidenter som ägt rum. Författaren av bloggen är James Tucker som är säkerhetsexpert inom området nätverkssäkerhet och arbetar på Intel Security i Sverige.

Veckans sammandrag handlar om hur kunskap kan rädda ditt nätverk.

Knowing is half the battle
Sist jag bloggade skrev jag om vikten av att ha framförhållning när man planerar för IT-säkerhet. Att man planerar för framtiden och behovet av bandbredd. Den här veckan tänkte jag skriva några rader om vilken typ av beredskap varje verksamhet bör ha och varför.

Låt oss först ge lite bakgrund till det hela, det började med att jag bläddrade igenom en rapport som Intel Security nyligen lanserade där de frågat CIO:er hur de prioriterar IT-säkerhet och hur framgångsrika de tror att de är på att skydda sin verksamhet. Rapporten visade på två, för mig, väldigt intressanta siffror. För det första uppgav 74 procent att riktade attacker mot deras verksamhet är ett av deras främsta orosmoln när det gäller IT-säkerhet. Samtidigt var det endast 24 procent som var övertygade om att de kunde identifiera en attack inom några minuter – de flesta menade att det tar dagar, veckor eller ibland månader innan ett hot upptäcks.

Jag är därför nyfiken på hur det ser ut hos dig, käre läsare. Nedan finns åtta punkter som är indikatorer på att något kan vara på tok i ditt nätverk, vilka av dessa kan du hantera idag och vilka kan du upptäcka?

1. En nätverksenhet – exempelvis en dator eller smartphone - kommunicerar med kända misstänkta platser, eller med ett land där företaget inte har verksamhet eller kunder.
2. En nätverksenhet kommunicerar med externa enheter genom udda portar, eller där portar och protokoll inte matchar; till exempel genom att sända SSH-trafik över port 80 snarare än HTTP-trafik.
3. Publika eller oskyddade (DMZ) enheter som kommunicerar med interna enheter. Detta möjliggör att förbigå säkerhetsarrangemang, föra över data och få tillgång till andra resurser på nätverket.
4. Malware vid udda klockslag. Sådana varningar som inträffar nattetid eller på helger kan innebära att nätverksenheten drabbats av intrång.
5. Nätverksscanning av interna enheter som kommunicerar med många enheter på kort tid kan vara en indikation på en obehörig som förflyttar sig mellan enheter i nätverket.
6. Flera larm från en och samma enhet, eller liknande larm från olika enheter inom 24 timmar, exempelvis upprepade misslyckade inloggningar och autentiseringar.
7. När ett system efter att ha rensats från malware åter är infekterat inom några minuter kan detta tyda på att systemet drabbats av rootkits eller andra typer av härdade attacker.
8. Ett användarkonto som försöker logga in på flera resurser inom några minuter från olika geografiska platser är ett tecken på att användarens inloggningsinformation är stulen – eller att en användare håller på med något skumt.

Det mest intressanta med den här listan är att jag är tror att många av er som läser bloggen antagligen har resurser och teknologi för att identifiera dessa hot. Om vi ser till den första punkten så har de flesta idag någon säkerhetsenhet som stödjer geo-information eller information om globala hot. Det är dock ofta en funktion som en administratör valt att stänga av.

De andra punkterna har egentligen en enda gemensam nämnare. Utöver att det självklart kräver att du har vissa IT-säkerhetsfunktioner på plats i ditt nätverk så är det en annan funktion som kan ge dig möjlighet att upptäcka dessa varningstecken näst intill direkt. Det handlar om en konsoliderad, eller samlad vy för loggar som även ger en viss nivå av intelligens i nätverket som kan rapportera när något av ovanstående äger rum.

Vi i säkerhetsbranschen gör oss ibland – eller egentligen ofta – skyldiga till att använda militära referenser när vi talar om IT-hot. Vi talar om cyberkrig, cybervapen, cyberspionage och liknande. Vi byter dock helt terminologi när vi talar om säkerhetsstrategier och låter mer som investmentbanker – det kräver analys, proaktivitet och insikt. Även om detta är sant så vill jag vara militärreferenserna trogen och citera G.I. Joe (det tecknade barnprogrammet, inte de ohyggliga filmatiseringarna) där han klargör för barn att ”Knowing is half the battle”. För visst är det även så inom IT-säkerhet, att ha vetskap är halva kampen.

Det gäller att skaffa sig en övergripande bild av situationen där både orsak och verkan av ett IT-hot blir tydligt. Ofta är det verkan som är mest framträdande, men genom att samla loggar, flaggningar och varningar i samma system så är det enklare att kartlägga var hotet kommit ifrån – och få en ledtråd till vad som är orsaken.