Blogginlägg -
Insecure in Security – ”Tillbaka till grunderna i IT-säkerhet”
Insecure in Security publiceras varannan vecka och återger och analyserar säkerhetsincidenter som ägt rum. Författaren av bloggen är James Tucker som är säkerhetsexpert inom området nätverkssäkerhet och arbetar på Intel Security i Sverige.
Veckans sammandrag handlar om hur grundläggande säkerhet kan
skydda hela din verksamhet.
Tillbaka till
grunderna i IT-säkerhet
Jag har med intresse följt utvecklingen kring nyligen
upptäckta dataintrång, speciellt intressant är Home Depot och den långt gående
attacken. Om vi ska ta med oss något positivt från attacken mot Home Depot så
är det att många verksamheter återigen tar sig en funderare på deras
IT-säkerhet och hur de kan lära av andras misstag. Ett år tidigare utsattes
Target för en liknande attack, det var till och med en liknande variant av
skadlig kod som attackerade både Target och Home Depot. Det var dock värre för
Home Depot som inte själva identifierade att deras system var utsatt för en
pågående attack – utan det var banker som listade ut att alla de kapade
identiteterna hade just Home Depot som gemensam handlingsplats.
Något jag ofta hör i samtal med kunder är ”om ett så stort företag med den gigantiska budgeten och ett eget IT-säkerhetsteam inte kan stoppa en attack, hur ska jag då kunna det?”. IT-säkerhet är precis som algebra eller ishockey, det gäller att komma ihåg grunderna snarare än att bara förlita sig på ett riktigt grymt dragskott. Eller som Jim Rohn en gång sa: ”Success is neither magical nor mysterious. Success is the natural consequence of consistently applying the basic fundamentals”.
Utmaningen är att vi idag måste slipa strategierna och
fokusera på grunderna i säkerheten. Jag satte ihop några punkter som kan hjälpa
verksamheter att inte bli nästa Home Depot, men inte bara det utan även förbättra
den övergripande säkerheten i ditt företag.
Behandla inte datacentret
som en vanlig end-point
Datacentret har blivit hjärtat i de flesta verksamheterna
idag och eventuella driftstörningar eller attacker påverkar hela verksamheten.
Både de anställdas möjlighet att arbeta till företagets möjlighet att driva sin
affär. Här lagras även all viktig information om din verksamhet och kunder.
Många gör felet att behandla datacentret som en vanlig
end-point men sanningen är att de är mer komplexa och specialbyggda för den
specifika verksamhetens behov och ändamål. Här är det viktigt att identifiera
ändamålsspecifika servrar och enheter som inte kan säkras på traditionella
sätt. Ofta kör servrarna i denna typ av miljö gammal kod, ibland helt utan att
vara patchad. Det kräver noga eftertanke för att säkra dessa tillgångar.
Lås grindarna till
datacentret
Traditionellt sett så är inte servrar och annan hårdvara i
ett datacenter de senaste uppdateringarna – både för att de kräver hög upptid
men även för risker och utmaningar som en mjukvaruuppdatering betyder för ett
datacenter. Det blir här extra viktigt att ordentligt låsa grindarna till
datacentret för att undvika risker att skadlig kod sipprar genom det yttersta
försvaret. Jag kan inte rekommendera något annat än NGFW tack vare dess
tillförlitlighet, lastbalansering och försvar mot AET-attacker som enkelt tar
sig förbi en traditionell brandvägg.
Säkra servrar &
databaser
Det kan vara en idé att se över servrar och databaser i
datacentret – men håll utkik efter olika saker. Som jag nämnde tidigare så
uppdaterar man inte en server i datacentret lika frekvent som en desktop-klient
utan det kan ibland bli långt mellan varven. Det öppnar upp för svagheter som
patchar vanligtvis löser men den höga upptiden kräver en mer kreativ lösning.
Här förespråkar jag en grundlig genomgång av vad för funktioner de olika
servrarna har, vilka applikationer de driver och hur trafiken ser ut. Därefter
är det enkelt att säkra ouppdaterade servrar med vitlistning, där de funktioner
som används kan köras och man låser all annan funktionalitet.
Databaser har en annan utmaning, vanligtvis är de helt oskyddade och förlitar sig på säkerhet från andra lösningar i datacentret. Jag har viss sympati för det här då det kan vara krångligt och vanskligt att ändra i en aktiv databas. Men vi ser samtidigt att Oracle och Microsoft-databaser allt oftare blir utsatta för attacker just för att de lämnas oskyddade och blir ett attraktivt mål.
Så med rätt typ av förberedningsarbete kan man säkra
databaser utan att påverka hastighetet, drift eller flöde. För vad är
alternativet, om något tar sig förbi andra försvar och härjar fritt i databaser
så kan data bli stulen eller raderar. Tekniker som Datbase Vulnerability
Management och applikationsövervakning kan ha enorm inverkan i dessa
situationer.
Säkra ändamålsspecifika enheter (POS)
Enheter som bankomater och POS-system (point-of-sale) har om
och om igen bevisat att de är favoritmål för attacker där kreditkortsinformation
och liknande ska stjälas. Det finns därför en tanke med att göra en snabb
inventering av vilka ändamålsspecifika enheter som just din verksamhet har.
Även att få en klar bild av vilken mjukvara de använder och hur de idag
skyddas. De här bör inte hanteras som en vanlig end-point då de sällan
uppdateras – om någonsin. De har även en viss funktion och här passar återigen vitlistning
av applikationer där alla andra funktioner enkelt kan spärras. Allt eftersom
att vi ser att Sakernas Internet fortsätter att växa så förväntar jag att det
här kommer att bli ett allt större problem.
Lyssna inte bara på
inkommande data – även utgående
Datacenter levererar stora volymer trafik, men det är trafik
som är relativt statisk och anomalier i trafiken som lämnar datacentret borde
vara relativt enkelt att identifiera. Det är därför viktigt att både inkommande
och utgående data registreras för att just se en plötslig eller oväntad
förändring i dataförflyttning. Att spåra trafik åt båda hållen ger även företag
möjlighet att snabbare identifiera en attack men även att i efterhand få
spårbarhet för att förstå hur omfattande en attack varit. En tumregel bör vara:
Låt inte data lämna ditt datacenter om du inte vet vad det är!
Ha möjlighet att
svara på frågan – ”Vad händer just nu?”
Det sista steget i det här är att bygga in en intelligens i
säkerheten, att få olika säkerhetsapplikationer att kommunicera med varandra.
Jag vill att du som säkerhetsansvarig alltid ska kunna svara på frågan ”vad
händer just nu?”. Det enklaste sättet att svara på den frågan är att få all
information, från samtliga säkerhetsapplikationer samlade i ett och samma
gränssnitt. Att på ett tidigt skede se en flaggning på misstänkta dataflöden
och liknande. Att ha rigida och väl fungerande säkerhetsprocesser och
arbetsflöden är självklart centralt här. Om ett system flaggar något, vad blir
nästa steg? En sådan process bör även granskas och uppdateras minst två gånger
om året för att inget ska falla mellan stolarna.
Så fråga dig själv – kan du svara på frågan – Vad händer just nu i din verksamhet?
Ämnen
- Datasäkerhet
Kategorier
- insecure in security
- james tucker
- datacenter
- it-säkerhet
- home depot
- mcafee
- intel security