Insecure in Security – ”Tillbaka till grunderna i IT-säkerhet”

Insecure in Security publiceras varannan vecka och återger och analyserar säkerhetsincidenter som ägt rum. Författaren av bloggen är James Tucker som är säkerhetsexpert inom området nätverkssäkerhet och arbetar på Intel Security i Sverige.

Veckans sammandrag handlar om hur grundläggande säkerhet kan skydda hela din verksamhet.

Tillbaka till grunderna i IT-säkerhet
Jag har med intresse följt utvecklingen kring nyligen upptäckta dataintrång, speciellt intressant är Home Depot och den långt gående attacken. Om vi ska ta med oss något positivt från attacken mot Home Depot så är det att många verksamheter återigen tar sig en funderare på deras IT-säkerhet och hur de kan lära av andras misstag. Ett år tidigare utsattes Target för en liknande attack, det var till och med en liknande variant av skadlig kod som attackerade både Target och Home Depot. Det var dock värre för Home Depot som inte själva identifierade att deras system var utsatt för en pågående attack – utan det var banker som listade ut att alla de kapade identiteterna hade just Home Depot som gemensam handlingsplats.

Något jag ofta hör i samtal med kunder är ”om ett så stort företag med den gigantiska budgeten och ett eget IT-säkerhetsteam inte kan stoppa en attack, hur ska jag då kunna det?”. IT-säkerhet är precis som algebra eller ishockey, det gäller att komma ihåg grunderna snarare än att bara förlita sig på ett riktigt grymt dragskott. Eller som Jim Rohn en gång sa: ”Success is neither magical nor mysterious. Success is the natural consequence of consistently applying the basic fundamentals”.

Utmaningen är att vi idag måste slipa strategierna och fokusera på grunderna i säkerheten. Jag satte ihop några punkter som kan hjälpa verksamheter att inte bli nästa Home Depot, men inte bara det utan även förbättra den övergripande säkerheten i ditt företag.

Behandla inte datacentret som en vanlig end-point
Datacentret har blivit hjärtat i de flesta verksamheterna idag och eventuella driftstörningar eller attacker påverkar hela verksamheten. Både de anställdas möjlighet att arbeta till företagets möjlighet att driva sin affär. Här lagras även all viktig information om din verksamhet och kunder.

Många gör felet att behandla datacentret som en vanlig end-point men sanningen är att de är mer komplexa och specialbyggda för den specifika verksamhetens behov och ändamål. Här är det viktigt att identifiera ändamålsspecifika servrar och enheter som inte kan säkras på traditionella sätt. Ofta kör servrarna i denna typ av miljö gammal kod, ibland helt utan att vara patchad. Det kräver noga eftertanke för att säkra dessa tillgångar.

Lås grindarna till datacentret
Traditionellt sett så är inte servrar och annan hårdvara i ett datacenter de senaste uppdateringarna – både för att de kräver hög upptid men även för risker och utmaningar som en mjukvaruuppdatering betyder för ett datacenter. Det blir här extra viktigt att ordentligt låsa grindarna till datacentret för att undvika risker att skadlig kod sipprar genom det yttersta försvaret. Jag kan inte rekommendera något annat än NGFW tack vare dess tillförlitlighet, lastbalansering och försvar mot AET-attacker som enkelt tar sig förbi en traditionell brandvägg.

Säkra servrar & databaser
Det kan vara en idé att se över servrar och databaser i datacentret – men håll utkik efter olika saker. Som jag nämnde tidigare så uppdaterar man inte en server i datacentret lika frekvent som en desktop-klient utan det kan ibland bli långt mellan varven. Det öppnar upp för svagheter som patchar vanligtvis löser men den höga upptiden kräver en mer kreativ lösning. Här förespråkar jag en grundlig genomgång av vad för funktioner de olika servrarna har, vilka applikationer de driver och hur trafiken ser ut. Därefter är det enkelt att säkra ouppdaterade servrar med vitlistning, där de funktioner som används kan köras och man låser all annan funktionalitet.

Databaser har en annan utmaning, vanligtvis är de helt oskyddade och förlitar sig på säkerhet från andra lösningar i datacentret. Jag har viss sympati för det här då det kan vara krångligt och vanskligt att ändra i en aktiv databas. Men vi ser samtidigt att Oracle och Microsoft-databaser allt oftare blir utsatta för attacker just för att de lämnas oskyddade och blir ett attraktivt mål.

Så med rätt typ av förberedningsarbete kan man säkra databaser utan att påverka hastighetet, drift eller flöde. För vad är alternativet, om något tar sig förbi andra försvar och härjar fritt i databaser så kan data bli stulen eller raderar. Tekniker som Datbase Vulnerability Management och applikationsövervakning kan ha enorm inverkan i dessa situationer.

Säkra ändamålsspecifika enheter (POS)
Enheter som bankomater och POS-system (point-of-sale) har om och om igen bevisat att de är favoritmål för attacker där kreditkortsinformation och liknande ska stjälas. Det finns därför en tanke med att göra en snabb inventering av vilka ändamålsspecifika enheter som just din verksamhet har. Även att få en klar bild av vilken mjukvara de använder och hur de idag skyddas. De här bör inte hanteras som en vanlig end-point då de sällan uppdateras – om någonsin. De har även en viss funktion och här passar återigen vitlistning av applikationer där alla andra funktioner enkelt kan spärras. Allt eftersom att vi ser att Sakernas Internet fortsätter att växa så förväntar jag att det här kommer att bli ett allt större problem.

Lyssna inte bara på inkommande data – även utgående
Datacenter levererar stora volymer trafik, men det är trafik som är relativt statisk och anomalier i trafiken som lämnar datacentret borde vara relativt enkelt att identifiera. Det är därför viktigt att både inkommande och utgående data registreras för att just se en plötslig eller oväntad förändring i dataförflyttning. Att spåra trafik åt båda hållen ger även företag möjlighet att snabbare identifiera en attack men även att i efterhand få spårbarhet för att förstå hur omfattande en attack varit. En tumregel bör vara: Låt inte data lämna ditt datacenter om du inte vet vad det är!

Ha möjlighet att svara på frågan – ”Vad händer just nu?”
Det sista steget i det här är att bygga in en intelligens i säkerheten, att få olika säkerhetsapplikationer att kommunicera med varandra. Jag vill att du som säkerhetsansvarig alltid ska kunna svara på frågan ”vad händer just nu?”. Det enklaste sättet att svara på den frågan är att få all information, från samtliga säkerhetsapplikationer samlade i ett och samma gränssnitt. Att på ett tidigt skede se en flaggning på misstänkta dataflöden och liknande. Att ha rigida och väl fungerande säkerhetsprocesser och arbetsflöden är självklart centralt här. Om ett system flaggar något, vad blir nästa steg? En sådan process bör även granskas och uppdateras minst två gånger om året för att inget ska falla mellan stolarna.

Så fråga dig själv – kan du svara på frågan – Vad händer just nu i din verksamhet?