Zero Trust Soldier

Cybersecurity is complex. Let's see if we can make it more understandable

Er rammeverkene en sikkerhetsrisiko?

Vi lever i en verden som digitaliseres i raskt tempo. Man ser fremover, og kjører på. Ingen ønsker sikkerhet, men trusselbildet og hendelser fremtvinger det.

Jeg skal ikke si at man skal kaste rammeverkene på sjøen, men nesten.

Suksessfulle hendelser skjer i tillatt trafikk

Ingen ønsker sikkerhet, slik er det bare, men alle må ha det. Hvordan skal man adressere det? Rammeverk kommer ofte opp som løsningen. Joda. Jada. Det står mye bra i rammeverkene, som ISO 27001, CIS CSC, NSMs Grunnprinsipper for IKT-sikkerhet osv.

Ser man på suksessfulle hendelser skjer de fleste i teknologi. Suksessfulle hendelser skjer i tillatt trafikk, tillatt av mennesker. Å sikre at noen grunnleggende elementer er på plass kan ofte være nok til å hindre en hendelse.

Kill Chain

Å forstå kill chain vil bidra til å skjønne hvordan et typisk angrep foregår, og at sikkerhet må bygges stein for stein. Adresserer man dette på flere steder øker sannsynligheten for å hindre hendelsen dramatisk. Ser man på flere suksessfulle hendelser identifiserer man multiple sårbarheter i kjede.

Rammeverkene. Riktig verktøy?

Rammeverkene er bygget forskjellig. Noen rammeverk eies og forvaltes av ikke-teknisk kompetente ressurser og blir en del av byråkratiet. Ledelsen vil støtte seg på rammeverkene, og vil kanskje være vanskelige på å finansiere tiltak som ikke er i tråd med rammeverket (jeg har selv opplevd det). Hvor tett jobbes det mellom rammeverkeiere og utøvende teknikere?

CIS CSC er et meget teknisk rammeverk. Mange har stor tillit til det for mange gode grunner. Samtidig er det litt bakvendt fra andre rammeverk da de starter med hardware, mens andre rammeverk og strategier (som Zero Trust) starter med verdier.

Dette er komplekst.

Har man tid til rammeverk?

De aller største har kanskje tid, kapasitet og penger til jobbing etter et valgt rammeverk, for dette koster. Om noen mindre velger å kjøre etter rammeverk, men ikke har nok ressurser, blir det veldig fort bortkastet, og dermed organisasjonsfrustrasjon. Ledelsen vil kjøre rammeverk, IT avdelingen vil innføre konkrete tiltak, ting går i stå.

Sikkerhet er ikke enkelt

Å etablere god sikkerhet er ikke enkelt. Man må være veldig klar på hva som er god nok sikkerhet, og det vil variere fra foretak til foretak.

Ledelsen MÅ på banen. Det er styre og ledelse som styrer skuta. Det er de som må svare for alle hendelser etter at skaden har skjedd. Det er derfor helt logisk og klart at de MÅ være med i det forebyggende og forberedende arbeidet. Å velge rammeverk som styring mener jeg er forbeholdt de få. Selv om rammeverkene i all hovedsak bare inneholder gode tips, råd, anbefalinger og kontroller, vil det ta ressurser som kanskje burde vært brukt andre steder. Slike rammeverk vil ta år å adressere, og deretter vil det kreve en god del videre. Dette MÅ ledelsen være klar over, samtidig som man må veie det opp mot tid, kritikalitet, ressurser, trusselbilde og mer.

Risikovurdering

Man bør alltid jobbe basert på risiko, men det krever ikke noe rammeverk. Det handler om mennesker, kompetanse, bevissthet og ydmykhet.

Verdier, trusler og sårbarheter, det er det det handler om. Da starter man med verdiene, og jobber prioritert derifra. Da er det ofte kort vei til tiltak.

Jobber man etter rammeverk blir jobben å adressere rammeverket, for rammeverkets del, ofte uten å måle verdien i hvert punkt. Kost-nytte? Rammeverk for byråkrater? Alt kan måles, men til hvilken pris?

Det enkle er ofte det beste

Mennesker. Mindset. Anta en del ille ting, som at brukernavn og passord er på avveie, at mange systemer er sårbare, at uvedkommende er inne i systemene, at brukere klikker på phishing linker, osv. Først da kan man starte det virkelig gode og forebyggende arbeidet.

2024 burde bli året hvor man fokuserer mindre på klienter og klientsikkerhet, og tenke mer på verdiene og kill chain. Man MÅ tenke på forsterkning på steder lenger ned i kjeden, på ting som har vært neglisjert grunnet fokuset på den initielle angrepsflate. Kompleksiteten til moderne angrep vinner, fordi mennesker ofte henger igjen i den gamle måten å adressere sikkerhet på.

Å sikre endepunktet hjelper lite når uvedkommende logger inn med brukernavn og passord der MFA ikke er påkrevd. Da gjøres en legitim handling rent teknisk. Når de deretter logger inn med brukernavn og passord på en RDP server skjer heller ingenting ulovlig som endepunktsikkerhet eller hardening av server kan gjøre noe med. Å deretter laste ned skadevare, som igjen åpner en bakdør skjer som legitim kommunikasjon i et nettverk som er altfor liberalt. Osv osv.

Tiltakskalenderen for 2024

Det er mange veier til rom sies det, men la oss se på noen gjentagende sårbarheter som med adressering vil gjøre stor forskjell på sikkerheten uten behov for rammeverk. Menneskene som ellers jobber med rammeverk burde bruke tid på å sikre at disse tiltakene blir adressert, da mange av disse er en engangsjobb. Value for money.

Patching og oppgradering er løpende arbeid som må skje kontinuerlig. Men adresserer man anbefalt liste med tiltak blir man mye mindre sårbar NÅR neste sårbarhet blir misbrukt.

2024 burde inneholde denne månedskalenderen

Veldig mye sikkerhet er dynamisk og må vedlikeholdes kontinuerlig. Noen ting er mer statiske og vil ha stor verdi bare de er adressert. La oss fokusere på endringene som vil ha permanent virkning, og som i de aller fleste tilfeller ikke krever ny teknologi.

Det må starte med menneskene.

  • Januar: Sikre at MFA er aktivert, helst med FIDO2, for alle administrator tilganger, internt, eksternt og i skyen. (RDP, SSH osv). Verifiser samtidig behov for administrator rettigheter, og sikre at dette kun gis til det absolutte minimum av brukere.
  • Februar: Sikre at alle tjenester og verdier er knyttet til en sentral tilgangskontroll (Single Sign-On) med MFA for absolutt alle brukere, inkludert eksterne (conditional access for unntak). Verifiser tilgangsbehov.
    • Få på plass rutiner som sikrer at dette adresseres for alle nye tjenester.
    • En engangsjobb. Value for time.
  • Mars: Redusér angrepsflaten i nettverket med Least Privilege prinsippet. Start med utsiden for å redusere muligheten til å komme inn til absolutt minimum.
    • Få på plass rutiner som sikrer at dette adresseres for alle nye tjenester.
    • En engangsjobb. Value for time.
  • April: Adresser VG testen med Least Privilege utgående for tjenester og verdier for å redusere angrepsflaten og muligheten for nedlasting av skadevare, samt etablering av bakdører.
    • Få på plass rutiner som sikrer at dette adresseres for alle nye tjenester.
    • En engangsjobb. Value for time.
  • Mai: Les dere opp på CIS Benchmarks og lag «golden images» for Windows og Linux servere som dere bruker for alt nytt. Basert på den nye kunnskapen, se på eksisterende løsninger og optimaliser prioritert etter risikovurdering.
    • Koster ikke penger i teknologi. Value for time.
  • Juni: Øk graden av segmentering prioritert av risikovurdering. Ransomware er den største trusselen, hvordan kan dette skade? Hva bør isoleres for å redusere risiko?
    • Koster ikke penger i teknologi. Value for money.
    • En engangsjobb. Value for time.
  • Juli: Ferie
  • August: I tråd med CIS Benchmarks hardening av servere, sikre at hvitelisting av prosesser er på plass med f.eks App Locker.
    • Koster ikke penger i teknologi. Value for money.
    • En engangsjobb. Value for time.
  • September: Sikre at backupløsningen overlever Ransomware. Verifiser. Bruk samtidig måneden på å teste evne til å gjenopprette tjenester.
    • Koster ikke penger i teknologi. Value for money.
  • Oktober: Verifiser tjenesteleverandørene med disse kontrollene, prioritert av risikovurdering.
    • Koster ikke penger i teknologi. Value for time.
  • November: Anta innbrudd. Jobb med mennesker innen ledelse og IT for å etablere denne forståelsen. Diskuter hva som kan skje NÅR uvedkommende er inne i systemet, være seg i eget datasenter, i skyen, i SaaS eller hos tjenesteleverandøren. Sikre at data er kryptert så mange steder som mulig.
    • Koster ikke penger i teknologi. Value for time.
  • Desember: Frysperiode og julefri

Listen kunne inneholdt mer og annet, men tanken var å vise elementer som ofte ikke er adressert, ting som ikke krever ny teknologi, og vil ha vedvarende virkning.

Konklusjon

Rammeverk har mye godt i seg, men det kommer ikke gratis. I tillegg har det en konsekvens mtp prioritering. Rammeverkene håndheves ofte av ikke-tekniske, samtidig som avstanden til IT avdelingen kanskje er litt stor. Kan rammeverkene skape støy i maskineriet? Ja, det tror og mener jeg. Kan styring etter rammeverk gå ut over sikkerheten? Ja, for mange tror jeg dette er tilfellet.

Skal man unngå rammeverk? Ikke nødvendigvis, men man må være klar over hva de forskjellige rammeverkene inneholder, hva de koster, hvilke konsekvenser det har og hvilken verdi de gir.

Sikre at det enkle er på plass før rammeverkene

Det enkle er ofte det beste, og altfor ofte mangler til og med det. Sikre at de tingene er på plass før rammeverk kommer på agendaen.

, , , , , ,

Posted by:

Gøran Tømte

One response to “Er rammeverkene en sikkerhetsrisiko?”

  1. Sikkerhets årshjul for 2024 – Zero Trust Soldier

    […] lagde dette forlaget til årshjul i min forrige post om rammeverk. Jeg velger å synliggjøre selve årshjulet enda bedre her. Majoriteten av tiltakene koster ikke […]

    Reply

Leave a Reply

Discover more from Zero Trust Soldier

Subscribe now to keep reading and get access to the full archive.

Continue reading