Zero Trust Soldier

Cybersecurity is complex. Let's see if we can make it more understandable

Sikkerhets årshjul for 2024

“Fremdriften ligger I opfølgningen”, sitat en dansk kunde.

Jeg lagde dette forlaget til årshjul i min forrige post om rammeverk. Jeg velger å synliggjøre selve årshjulet enda bedre her. Majoriteten av tiltakene koster ikke penger, og handler om mer effektiv og sikker utnyttelse av den teknologien som allerede er på plass.

Det er mange tips, triks og anbefalinger om grunnleggende sikkerhet. Allikevel innføres ikke disse, mange ganger fordi det skal kjøres etter rammeverk og standarder. Gang på gang skjer suksessfulle hendelser, og gang på gang mangler de grunnleggende funksjonene. Hvorfor?

Er det et gap mellom de som jobber med rammeverkene og de som gjør den tekniske jobben? Hvordan er samarbeidet? Jeg tror vi må jobbe mer med dette. Samtidig må det lages rom for parallell jobbing, ved at grunnleggende tiltak adresseres nærmest uten bruk av rammeverk eller risikovurdering.

Risikovurderingen kan være noe slik som “vil det skape store problemer om noe skadelig skjer med den tjenesten?” Er svaret ja ->

  • Sikre at MFA er aktivert for alle administratorer OG absolutt alle brukere. Enkelt.
  • Sikre at backup kan motstå kryptering, og at gjenoppretting er mulig så raskt som mulig for mange systemer.

Den største trusselen er krypteringsvirus. Enkelt og greit. Adresser den før alt annet. Den rammer alle, den rammer målrettet OG tilfeldig.

Innbrudd skjer, via software sårbarheter som enten ikke er patchet eller er ukjente (Zero Days), eller manglende MFA. Når de før er inne (Assume Breach) vil de bevege seg rundt for å lete etter data de kan legge (typisk ved RDP, Remote Desktop). Sikre at MFA er aktivert på all RDP internt.

Anyway. Se årshjulet for eksempel på forenkling

Suksessfulle hendelser skjer i tillatt trafikk

Tiltakskalenderen for 2024

Det er mange veier til rom sies det, men la oss se på noen gjentagende sårbarheter som med adressering vil gjøre stor forskjell på sikkerheten uten behov for rammeverk. Menneskene som ellers jobber med rammeverk burde bruke tid på å sikre at disse tiltakene blir adressert, da mange av disse er en engangsjobb. Value for money.

Patching og oppgradering er løpende arbeid som må skje kontinuerlig. Men adresserer man anbefalt liste med tiltak blir man mye mindre sårbar NÅR neste sårbarhet blir misbrukt.

2024 burde inneholde denne månedskalenderen

Veldig mye sikkerhet er dynamisk og må vedlikeholdes kontinuerlig. Noen ting er mer statiske og vil ha stor verdi bare de er adressert. La oss fokusere på endringene som vil ha permanent virkning, og som i de aller fleste tilfeller ikke krever ny teknologi.

Gjør det enkelt. Jobb med en og en ting her. Bli “ferdig”, klapp dere selv på skuldra, og jobb videre. Men bli ferdig med tingene, for det vil gjøre en permanent endring på sikkerhet og risiko.

Det må starte med menneskene.

  • Januar: Sikre at MFA er aktivert, helst med FIDO2, for alle administrator tilganger, internt, eksternt og i skyen. (RDP, SSH osv). Verifiser samtidig behov for administrator rettigheter, og sikre at dette kun gis til det absolutte minimum av brukere.
  • Februar: Sikre at alle tjenester og verdier er knyttet til en sentral tilgangskontroll (Single Sign-On) med MFA for absolutt alle brukere, inkludert eksterne (conditional access for unntak). Verifiser tilgangsbehov.
    • Få på plass rutiner som sikrer at dette adresseres for alle nye tjenester.
    • En engangsjobb. Value for time.
  • Mars: Redusér angrepsflaten i nettverket med Least Privilege prinsippet. Start med utsiden for å redusere muligheten til å komme inn til absolutt minimum.
    • Få på plass rutiner som sikrer at dette adresseres for alle nye tjenester.
    • En engangsjobb. Value for time.
  • April: Adresser VG testen med Least Privilege utgående for tjenester og verdier for å redusere angrepsflaten og muligheten for nedlasting av skadevare, samt etablering av bakdører.
    • Få på plass rutiner som sikrer at dette adresseres for alle nye tjenester.
    • En engangsjobb. Value for time.
  • Mai: Les dere opp på CIS Benchmarks og lag «golden images» for Windows og Linux servere som dere bruker for alt nytt. Basert på den nye kunnskapen, se på eksisterende løsninger og optimaliser prioritert etter risikovurdering.
    • Koster ikke penger i teknologi. Value for time.
  • Juni: Øk graden av segmentering prioritert av risikovurdering. Ransomware er den største trusselen, hvordan kan dette skade? Hva bør isoleres for å redusere risiko?
    • Koster ikke penger i teknologi. Value for money.
    • En engangsjobb. Value for time.
  • Juli: Ferie
  • August: I tråd med CIS Benchmarks hardening av servere, sikre at hvitelisting av prosesser er på plass med f.eks App Locker.
    • Koster ikke penger i teknologi. Value for money.
    • En engangsjobb. Value for time.
  • September: Sikre at backupløsningen overlever Ransomware. Verifiser. Bruk samtidig måneden på å teste evne til å gjenopprette tjenester.
    • Koster ikke penger i teknologi. Value for money.
  • Oktober: Verifiser tjenesteleverandørene med disse kontrollene, prioritert av risikovurdering.
    • Koster ikke penger i teknologi. Value for time.
  • November: Anta innbrudd. Jobb med mennesker innen ledelse og IT for å etablere denne forståelsen. Diskuter hva som kan skje NÅR uvedkommende er inne i systemet, være seg i eget datasenter, i skyen, i SaaS eller hos tjenesteleverandøren. Sikre at data er kryptert så mange steder som mulig.
    • Koster ikke penger i teknologi. Value for time.
  • Desember: Frysperiode og julefri

Listen kunne inneholdt mer og annet, men tanken var å vise elementer som ofte ikke er adressert, ting som ikke krever ny teknologi, og vil ha vedvarende virkning.

Konklusjon

Rammeverk har mye godt i seg, men det kommer ikke gratis. I tillegg har det en konsekvens mtp prioritering. Rammeverkene håndheves ofte av ikke-tekniske, samtidig som avstanden til IT avdelingen kanskje er litt stor. Kan rammeverkene skape støy i maskineriet? Ja, det tror og mener jeg. Kan styring etter rammeverk gå ut over sikkerheten? Ja, for mange tror jeg dette er tilfellet.

Skal man unngå rammeverk? Ikke nødvendigvis, men man må være klar over hva de forskjellige rammeverkene inneholder, hva de koster, hvilke konsekvenser det har og hvilken verdi de gir.

Sikre at det enkle er på plass før rammeverkene

Det enkle er ofte det beste, og altfor ofte mangler til og med det. Sikre at de tingene er på plass før rammeverk kommer på agendaen.

, , , , , ,

Posted by:

Gøran Tømte

2 responses to “Sikkerhets årshjul for 2024”

  1. Fy skam til dere som har blitt utsatt for en hendelse og ikke deler detaljer – Zero Trust Soldier

    […] er et eksempel på et årshjul for adressering av tekniske tiltak med direkte tilknytning til nylige hendelser. Dette er 10 tiltak […]

    Reply
  2. Vingeklipp XZ sårbarheten CVE-2024-3094 – Zero Trust Soldier

    […] Proaktiv sikkerhet er svaret. Elementene som kan og vil adressere disse to 10/10 sårbarhetene er omtalt i mitt årshjul: […]

    Reply

Leave a Reply

Discover more from Zero Trust Soldier

Subscribe now to keep reading and get access to the full archive.

Continue reading