Det er klart man skal patche og oppdatere, men mye kan gjøres for å redusere stresset.
Her er det gamle bildet som Nasjonal sikkerhetsmyndighet brukte før. Sjekk linken under for den oppdaterte versjonen fra dem.
https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/5tiltak
Vi har hørt det i alle år, «oppdater og oppgrader». Joda, men hva med å skape større forståelse og forklare sammenheng? Forklare når man er sårbar, og hva som kan gjøres proaktivt for å bli mer motstandsdyktig. Det siste der synes jeg mangler som fokus fra myndigheter.
Anbefalinger fra myndigheter
Ser man på de 4 gamle anbefalingene fra Nasjonal sikkerhetsmyndighet, er anbefaling 1 og 2 i denne kategorien, den reaktive kategorien. Punkt 3 og 4 er i den proaktive delen.
Ser man på de 5 nye anbefalingene er punkt 1 oppdateringer. Så klart man skal oppdatere, men…
Katt og mus
En IDS/IPS er en enhet som er bygd med en default funksjon for å tillate trafikk. Uten innhold oppfører en IPS seg bare som en kabel, en IDS gir faktisk ingen direkte sikkerhet da den er bygd for å lytte til trafikk. Men begge to er avhengig av data i seg for å kunne gjøre en jobb. Disse dataene er mønster/signaturer for kjente skadelige elementer, som at noen prøver å bryte seg inn i en digital løsning ved å prøve mange brukernavn og passord, eller at det gjøres forsøk på å utnytte en software sårbarhet.
Software sårbarhetene må være kjent for at de skal legges inn i sikkerhetsproduktet. Sårbarhetene kommer på løpende bånd, hele tiden. Noen av dem er veldig sårbare og derfor alvorlige. En zero-day sårbarhet eksisterer det ingen signatur for og en IPS vil da falle på sin default funksjon «allow».
Du patcher alltid for sent
Dette er en viktig holdning, fordi når en oppdatering lanseres, lanseres også sårbarheten. Og det er ikke bare de snille som ser dette. Dette følger naturligvis de kriminelle med på også. Dermed starter klokka å gå veldig fort når en ny oppdatering slippes. Og når de kommer hele tiden vil det gå mye fokus og arbeid på disse tingene.
Tidsvinduet fra en oppdatering slippes til man oppdaterer blir en åpen angrepsflate. Man har sett aktivt misbruk av sårbarheter under 12 timer etter offentliggjøring (skjedde med Log4J). Jeg har selv vært involvert i hendelse hos kunde der Exchange sårbarheten ble oppdatert 4 dager etter offentliggjøring, og i dette vinduet ble den misbrukt for etablering av bakdør. Når oppdatering skjer fjernes software sårbarheten, men de kriminelle kan allerede ha fått fotfeste som da ikke berøres av oppdateringen (VG testen). 6 måneder senere fikk denne kunden krypteringsvirus, fordi det er leveringstid på Ransomware. Anta at noen allerede er på innsiden.
Shodan
Når en software sårbarhet annonseres, og de kriminelle ser dette, kan Shodan være et fint hjelpemiddel for de kriminelle da de kan lete etter sårbare enheter (NetScaler, Fortinet, F5, Cisco, Microsoft, osv) de kan gå etter. Dermed kan de også operere ganske raskt og målrettet.
Konklusjon. Proaktiv Least Privilege
Når er en software sårbarhet sårbar? Jo, den er det når den kan misbrukes. Hva om man gjør løsningene mer robuste til å i mindre grad kunne misbrukes?
Suksessfulle hendelser skjer i tillatt trafikk.
Sårbarheter kan misbrukes i tillatt trafikk. Reduser angrepsflaten, først og fremst på tjenester som er tilgjengelig fra internett, deretter på tjenester som skal nå internett (VG testen) og så på interne tjenester. Mange tenker at domenekontrolleren og databasen ikke er tilgjengelig fra internett. Feil! Alt er tilgjengelig fra internett. Kan du som administrator nå utstyret fra hjemmekontor, over internett, er dette et bevis på at «interne» systemer kan nås fra internett. Med tanke på at en Exchange sårbarhet kan utnyttes i det 4 dagers vinduet, men selve krypteringsangrepet skjer 6 måneder senere, er det viktig å alltid anta at uvedkommende er på innsiden og at man må tenke Least Privilege alle steder
Leave a Reply