Zero Trust Soldier

Etter å ha jobbet med optimalisering av sikkerhet hos kunder en stund, har jeg erfart følgende:

• Optimalisering av regelsett med Least Privilege basert på applikasjon og URL kontroll vil redusere threat loggene og naturligvis heve sikkerheten.

Hvorfor og hvordan? Det er det jeg skal forklare her.

Suksessfulle hendelser skjer i tillatt trafikk

Hvor ofte sjekker dere threat loggene på brannmuren, og da spesielt for trafikk fra internett. Se spesielt på alarmer for forsøk på misbruk av sårbarheter. Om dere sjekker videre, skjer dette i trafikk som trenger å være tillatt for at applikasjonen skal fungere? Altfor ofte er regelsettet for liberalt og forsøk på misbrukt gjøres gjerne i åpninger som ikke trenger å være der.

Optimalisering av regelsatt med utgangspunkt i IPS

Å rydde i regelsettet er en viktig parameter for å redusere risiko. Noen ganger kan dette være en del jobb, men alt hjelper. Jeg bruker som sagt threat loggene for å se forsøk på misbruk av sårbarheter som en identifikator på et for liberalt regelsett.

Skjer det forsøk på misbruk på “unknown-udp” er spørsmålet om denne applikasjonen er nødvendig å kunne nå mot denne tjenesten. Typisk er ikke dette nødvendig og jeg optimaliserer deretter regelsettet ytterligere.

Skjer det et forsøk på misbruk mot random høye portnummer, både på UDP og TCP, er spørsmålet om dette er nødvendig for at tjenesten skal fungere, noe det typisk ikke er, og regelsettet justeres inn i retning Least Privilege med applikasjon og URL kontroll.

Shodan

Shodan er en “trussel”, da utstyret du har mot internett blir mappet inn i Shodan. Netscaler. Fortinet. Exchange. MobileIron. F5. Cisco. Osv osv osv… Sårbarhetene florerer og da er det fint for de kriminelle å lete etter sårbart utstyr på Shodan når en ny sårbarhet kommer ut. Å optimalisere regelsettet med Least Privilege vil redusere hva Shodan vil se (dette vet jeg fordi jeg ser Shodan søk som er suksessfulle før vi starter optimaliseringen, og som stoppes når vi strammer inn). Shodan trenger ikke tilgang til utstyret ditt.

Video

Se her for video

Og slik ser det ut nå. Fra noen hundre logger per minutt til dette på 3 dager:

Konklusjon

Least Privilege resulterer i at majoriteten av forsøk på misbruk ikke tillates og treffer default deny regelen og aldri kommer videre til inspeksjon da de ikke er i stand til å opprette en sesjon mot destinasjonen.

Hvorfor er dette viktig? Zero days og andre sårbarheter popper opp hele tiden, og det er vanskelig å holde tritt. Man MÅ anta at man er sårbar og tenke hvordan man kan redusere risiko. Patching skal og må fortsette, men man må alltid anta at man pacther for sent.

Least Privilege og VG testen er viktige proaktive elementer som adresserer misbruk og innbrudd.