Dagens trusselbilde er brutalt, og de kriminelle kommer stadig inn i systemene til foretak. Det er mange grunner til dette, og mange anbefalte sikkerhetstiltak for å adressere det. En av anbefalingene er økt grad av segmentering for bedre kontroll og dermed sikkerhet.
Å segmentere er anbefalt, men kan være en omfattende prosess
For å oppnå fullverdig Zero Trust er mikrosegmentering en sterk anbefaling. Dette krever innkjøp av ny teknologi, og er noe de færreste begir seg ut på.
Segmentering ved hjelp av VLAN er nok mer den metoden de fleste bruker.
Men det krever gjerne prosjektarbeid for å gjøre dette, selv om man jobber risikobasert og starter med de viktigste verdiene. Det er uansett viktig å starte med kartlegging av verdier, og deretter kjøre en risikovurdering for å identifisere de største risikoene, der et av tiltakene kan være å isolere spesifikke tjenester, som domenekontrollere, databaser, spesifikke applikasjonsservere, og mer.
Så hva kan man gjøre i dag?
Man kan starte allerede i dag med å skape bedre visibilitet på alt som skjer i datasenteret selv om det er “flatt”, og mange servere står i samme segment uten krav om kommunikasjon via en brannmur for intern kommunikasjon.
En moderne brannmur, som f.eks Palo Alto Networks, kan settes opp i det som kalles “tap mode”. Det vil si at den kan lytte til trafikk sendt til seg fra en speilet port på en switch eller inne på en hypervisor. Ved å gjøre dette vil brannmuren se og vise all kommunikasjon som skjer samtidig mellom servere, samt at alle sikkerhetsfunksjoner hele tiden vil være aktive på all trafikk og dermed vil logge og alarmere om mistenkelige ting skjer. Dette er gull for en SOC.
Dekryptering er også mulig
Funksjonen “SSL Inbound Inspection” kan fungere i denne modusen, og man kan dekryptere for enda bedre visibilitet og inspeksjon med sikkerhetsfunksjonene.
Her ser man hvordan man kan gjøre dette med Palo Alto Networks
Dette kan gjøres med en billig PA-VM lab enhet installert inne på hypervisoren.
Det første man gjør er å definere opp en port i tap mode og legger denne til en ny sone som i eksempelet er navngitt “Server LAN Tap Zone”.
Deretter lager man en regel for å fange opp all trafikken. Legg merke til “Rule Type intrazone”, da denne bare skal se på trafikk.
Source feltet inneholder den nye sonen “Server LAN Tap Zone”
Destination feltet er grået ut fordi man har valgt “intrazone” som Rule Type
Application feltet settes til “Any”
Service settes også til “any” da denne skal logge alt
Actions feltet er viktig. Denne trafikken går ingen steder, så at action her er “Allow” er ikke farlig.
Profile Settings benytter en profil gruppe med alle funksjoner påslått. Husk at dette ikke stopper noe som helst selv om action sier drop eller reset. At den benytter dette vil bidra til bedre visibilitet i loggene.
Log Settings kan være viktig, men det kommer an på hvor du vil ha loggene.
Log Forwarding er viktig for eventuell SIEM og SOC. Det er i disse Log settingene visibiliteten kommer til verdi.
Log Forwarding kan også brukes for å sende en API melding til sakshåndteringssystemet for ekstra oppmerksomhet vet spesifikke hendelser.
Security Profile Group er i dette tilfellet fra Iron Skillet og i tråd med beste praksis.
Om trafikk treffer på en signatur med “critical” eller “high” severity kan du lage egne Log Forwarding regler som sendes til et sakshåndteringssystem for visibilitet og action.
Om man ser mistenkelige filtyper kommuniseres kan det også skapes alarmer. Her er det bare fantasien som setter grenser.
WildFire har også verdi her, da ukjente filer kan sendes opp for analyse. Husk at WildFire kan konfigures granulært for å unngå utsendelse av potensielt sensitiv informasjon, ved at man bare sender ut PE filer.
Konklusjon
En av de viktigste tingene innen sikkerhet er visibilitet. Det man ikke ser kan man ikke kontrollere. Skap bedre visibilitet med dette tiltaket. Dette er i kategorien lavthengende muligheter.
Leave a Reply