Å jobbe trusselorientert er for meg logisk og viktig. Når jeg kommer inn til en ny kunde er en av de første tingene jeg gjør å strukturere regelsettet. Dette er beskrevet her.
- Det første kapittelet i regelsettet er generiske deny regler.
- De neste kapitlene er for inngående kommunikasjon til forskjellige soner.
- Når grupperingene er på plass går jeg igjennom og strammer inn reglene med Least Privilege.
- De neste kapitlene er for utgående kommunikasjon for å adressere VG testen.
- De neste kapitlene er intern kommunikasjon for soner som er eksponert fra internett.
- Med dette på plass blir det enklere å rydde ved å slette ubrukte åpninger og deretter stramme inn med bl.a URL match.
La meg forklare.
Assume breach. Kjør Least Privilege
Man har gjerne tjenester som skal være tilgjengelig fra internett. Et strukturert regelsett for disse vil hjelpe stort på å begrense angrepsflaten.
Inngående kommunikasjon mot DMZ er vanlig. I tillegg kan det være mange forskjellige DMZ’er. Noen har også regler som tillater trafikk inn i server sonen, noe som naturligvis ikke er anbefalt.
Flere segmenter
I alle disse sonene er det gjerne flere servere, og antar man innbrudd, vil paranoiaen øke for intern bevegelse, og man skjønner enda bedre at en økt segmentering er viktig. Se på de viktigste tjenestene og mulighet for å isolere disse maksimalt.
Kommunikasjon innover i nettverket
Antar man innbrudd i DMZ, som i at noen har fått fotfeste på serveren, kan de bevege seg internt i sonen, men de kan også bevege seg til andre soner om regelsettet i brannmuren er for liberalt. Dette er den nyeste justeringen jeg gjør hos kunder, å gruppere regler fra DMZ og inn, pluss andre internett eksponerte soner og inn. Ved å gjøre denne grupperingen blir det enklere å se på tillatelser og stramme inn disse med Least Privilege. Bare i dag har jeg strammet inn flere regler jeg tidligere ikke har hatt fokus på, og man føler seg tryggere mot uønsket kommunikasjon innover i nettverket. Man er aldri 100% sikker, men man har nå redusert mulighetene. Gamle og nå unødvendige åpner er fjernet og åpninger er ellers strammet inn.
Palo Alto Networks Pan-OS to the rescue
Det er ingen hemmelighet at jeg er stor Pan-OS fan, og en av grunnene til dette er styrken rundt visibilitet. Optimalisering av regler er enkelt når synligheten er så bra, og man i tillegg ser når ting har vært brukt, og ikke. Dette bidrar til å slette ubrukte elementer, og tillate kun det som faktisk har vært i produksjon. Dette er elementer jeg mener flere burde fokusere på, da man må spørre seg selv hvorfor man har en brannmur, om det ikke primært er for å kontrollere tilganger på en god måte ved å tillate kun det som trengs for at produksjon skal kjøre, og dermed redusere angrepsflate og risiko mest mulig. DET er grunnene til at jeg mener Palo Alto Networks er best, fordi den er best på nettopp hovedgrunnen til hvorfor man skal ha en brannmur. Digger det.
Sykehuspartner hendelsen i 2018
Hendelsen hos Sykehuspartner HF i januar 2018 skjedde med en webserver i DMZ som hadde en sårbarhet. Skurkene fikk fotfeste på denne og beveget seg videre, til de kom til en annen sone og ble oppdaget. Kunne det vært avverget flere steder? Jeg har ikke nok detaljer, men kunne inngående dekryptering muliggjort bedre IPS støtte som kunne stoppet første del, eller kunne et bedre regelsett internt stoppet interne bevegelser? Det er spørsmålene, og punkter alle enkelt kan gjøre noe med.
✅ Strukturér
✅ Stram inn med Least Privilege
✅ Aktiver SSL dekryptering
✅ Sikre at alle sikkerhetsprofiler er aktive og satt opp etter beste praksis
Leave a Reply