Dette er setninger jeg har sagt mange ganger, og det er myntet på mennesker for bevissthet.
Hvorfor sikkerhet?
Altså. Hvorfor har man sikkerhet? Altfor mange har ikke “sikkerhet”, men sikkerhetsprodukter, og så tror de at det er synonymt med sikkerhet. Man tror at om man slenger nok penger på bordet til teknologi, så er man “home free”. Man kjøper kanskje til og med “SOC”, uten å egentlig vite hva det er, eller hva en SOC faktisk burde gjøre. Folk må på jobb.
Det er altfor mange antagelser der ute, og bare kjempeflaks at det ikke er enda flere alvorlige hendelser, for mulighetene er store for de kriminelle, og det vet jeg basert på erfaringer etter jobbing med mange kunder. Heldigvis er det en økende bevissthet rundt temaet og dermed fokus på forbedring. Folk må på jobb.
Hvorfor denne artikkelen?
Ny kunde. Man får tilgang til brannmuren, for revisjon og fremtidig optimalisering. Og bra er det, for her er det mye å gjøre. Og da kommer poenget jeg gjør i starten, at suksessfulle hendelser skjer i tillatt trafikk, hvorfor har man sikkerhet, at teknologi alene ikke er nok.
Denne kunden er på mange måter ikke veldig annerledes enn mange andre kunder jeg kommer inn til (noen har et veldig bra oppsett, og jeg jobber med å optimalisere de siste 20-30%). Regelsett bærer preg av historie, med mye gammelt og nå ubrukt, som betyr at det kan ryddes og fjernes gamle ting. I tillegg bærer det ofte preg av drift basert på en hektisk hverdag der fokus er å få ting til å fungere, av mennesker som gjerne har altfor mange oppgaver og kanskje ikke har tid til å gå på kurs, og dermed har middels kompetanse på produktet de forvalter.
Logger er fylt av forsøk på misbruk. De aller fleste ganger stoppes disse av signaturer, men hva når de utøver noe fremmed for sikkerhetsteknologien, og her kommer poenget mitt med Least Privilege.
Min siste kunde kjører “Alert Only” på sikkerhetssignaturer for inngående trafikk til visse tjenester. Loggen er “full” av kritiske alarmer, men bare med action alert, slik at dette faktisk går rett igjennom. Har kunden SOC? Så langt har jeg ikke kommet, så det vet jeg faktisk ikke på nåværende tidspunkt, men følelsen er at det ikke er på plass, og da må man stole på endepunktsikkerheten på server. Lite lagvis sikkerhet der altså. Også her kommer Least Privilege inn.
Delvis suksessfulle hendelser her hjemme har skjedd med premium teknologi, men satt opp liberalt. Etter at hendelsen var et faktum ble naturligvis logger ettergått og de inneholdt bevis på aktivitet som med beste praksis burde vært sperret. Folk må på jobb.
Least Privilege to the rescue
Ettersom suksessfulle hendelser skjer i tillatt trafikk er det VELDIG viktig å være bevisst på hva man tillater. Hver eneste gang jeg kommer inn til en ny kunde, er dette et av mine klare OCD punkter som umiddelbart gir synlig effekt.
Når man kommer inn til en ny kunde er gjerne threat loggen full av forsøk på misbruk av sårbarheter, men gjerne fra kilder som ikke burde være der i utgangspunktet, som mange land som ikke typisk trenger tilgang og dermed ikke burde vært tillatt, eller at kommunikasjonen går mot noe som ikke burde være tillatt, som at man aksesserer en web tjeneste med IP istedenfor FQDN.
Det er veldig enkelt å innføre Least Privilege med begrensning på source region, samt korrekt FQDN. Dette gir umiddelbar effekt i threat loggen, da majoriteten av lykkejegere som bare er ute etter å gjøre skade, forhåpentligvis for profitt, vil bli sperret. Kunden blir som regel henrykt av det de ser. Dette tiltaket stopper majoriteten av lykkejegere.
En god brannmur regel
En god regel i en moderne brannmur gjør tilgangskontroll på:
- land man kommer fra
- IP adresse (helst FQDN om mulig) om det er en begrenset tjeneste
- dekryptering for best synlighet og dermed best utnyttelse av bl.a IPS (dekryptering for inngående trafikk er latterlig enkelt, og veldig synd at ikke absolutt alle kjører)
- spesifikt portnummer (selv om dette er innlysende, kan dette punktet ofte være liberalt)
- applikasjonskontroll for kun den eller de applikasjoner som trengs
- URL tilgangskontroll for spesifikke FQDNs
På toppen av dette benyttes naturligvis inspeksjon med sikkerhetsprofiler, noe som naturligvis styrkes med dekryptering.
Konklusjon
Kast ut brannmuren din, om du ikke tar den på alvor. Men tar du den på alvor, vil den gjøre en veldig viktig jobb i din lagvis sikkerhets strategi.
Ingen sikkerhetsteknologi alene er godt nok. All teknologi og løsninger koster penger og krever tid. Vær bevisst på dette og gjør regelmessige revisjoner, enten selv, eller med ekstern kompetanse, for man kan veldig ofte få til mye med relativt lite.
Så da skal jeg fortsette å revidere min nyeste kunde som forberedelse til første møte. Det er supert når kunder har tillit og gir meg tilgang til sikkerhetsteknologien og kan gjøre dypdykk i oppsett og dermed finne alle forbedringspunktene. Denne gangen er et av punktene å slette 2/3 av regelsettet som er ubrukt.
Man jobber med flere kunder, med forskjellig teknologi, og fellesnevneren er alltid mennesker. Teknologien er naturligvis forskjellig, men er gjerne satt til å løse samme utfording. Mennesker har satt inn teknologi, men altfor ofte med manglende tid, kapasitet og kunnskap, både om teknologi, men også om trusselbilde. Så det er dermed veldig mye ugjort der ute, og jeg trives med å optimalisere, da OCD’en blir tilfredsstilt (og man ser og vet jo at dette bidrar meget positivt mot trusselbildet).
Leave a Reply