Hvor ofte sjekker du loggen for alarmer?
Dette eksempelet viser alarmer for 10 feilede innlogginger i løpet av 60 sekunder.
1296000 feilede innlogginger hver dag
Når det kommer 1-2 slike linjer hvert sekund, kan vi gjøre det om til 1,5 linje i sekundet, som gir dette regnestykket:
1,5x60x60x24=129600
Når hver linje indikerer 10 feilede innlogginger blir totalen for en dag 1.296.000.
Redusér angrepsflaten
Disse alarmene er et resultat av for liberale regler og tilgangskontroller, og en optimalisering av disse med enkle tiltak beskrives i presentasjonen jeg nettopp holdt, og kan oppsummeres med disse bildene:
(Dette bildet er oppdatert etter at presentasjonen ble laget, slik at det er dette som er gjeldende)
Om man har forskjellig IP på portal og gateway, blir oppsettet som nedenfor:
Etter å ha implementert dette regelsettet stoppet alle uønskede forsøk på innlogging. Nå har det ikke vært en eneste de siste 3 døgnene.
Er din Threat logg full av alarmer er sikkerheten for dårlig
Om loggen deres ser slik ut, tyder det på at tilgangene er for liberale, angrepsflaten er unødvendig stor og sårbarheter kan enklere utnyttes.
Når man optimaliserer inngående regelsett reduseres threat loggen, veldig ofte over 95%. Så har dere mange innslag i loggen deres tyder det på et forbedringspotensiale. Dette hjelper jeg kunder med hver eneste dag, en meget tilfredsstillende oppgave, både for meg, men absolutt også for kunden.
Min presentasjon
I presentasjonen viser jeg mer informasjon om angrepene, forskjellen på dem, hvordan man tradisjonelt adresserer dem, og hvordan man på en bedre måte gjør det, nemlig med Least Privilege. Lykke til.
Leave a Reply