Å stoppe angrep er veldig viktig, men det er forskjellige måter å gjøre det på.
Suksessfulle hendelser skjer i tillatt trafikk!
Altfor mange setter sin lit til sikkerhetsteknologien for at den skal oppdage og sperre potensielt skadelig aktivitet. Det er vel og bra, men ofte er den grunnleggende sikkerheten altfor dårlig, tilgangene er altfor liberale og dermed er angrepsflaten også altfor stor. Å kjøpe den beste teknologien, få massive logger med alarmer, og dermed anta at alt er bra kan være veldig sårbart og skummelt. Rett og slett falsk trygghet.
Man kan fokusere på å sperre skadelig aktivitet, eller man kan fokusere på å begrense hva som er tillatt (og med det enda mer effektivt sperre potensielt skadelig aktivitet, til og med uten fancy IPS funksjoner). Vi snakker Least Privilege.
Least Privilege mot 0-dags sårbaheter
Om man fokuserer på hva man skal tillate, og begrenser det til det absolutte minimum, vil man også redusere sannsynlighet for misbruk av fremtidige 0-dags sårbarheter. Da snakker vi proaktiv, preventiv og meget verdifull sikkerhet. Og det verste er at det kan i all hovedsak utføres uten å kjøpe noe som helst fordi man allerede har teknologien, bare at man ikke bruker den optimalt.
NSM sier det er 3 typiske måter å komme seg inn på
Når Nasjonal sikkerhetsmyndighet står på scenen og sier de tre mest typiske måtene å komme seg inn i datasystem er misbruk av sårbarheter, phishing og innlogging på tjenester, er det god grunn til å fokusere på forbedring av sikkerheten rundt nettopp disse. Misbruk av sårbarheter og innlogging på tjenester er typiske sårbarheter som for mange er tilgjengelig fra hele internett, og det er her slaget må stå.
Om loggen din ser slik ut er sikkerheten for dårlig
“En veldig viktig ting å tenke på når man ser alle disse alarmene, er at de har kommet som et resultat av trafikk som er tillatt.”
Dette er et utklipp av alarmene hos en kunde. Bildet sier ingenting om disse er stoppet eller bare alarmert på. Altfor få bruker tid på å revidere dette innholdet. Det store spørsmålet er om alarmene i det hele tatt egentlig skulle vært der. For man MÅ reflektere over hva som gjorde det mulig å komme til det stadiet at man får disse alarmene. Er tilgangene for liberale? Trenger hele verden tilgang til den SSH serveren? Neppe.
Når sjefen spør om tall, kan store tall gi falsk trygghet
Ofte blir man spurt om statistikk på ting som er sperret. Mange kan da stolt vise til store tall som et slags forsvar av investeringen i sikkerhetsteknologi. Det mange da ikke tenker på, er at dette er de mislykkede angrepene, som har traversert regler som tillater trafikk, mens de suksessfulle angrepene typisk ikke lager slike spor. Og her er poenget med den falske tryggheten.
Least Privilege vil redusere alarmene dramatisk
Adresserer man hovedårsaken til de mange alarmene med et bedre regelsett som tillater kun det som trengs, vil lykkejegerne som bombarderer dere i hovedsak ikke lenger komme igjennom allow regler og dermed treffe default deny regelen i bunn. Dette igjen vil føre til en reduksjon i threat logger med over 95%. Dette bidrar i tillegg til å redusere sannsyligheten for misbruk av sårbarheter, inkludert 0-dags sårbarheter.
Så hva skal du da si til sjefen når statistikken dropper markant? Vel, det får bli opp til deg, men poenget er at sikkerheten har blitt mange hakk bedre fordi du tok jobben med å redusere nettopp angrepsflaten.
Jeg sier dette fordi jeg ser dette “alle” steder, og mener dermed at dette er en alvorlig sårbarhet for “alle”. Dermed må “alle” faktisk ta denne revisjonen og adressere funnene med gode tiltak.
Ta en kikk i loggene i dag og still spørsmålet “er reglene våre altfor liberale?”
Tilgangskontroll i en brannmur
- Trenger hele verden tilgang?
- Om den bare trenger å være tilgjengelig fra Norge, så er det fantastisk å begrense det til kun dette. Om den må være tilgjengelig fra 20 land, er det mye bedre å begrense det til dette, og stenge ute resten av verden. Ingen sikkerhet er 100%, men de fleste suksessfulle angrep skjer uten å være målrettet.
- Noen ganger kan man begrense det til bare noen få IP adresser, som f.eks for tilgang til SSH servere.
- Hva trengs det tilgang til, og på hvilken måte?
- I moderne brannmurer vil man i tillegg til de tradisjonelle tilganskontrollene mot IP adresse og portnummer legge til hvilken applikasjon og URL man skal tillate.
- Dekryptering
- “All” kommunikasjon på internett er i dag kryptert, også de tjenestene dere tilbyr. En moderne brannmur har mange lag med sikkerhet som har til hensikt å identifisere og stoppe potensielt skadelig aktivitet. Om kommunikasjonen igjennom brannmuren er kryptert, vil investeringen deres være sterkt vingeklippet, og derfor er det meget viktig med dekryptering for å skape den nødvendige synligheten.
- Inspeksjon av data
- Etter at regelsettet er laget bra etter Least Privilege prinsippet, vil sannsynligheten for misbruk være sterkt redusert, men man er aldri 100% sikker. Derfor er det viktig med flere sikkerhetslag.
- Når man har dekryptert den innkommende datastrømmen vil man kunne inspisere dataene med sikkerhetsfunksjoner (IPS) som har til hensikt å se og sperre misbruk av software sårbarheter, men også hindre “innbrudd” på tjenester etter brute force attack, password spraying attack, og lignende.
Disse tingene er helt “basic”, men er allikevel altfor ofte slurvete utført, og man får en falsk sikkerhet med store logger. Om du er en leder som leser dette, ta det med til de som opererer brannmurene i eget datasenter OG i skyen, og still noen kontrollspørsmål rundt kvaliteten på tilgangskontrollen.
Konklusjon
Er alarmloggene på brannmuren store, er det kanskje en indikasjon på at tilgangen er for stor, og revisjon og tiltak er det neste man burde starte med.
Optimalisér det dere allerede har, uten å kjøpe noe som helst, og redusér risikoen betraktelig. Mennesker må på jobb, for dette kan man ikke overlate til teknologi.
Angrepene vil ikke stoppe grunnet disse tiltakene, men de vil bli mindre synlige fordi de vingeklippes.
Leave a Reply