I forbindelse med pandemien måtte «alle» legge til rette for hjemmekontor slik at folk fikk jobbet. Dette var løsninger som allerede var godt på plass for mange, noen trengte økt kapasitet og noen måtte bygge nye løsninger.
Fellesnevneren for alle var det økte fokuset på sikkerhet relatert til den nye situasjonen. Dette var bra, og på tide. Mye må fortsatt gjøres på dette området.
Kast ut brukerne
Så, da har «alle» etablert en hjemmekontor løsning. «Alle» får gjort jobben sin hjemmefra. Bra. Allikevel har man en annen løsning når man er på kontoret, for da er man jo på kontoret. Plutselig er man på «innsiden», noe som i seg selv utgjør en sårbarhet. I tillegg har man nå to løsninger, en for hjemmekontor (og på reise), og en for når man er på kontoret.
Dette er da to løsninger, kanskje med forskjellig regelsett, og helt klart med forskjellige sårbarheter. Noen ganger er til og med hjemmekontor løsningen den sikreste.
En dårlig hjemmekontor løsning kan være årsaken til at man har en kontorløsning i tillegg, og da må man se på kvaliteten.
Hvorfor ha to løsninger, når en er enklere, billigere og mindre sårbar.
Assume compromise
Alle må alltid anta at klientmaskiner er kompromittert. Behandle dem som untrust, på et usikkert nettverk, hele tiden. Det gjelder når de er på hjemmekontor, på reise, på ferie, i kundemøter, OG når de er på kontoret. Derfor burde klientene bare få tilgang til internett via et gjestenett når de er på kontoret.
Ikke bruk NAC som en hvilepute
Network Access Control, på nettverkslaget. Hvor var det under pandemien? Hvor er det når man ikke er på kontoret? Bruk det gjerne for statiske enheter som IoT og OT der det ikke er en bruker som kan autentisere seg, men bruk det for all del ikke for PC’er med brukere bak. En bruker må identifisere og autentisere seg for tilgang til en tjeneste, og IKKE til et nettverk. Falsk trygghet som koster tid og penger man burde bruke på andre og mer verdifulle elementer.
Konklusjon
Å «kaste» ut klientene vil bidra til en mindre angrepsflate, enklere hverdag og lavere risiko.
Fokuser på å lage en god og brukervennlig klient løsning og la den bli den nye standarden som gjelder uansett hvor klientene måtte befinne seg.
Wifi. Kun internett
Mange har i tillegg «interne» wifi nett. Nei nei. Skummelt. Sårbart. Wifi skal kun ha internett, helst med egen brannmur adskilt fra kontor brannmuren.
Leave a Reply