Zero Trust Soldier

Cybersecurity is complex. Let's see if we can make it more understandable

Å ikke se kan gi en deilig ro

Det man ikke vet har man ikke vondt av… Eller?

Det man ikke ser, kan man ikke kontrollere. Eller?

For å illustrere situasjonen, her er et utsagn fra en jobbrelasjon:

“Før fikk jeg ikke sove om natta fordi jeg ikke visste hva som skjedde. Nå sover jeg ikke godt fordi jeg vet hva som skjer”

Dette ble sagt etter bytte av brannmur fra gammel til ny teknologi. Det hører til historien at en direktør måtte gå fra sin stilling etter at denne teknologien avdekket surfing på barnepornografi, gjentatte ganger, også etter advarsel.

At det ikke er alarmer betyr ikke at ting er OK

Altfor få har god visibilitet, og da heller ikke gode evner til å detektere og stoppe. Da vil det også bli mindre alarmer, som absolutt IKKE nødvendigvis betyr at alt er OK. Altfor mange ganger har suksessfulle hendelser skjedd der systemer og teknologi ikke har hatt evnen til å se, andre ganger har den hatt visibiliteten og evnen, men mennesker har ikke implementert løsninger skikkelig. Jeg kjenner til flere hendelser som enkelt kunne vært avverget.

Det er litt deilig å ikke se, men…

I mitt daglige virke, og etter mange år i bransjen, er manglende visibilitet mer vanlig enn det motsatte. Og da snakker jeg ikke om hva man sitter og ser på, men hva systemer og teknologi faktisk ser og dermed kan gjøre noe med. Når dét er sagt, kan ikke systemer og teknologi se, kan heller ikke du gjøre det, og da har man et stort problem.

Men det er jo litt deilig å ikke se også, for da kommer det ikke masse støy, eller….

Blir man da ei blind geit eller en struts med hodet i sanda?

Å være ei blind geit kan kanskje sammenlignes med at man ikke ser, og da vet man heller ikke, mens å stikke hodet i sanda er en mer bevisst handling. Jeg tror hverdagen der ute er en blanding av begge disse to, og begge er alvorlige. Det er nok en blanding av kompetansenivå, bevissthet, ledelse i foretaket, evne, kapasitet, og joda, litt penger også. Men fryktelig mye kan gjøres med lite.

Hva kan man gjøre?

Alle eksisterer mange steder, på mange systemer, i egne systemer, i skyeleverandørers systemer, eller man kjøper tjenester. Man implementerer sikkerhetsteknologi i håp om at man da er trygg, men som oftest uten å ha synlighet, og dermed bygge seg luftslott.

Jeg jobber mye med nettverk, infrastruktur og brannmurer av forskjellige merker. Det betales penger i dyre dommer for fancy teknologi, som har gode evner til å skape god visibilitet og dermed god beskyttelse. Men i de aller fleste tilfeller gjøres ikke den menneskelige jobben for å skape den nødvendige synligheten.

SSL/TLS dekryptering

Dette er et betent område som det er mange meninger om. GDPR kommer også opp som et “motargument” fordi man må beskytte personvernet, bortsett fra at da skyter man seg selv i foten da hensikten her er å gi sikkerhetsteknologi tilstrekkelig innsyn for å gi så god sikkerhet som mulig, bl.a for å beskytte personvernet.

Dekryptering er relevant for all kommunikasjon, da “alt” på internett i dag er kryptert, og for å kunne skille godt fra slemt MÅ sikkerhetsteknologien være i stand til å inspisere. Hvordan man skaffer det nødvendige innsynet for sikkerhetsteknologien vil variere basert på løsning, men viktigheten er der.

Min erfaring er at dekryptering i all hovedsak mangler der ute som igjen resulterer i falsk sikkerhet, men jeg ser heldigvis en langsom evolusjon på området, til stor glede først og fremst for en sikkerhetsnerd som meg, og deretter merker man hvordan kunden også begynner å smile enda mer.

Full inspeksjon, som ofte ikke er aktivert, eller kan brukes

Når visibiliteten er på plass, er det på tide å lade kanonene, og her snakker vi om sikkerhetsmekanismer som skal inspisere.

Sårbarheter kommer i hopetall, og etter at dekryptering er på plass kan sikkerhetsteknologi som har til hensikt å detektere og sperre misbruk av kjente sårbarheter gjøre den jobben den er lagd for å gjøre, nemlig å alarmere og helst sperre. I tillegg kommer sikkerhetsfunksjoner som er relevante og viktige i forbindelse med phishing og løsepengeangrep, DNS sikkerhet, som også blir stadig mer avhengig av dekryptering.

Da de færreste aktiverer dekryptering, vil sikkerhetsfunksjonene være vingeklippet og bli et kostbart luftslott.

I tillegg opplever jeg mange som ikke aktiverer sikkerhetsfunksjonene i særlig grad, selv om de har teknologien og betaler årlige lisenser for dem.

Hver dag går med til optimalisering

Man må starte med menneskene. Det er flere ting som må på plass. Visibilitet er kritisk for sikkerheten. Etter at man sikrer god visibilitet i egne systemer, i skyen eller hos leverandører, må man både sikre god logging, til et sentralt lager, gjerne med god overvåking og reaksjonsevne. I tillegg kommer da jobben med å aktivere og optimalisere sikkerhetsfunksjonene som første og fremst har til hensikt å avverge uønskede hendelser, samt også å alarmere om noe skummelt er i ferd med å skje.

Konklusjon

Dette er en artikkel som har til hensikt å få mennesker til å ta et skritt tilbake og tenke igjennom situasjonen relatert til visibilitet. Ser man det man trenger å se?

Det er to hovedpunkter her:

  • Skap innsynet, gjerne med dekryptering, i brannmur, eller annen teknologi. Men sikre at sikkerhetsteknologien har det innsynet som er nødvendig for å kunne gjøre jobben sin.
  • Sikre at sikkerhetsfunksjoner som IPS, DNS, URL og annet alltid er aktivert alle steder (her ser jeg store huller hos de aller fleste, der det nærmest er totalt fraværende hos noen til tross for at kunden har betalt for teknologien)

Ikke sov godt om du ikke ser…. Skap synlighet, skap bedre sikkerhet, sov dårlig i begynnelsen, forbedre, sov bedre. God natt.

,
, , , , , ,

Posted by:

Gøran Tømte

Leave a Reply

Discover more from Zero Trust Soldier

Subscribe now to keep reading and get access to the full archive.

Continue reading