Zero Trust Soldier

Cybersecurity is complex. Let's see if we can make it more understandable

Rammeverk, for de “inkompetente”

Ja, nå blir nok mange krenket… Det jeg skriver her er sant, men det finnes noen veldig få unntak.

Hovedhensikten med denne posten er å synliggjøre svakheter med å kjøre etter rammverk, og viktigheten av å implementere de sterkt anbefalte, grunnleggende, preventive og langtidsvirkende tiltakene som i altfor stor grad mangler, som igjen gjør altfor mange unødvendig sårbare.

Når 1400 har blitt «hacket», så er det kanskje på tide å gjøre noe

Sikkerhet er omfattende. Men å sikre seg er i all hovedsak enkelt, om man bare gjør det.

Ingen ønsker sikkerhet, slik at det, og det er det viktig at alle er klar over. Samtidig må alle allikevel ha det, men hvorfor? Naturligvis grunnet business og verdier.

Ledelsen kan business

Ledelsen, med styre og ledelse, har ansvaret og kjenner sine overordnede oppgaver, øke verdien i det private, og forvalte i det offentlige.

Ledelsen kjenner nok i de fleste tilfeller til risikovurdering, men kanskje ikke så mye relatert til cyber og digitaliseringen av foretaket. Slik er det, slik har det vært hele tiden, og det er liksom ok og forståelig.

Så har man rammeverkene

Ledelsen vil i stadig økende grad ta innover seg alvoret i dagens trusselbilde og hvordan det digitale kan true business. Derfor ser de viktigheten av at noen tar tak i dette arbeidet for å redusere risiko.

Digitaliseringen skjer på IT avdelingen, avdelingen som holder på med etablering av nye og fornuftige IT løsninger, nå inkludert AI/KI. Hovedoppgaven til IT avdelingen er ikke sikkerhet, og veldig ofte ser man at IT avdelingen ikke ønsker å jobbe med rammverk.

Utfordringen er gapet mellom ledelse og IT avdelingen, og dette fylles ofte av akademia utdannede innen etablerte rammverk, mennesker som har utdanning i risikovurdering og GRC, og veldig ofte er nærmere business enn teknologi (jada, det er en miks, så ikke bli altfor krenket).

Når sikkerheten blir for sikkerheten mer enn business

Når man er opplært i GRC og får i oppgave av ledelsen å adressere sikkerhet, så blir det gjerne slavisk jobbing etter rammeverk og KPI målinger er i tråd med oppfyllelse av krav mer enn reell robusthet mot virkelige hendelser.

Rammverkene er og skal være generiske, de kommer sjelden med konkrete tiltak. Jada, det skal risikovurderes, på generelt grunnlag. Jada, man skal ta dagens trusselbilde, men om man ikke har teknisk kompetanse, og kanskje heller ikke bruker IT avdelingen (som for den del kanskje heller ikke har en lidenskapelig interesse av sikkerhetsfaget nok til å sette seg inn i virkelige hendelser for å se hva som virkelig skjer og hvilke tiltak som vil gjøre en fundamental forskjell) så blir det en falsk trygghet i mang en risikovurdering.

Det enkle er ofte det beste

Å sysselsette noen for å forvalte et rammeverk, være seg ISO27001, NSMs Grunnprinsipper for IKT-sikerhet, CIS CSC, osv, er kostbart uansett modell.

At man gjør dette, men allikevel mangler helt fundamentale og grunnleggende tiltak er bare trist. Enkle og i hovedsak gratis tiltak mangler, fordi det ikke tydelig fremheves i rammverk.

Svindel og løsepengeangrep

Dette er de største truslene der ute. Alle er i målgruppen. Lytter man til Kripos og andre, kommer det tydelig frem at alle er i målgruppen og det finnes ingen unntak. Derfor MÅ absolutt alle ha dette høyt på sin sikkerhetsagenda, også hos ledelsen. For det er disse tingene som er en risiko for business, målet til aktørene.

Svindel tiltak

Phishing er mye brukt innen svindel, og phishing har man jobbet med i mange år:

  • E-post sikkerhet som har til hensikt å detektere og stoppe.
    • Dette har eksistert i mange år og fungerer i hovedsak veldig bra, men det vet aktørene også, så de kommer seg til stadighet forbi.
  • Bevissthetstrening av brukere slik at eventuelle e-poster som kommer igjennom skal bli oppdaget og ikke klikket på.
    • Her er det et punkt veldig mange glemmer, at om noen oppdager, skal de ikke bare slette, men de skal også rapportere da flere kan ha fått samme e-post og muligens kan lures.
  • Multi Faktor Autentisering er i dag etablert hos de fleste, men det er fortsatt mange som ikke har dette selv om vi nå går inn i 2026.
  • FIDO2 og phishing resistent autentisering er det nye. “Alle” har i dag flyttet sin e-post til skyen, mest typisk til Microsoft 365 med tilhørende Entra ID. Teams. OneDrive. Sharepoint. Outlook. Og mer. Det er “kult” og “smart” å gå til skyen, men det bringer med seg en ny sårbarhet som må tas på høyeste alvor, da aktørene vet å utnytte dette, og det er her FIDO2 kommer inn. Alle må i dag ha dette.
    • Denne artikkelen handler om rammeverk, og når man vet hvor få som i dag bruker FIDO2, så sier det bare sitt.
  • Når FIDO2 er på plass er det noen punkter som kommer opp som nye sårbarheter som også må adresseres. Dette er beskrevet her.
  • Prosedyrer og rutiner rundt kontoendringer som er en taktikk mange bruker i dag.

Løsepengeangrep tiltak

Her er en artikkel som forklarer en del om dette teamet, hvordan det fungerer, og hvilke tiltak man burde ha på plass.

Også her ser man at helt fundamentale tiltak mangler hos de fleste.

Løsepengeangrep kan starte med phishing, og vil med det ha likheter med svindel, og FIDO2 kan gi effekt også her. Man ser av statistikk at misbruk av software sårbarheter nærmest har tatt over ledelsen når det gjelder initielle taktikker, og det må man ta høyde for, alltid. Det er enkelt, og det er i hovedsak gratis.

Det som står i nevnte artikkel om temaet er oppdelingen i 4 faser:

  • Inngående kommunikasjon
    • I hovedsak misbruk av software sårbarheter
    • Inngående Least Privilege er i hovedsak mangelfullt og sårbart (Dette ville avverget Gran kommune hendelsen). Hvem som forvalter rammeverk vil verifisere dette?
    • Inngående dekryptering av trafikk for bedre synlighet for IPS er i all hovedsak mangelvare (Dette ville avverget Gran kommune hendelsen). Hvem som forvalter rammeverk vil verifisere dette?
  • Intern kommunikasjon
    • I hovedsak skjer dette via RDP kommunikasjon
    • Segmentering med Least Privilege har i “alle” år vært sterkt anbefalt, men er i meget liten grad implementert, mye fordi kompetansen på fagområdet er tynn og feil med tanke på hvor mye arbeid det er. Det er i hovedsak gratis og meget fort gjort. Hvem som forvalter rammeverk vil verifisere dette? Segmentering pleier ofte å komme frem bra i rammeverk, men derifra til teknisk implementering er det et godt stykke. (Dette ville avverget Gran kommune hendelsen)
    • MFA for admins på RDP eksisterer nærmest ikke. Hvem som forvalter rammeverk vil verifisere dette? (Dette ville avverget Gran kommune hendelsen)
  • Utgående kommunikasjon
    • Denne kanalen benyttes for å etablere en permanent bakdør, for å laste ned programvare, lekke verdifull informasjon og laste ned skadevare.
    • Det er sterkt anbefalt å etablere utgående Least Privilege for å være motstandsdyktig mot dette, VG testen. Hvem som forvalter rammeverk vil verifisere dette? Dette er i all hovedsak mangelvare og skremmende. (Dette ville avverget Gran kommune hendelsen)
  • Kryptering
    • Man må ta høyde for at aktører kommer seg inn og krypterer deler av løsningene.
      • God backup, som overlever kryptering. Backup er ikke backup. Hvem som forvalter rammeverk vil verifisere dette?
      • Gode rutiner for backup.
      • Gode rutiner for gjenoppretting.

Konklusjon

Rammeverk, kan det bli en risiko? Kan rammeverk skygge over prioriteringene? Rammeverk har sine prioriteringer, men hvor lenge og langt ned må man komme før disse grunnleggende tiltakene er på plass?

  • FIDO2 phishing resistent autentisering, som beviselig hadde avverget 1400 hendelser.
  • Inngåendelse Least Privilege, inngående dekryptering og adressering av VG testen. Helt fundamentale og gratis tiltak som ville gjort en formidabel forskjell som typisk mangler hos de fleste.

Jeg har jobbet i ISO27001 regimer og foreslått flere av disse tiltakene, men har bare blitt hysjet på da ting skal skje systematisk og målbart, noe som har resultert i at tiltakene ikke kom på plass de årene jeg var der…..

Dette er IKKE enkelt, samtidig som det er veldig enkelt.

  • Det er ikke enkelt fordi de som må være med på avgjørelsene ikke har teknisk kompetanse.
  • Det er enkelt fordi det er veldig enkelt å implementere. Men IT avdelingen har som oftest altfor mye å gjøre med IT pushet av ledelsen, og sikkerhet er noe som gjerne ikke får prioritet.

Fokusér på svindel og løsepengeangrep. Tenk Sinnasnekkern og ferdigstill tiltak. Sikre at helt grunnleggende tiltak er på plass mot disse 2 med enkle tiltak, i hovedsak gratis, som gir langtidsvirkende effekt.

  • Svindel og løsepengeangrep. Har dere ikke FIDO2 på plass i dag? Start prosjekt.
  • Løsepengeangrep. Har dere ikke revidert inngående kommunikasjon og dekryptering? Start prosjekt. Dette er adressert med en dags arbeid.
  • Løsepengeangrep. Har dere ikke adressert VG testen for servere og OT? Start prosjekt. Dette er adressert med en dags arbeid.
  • Løsepengeangrep. Har dere ikke MFA for RDP admins? Start prosjekt. Dette er adressert med en dags arbeid.
, , , , , , , ,

Posted by:

Gøran Tømte

Leave a Reply

Discover more from Zero Trust Soldier

Subscribe now to keep reading and get access to the full archive.

Continue reading