Når sist reviderte du tilgangene? Har dere noensinne gjort det, eller er dere bare fornøyd med at det fungerer? Vær klar over risikoen og alle hendelsene som har blitt et resultat av supply chain.
Veldig mange har nødvendige åpninger for at leverandører skal få tilgang til systemer inne i egne løsninger. Disse tilgangene kan ha eksisterte i årevis, de har blitt satt opp på et eller annet tidspunkt, av noen, ofte av leverandørene, så nå er det kanskje på tide å gjøre en helsesjekk.
Nordland fylkeskommune og Gran kommune hendelsene
❗️Vi må huske på at både Nordland fylkeskommune og Gran kommune hendelsene skyldtes leverandørtilganger.
Det er viktig å være klar over at disse tilgangene ofte kan være skumlere enn mange andre åpninger, da de gjerne går litt under radaren og blir “shadow IT”. Kanskje blir ikke systemene forvaltet på en god måte mtp patching, logging, overvåking eller krav om MFA. Det er rett og slett tikkende bomber 🧨.
Akkurat nå jobbes det med dette hos en kunde
Akkurat nå jobbes det med å optimalisere fjernaksess og tilgang fra flere leverandører inn i forskjellige systemer hos en kunde. Dette har kjørt i mange år, og det fungerer, men regelsettet bar preg av mange års historie, det var ustrukturert og det var mange gamle regler som ikke lenger trengtes. Nå ryddet det opp og strammes inn.
Status Quo
Dette er det man har funnet og som nå adresseres, både med umiddelbare tiltak, mens noen ting må evalueres og planlegges før det implementeres:
➡️ Leverandører kjører VPN klient inn med autentisering mot Entra ID. Bra -> ✅
➡️ Tilgang til VPN for leverandører er begrenset til Norge 🇳🇴. Bra -> ✅. Gran kommune hendelsen ble et faktum fordi tilgangene var for liberale.
➡️ Det skal revideres om det er krav om MFA i Entra ID. Nordland fylkeskommune hendelsen skjedde via leverandør tilgang uten MFA. ❓
➡️ Det er split tunnel, som betyr at VPN kan være oppe hele tiden og PC’en kan være på internett samtidig. ❗️ Ikke bra. Dette skal nå gås igjennom for å se på muligheten for full VPN med begrensning på hva som skal være mulig mot internett samtidig. Dette er implementert med stor suksess hos andre.
➡️ Det ligger mulighet for å sjekke tilstand på PC (HIP, Host Information profile) ved påkobling mtp lokal brannmur, disk kryptering, endepunktsikkerhet og utestående kritiske patcher. Dette er ikke aktivert og vil nå implementeres over tid. 🔦
➡️ Tilgangene fra VPN og inn i systemer er nå strukturert ut i egen kategori i regelsettet og revidert med optimalisering og innstramming. Dette gir først og fremst en mye bedre synlighet ved at reglene skilles ut fra de andre “vanlige” reglene, og deretter blir ting sikrere. Bra -> ✅
➡️ Tilganger internt er knyttet til User-ID og App-ID i tråd med LeastPrivilege. Bra -> ✅
➡️ Systemer som skal nås av leverandører, bl.a med RDP, må isoleres i egne soner for å redusere risiko for horisontal bevegelse, som er veldig enkelt når man har en legitim RDP tilgang.
➡️ Er det krav om MFA på interne systemer? Dette må revideres?
➡️ Jumpserver. Dette er et viktig tema som vi må snakke om. Dette eksisterer pt ikke for denne kunden, men er selvfølgelig et anbefalt tiltak som kan settes opp nærmest uten kostnad, det vil gi en mye bedre synlighet, helt andre muligheter for sesjonslogging, og mer.
Så… De neste oppgavene sammen med denne kunden blir…
🫵 Se på behov for jumpserver
🫵 Revidere Entra ID og conditional access
🫵 Implementere HIP for PC compliance
🫵 Fjerne split tunnel
🫵 Revidere krav om MFA for VPN og på interne systemer
🫵 Revidere isolering av tjenester og optimalisere det som trengs
Bare å ta kontakt
Dette er slike ting jeg like å holde på med, optimalisering av sikkerhet, med det dere allerede har. Dette arbeidet handler først og fremst om å få oversikt, struktur og deretter bedret synlighet, kontroll og sikkerhet.
Leave a Reply