Zero Trust Soldier

Cybersecurity is complex. Let's see if we can make it more understandable

Er det “skummelt” å skaffe seg SOC? De oppdager jo ikke ting….

Man kan sitte på ræva, leve usunt, og tenke at om noe skulle skje går man bare til doktoren for litt medisiner. Alternativt er jo å ta litt bedre vare på livet sitt med et bra kosthold og litt fysisk fostring uten at det koster noe som helst. De aller fleste kan ganske enkelt gjøre det, om de bare vil.

Kan man gå til legen med IT problemer?

Slik er det med IT sikkerhet også. Alle kan faktisk gjøre noe og mer med sikkerheten sin, og de kan gjøre veldig mye uten at det trenger å koste noe som helst.

  • De beste hendelsene er de som ikke skjer.
  • De fleste vellykkede angrep skjer ikke fordi angriperen er genial.
    • De skjer fordi noe allerede er tillatt.
  • Suksessfulle hendelser skjer i tillatt trafikk, tillatt av mennesker.
  • Least Privilege.

Luftslott

Hopper bukk over forebyggende tiltak

Altfor ofte hopper man bukk over de gamle, velkjente og veldokumenterte forebyggende tiltakene.

I stedet sikrer man seg tilgang til “fastlegen” – i denne sammenhengen en SOC.

La det være helt klart:

Jeg sier ikke at man ikke skal ha en SOC.

Men rekkefølgen er viktig.

Forebyggende arbeid må komme først, og det arbeidet må fortsette også etter at man har anskaffet en SOC.

Man må være fullstendig klar over at SOC’er dessverre ofte ikke oppdager eller reagerer på hendelser. Hvis man baserer sikkerheten sin på det alene, risikerer man å bygge et luftslott.

Har man penger til en SOC, bør man kanskje først vurdere å bruke de pengene på forebyggende tiltak. Få dem på plass – og vurder deretter om man trenger en SOC.

SOC vs SOC, sovepute, luftslott eller sikkerhet?

SOC – Security Operations Center

En SOC er et miljø som mottar logger, analyserer dem og forhåpentligvis alarmerer når noe mistenkelig skjer.

Ettersom mengden kunder og logger øker, må mye automatiseres. Dermed blir mennesker mindre involvert i analysen – på godt og vondt.

MDR – Managed Detection and Response

En MDR går et steg videre.

Den skal ikke bare oppdage hendelser, men også reagere og utføre tiltak på vegne av kunden.

SOC’er vokser som ugress

SOC-tilbud blomstrer som aldri før. Det finnes trolig over 50 SOC-miljøer i Norge alene.

Det er mye penger i dette markedet. Trusselbildet er alvorlig, og mange organisasjoner er villige til å bruke betydelige midler på slike tjenester.

Samtidig ser vi ofte at enkelte i bransjen beskriver situasjonen som så kompleks og umulig at ingen kan håndtere det selv. Dette bidrar til å skape frykt – og frykt selger.

Resultatet er at mange gir opp og tenker:

Dette klarer vi ikke selv.

Ydmykhet er en viktig egenskap i sikkerhetsarbeid – men det må ikke føre til at man fraskriver seg ansvar for egen sikkerhet.

En SOC er ikke nødvendigvis en SOC

Kvaliteten varierer enormt.

Noen SOC-miljøer gjør en svært god jobb.
Andre burde aldri kalt seg en SOC.

Jeg har selv jobbet med kunder som hadde SOC – uten at SOC-en reagerte på flere faktiske hendelser.

Nylig leste jeg også en norsk historie der en organisasjon hadde leid inn spesialister for å simulere angripere inne i nettverket. SOC’en oppdaget det ikke.

Eksempler fra virkeligheten

Telia saken

https://www.digi.no/artikler/telia-kan-ha-vaert-hacket-i-18-maneder/568834

Hadde/har Telia SOC? Det sier saken ingenting om, men det ville overrasket meg om de ikke hadde/har det.

Det ville ikke vært første gang en SOC ikke reagerer.

SolarWinds, “For months, hackers had access”

https://www.huntandhackett.com/blog/the-solarwinds-attack-a-contrarian-view-and-lessons-learned


I SolarWinds-angrepet hadde angripere tilgang i flere måneder.

Hadde Solarwinds SOC?

Det samme som i Telia saken, det ville overrasket med om de ikke hadde det.

SOC krav

Å kjøpe en SOC er en strategisk viktig handling.

Derfor bør man stille tydelige krav – og sørge for at tjenesten også inneholder proaktive elementer, ikke bare reaktive.

Et forslag til krav ved anskaffelse finnes her:

https://gorantomte.no/a-velge-en-soc-sikkerhetspartner-er-en-strategisk-og-viktig-handling-velg-riktig

Oppsummering

Denne posten har to hovedpoenger.

1 – Kunder må ta bedre vare på egen “sikkerhetshelse”

Før man kjøper en SOC bør man sørge for grunnleggende forebyggende tiltak.

  • De beste hendelsene er de som ikke skjer
  • Alle suksessfulle hendelser kunne vært unngått
  • De suksessfulle hendelsene skjer i tillatt trafikk, tillatt av mennesker

2 – SOC-leverandører må kvalitetssikre arbeidet sitt

  • SOC’er må gå i seg selv og kvalitetssikre sine metoder, for det er ikke bra nok at de ikke reagerer når noe faktisk skjer. Det er flere lag i Mitre…

Altfor ofte har man sett suksessfulle hendelser hos foretak som benytter SOC.

Det er viktig å være klar over at en SOC ikke er noen silver bullet.

Bygg forebyggende sikkerhet som tar høyde for dagens trusselbilde innen:

  • Løsepengeangrep
    • Inngående kommunikasjon
      • Phishing. Begrens med kjent IP, kjent enhet, FIDO2, etc
      • Login. MFA. FIDO2.
      • Misbruk av sårbarheter. Redusér angrepsflaten. Least Privilege
    • Intern kommunikasjon
      • Segmentering
      • Least Privilege
      • Herding av servere
      • MFA alle steder
    • Utgående kommunikasjon
    • Kryptering
      • Sikre backup som overlever kryptering
      • Revidér evnen til gjenopprettelse
  • Svindel
    • Vær paranoid når noen vil endre kontonummer. Minst 2 som godkjenner endringer
    • Sikre at endepunkter alltid er sikret med flere lag sikkerhet med DNS og URL sikkerhet. Always-On VPN er et viktig tiltak.
    • Anta at det klikkes. Ta høyde for det med tiltak.
    • FIDO2, phishingresistent autentisering
  • Sabotasje
    • Mye det samme som for løsepengeangrep. Tro det eller ei….
  • Spionasje
    • Mye det samme som for løsepengeangrep. Tro det eller ei….

, , , , , , , ,

Posted by:

Gøran Tømte

Leave a Reply

Discover more from Zero Trust Soldier

Subscribe now to keep reading and get access to the full archive.

Continue reading