Når en kunde ringer og sier de får besøk av pentestere og paranoiaen for domenekontrolleren kommer, da stiller man opp på en søndag med lovnad om at det bare vil ta ❗️ 1!!!! time å segmentere ut domenekontrollerne fra de andre serverne (uten å endre IP). Dermed kan man kjøre tilgangskontroll i nettverket og brannmuren på en måte man ellers ikke kan.
Lag 2 firewalling
Alle branmurer er ikke like, og det er ikke alle som klarer denne oppgaven. Men med Palo Alto Networks er dette særs enkelt. Herlig.
Historiske servernettverk, DMZ, OT nettverk og andre kritiske nettverk der det er komplisert å endre IP adresser grunnet avhengigheter har store verdier å hente på dette meget enkle tiltaket.
Man starter med planlegging, får oversikt over systemer, strukturerer hvordan og hvor mye man ønsker å segmentere. Dette er whiteboard og excel ark jobbing.
Når dette arbeidet er gjort tar det minutter å konfigurere brannmur og switch, uansett om det er 10 eller 200 servere/enheter. Deretter kan man flytte servere/tjenester/verdiere akkurat som man vil, når man vil og hvor fort man vil, uten nedetid. Helt fantastisk!
Policy
➡️ Vi innfører først og fremst streng kontroll på RDP og vingeklipper pentesternes muligheter for RDP bevegelse i servernettet. Ingenting er 100% sikkerhet, men alle lag hjelper.
Least Privilege
Med segmenteringen på plass med servere og systemer plassert i hver sin isolerte sone vil trafikk nå traversere brannmuren og den vil se alt. I starten er policy allow, tilsvarende det den var når alt var på samme nettverk. Etter en periode har man data som viser hva slags kommunikasjon som skjer, og så har man grunnlaget for å lage endelige policyer i tråd med Least Privilege, og da er man i mål. Nydelig.
Skulle det vært gjort tidligere?
💯 Jada, de skulle vel gjort det før, men akkurat denne situasjonen er nærmest helt normal. Segmenteringen er svak nærmest alle steder, spesielt innen kritisk infrastruktur. Men nå kom det en situasjon som presset på ubehaget, og da fikser vi det raskt. Herlig. Og slikt kan man hjelpe mange med. Enkelt. Billig. Ingen nye komponenter. Man bruker det man har. Brannmur. Switcher. VMware. Og annet.
Palo Alto Networks og Gøran to the rescue
🍾 Det jeg digger med Palo Alto Networks brannmurene er at de kan gjøre flere ting andre ikke kan. Lag 2 firewalling (segmentering uten behov for å endre IP adresser) er noe som en av de største konkurrentene ikke kan gjøre, så det vi fikser på 1 time med eksisterende teknologi, er for andre en ubehagelig situasjon fordi de ikke klarer å matche uten å implementere ny teknololgi, som både koster mer penger, gjør løsningen mer komplisert, tar mye mer tid i planlegging, innkjøp, installasjon, konfigurasjon, testing, osv osv…..
Teknologi vs teknologi
✅ Teknologi er IKKE teknologi. Om det er komplisert, tidkrevende og dyrt å få god sikkerhet, er det da god teknologi. Det er IKKE nok at det fungerer og er billig…..
#LeastPrivilege!!!!
#AssumeBreach
#PaloAltoNetworks
#Segmentering
#Anbefalinger
#NSMs Grunnprinsipper for IKT-sikkerhet
Nasjonal sikkerhetsmyndighet
Ta kontakt davel
Har dere Palo Alto Networks brannmurer og føler på ubehag på manglende visibilitet, kontroll og sikkerhet? Ta kontakt davel så ser vi på hva dere har og mulighetene. Målet er å fikse dette uten behov for å kjøpe noe som helst, og i tillegg skal det ikke ta lang tid:
- Etablering av lag 2 firewalling, inkludert forberedelser. 1-3 timer
- Revisjon av logger, trafikk og deretter lage regelsett, etter 1-4 uker med trafikk. 1-8 timer, avhengig av størrelse.
Leave a Reply