#LeastPrivilege to the rescue! Er det mindre, ser man bedre. Er det mye, blir det som å lete etter nåla i høystakken.
For litt siden ble det oppdaget mistenkelig aktivitet i loggene hos en kunde:
Her er bilde av loggene hos enda en kunde i dag:
Dette er logger i en optimalisert løsning med Least Privilege, og man ser at trafikken er sperret. Dette er med andre ord ikke threat loggen som baserer seg på tillatt trafikk. Det er ikke slike logger som gjør at man finner mistenkelig trafikk.
Her er loggen med funnet
Noe så lite spennende…. Men dette blir resultatet av optimalisering! En eneste linje. Et eneste innslag. Da blir det enkelt.
Unntaket i filteret er scanneren til Helse CERT. Så… Med det filteret ser man en eneste logg linje, og da er det enkelt å finne mistenkelig aktivitet, og det var slik jeg enkelt fant denne russiske IP adressen ved å gjøre en whois for å finne eierskapet, og mnemonic sin passive DNS tjeneste som avdekket .ru.
Subnettet er registrert på Norge i 2024. Snakk om strategisk arbeid.
Passiv DNS tjenesten til mnemonic brukes kontinuerlig i Least Privilege arbeidet.
Det er jo hyggelig at fagfolk gir tommel opp 👍 for et slikt funn, og her skal jeg forklare litt om hvordan dere “enkelt” kan gjøre det samme.
Suksessfulle hendelser skjer i tillatt trafikk!
#LeastPrivilege er naturligvis en sterk anbefaling for proaktiv sikkerhet. Man må bestrebe å lage tilganger så tighte som praktisk mulig, både med tanke på tid brukt, og at man ikke ødelegger operasjonell drift. Men det er mulig, og dette gjennomføres så langt det lar seg gjøre for alle kunder, og her ligger nøkkelen.
Least Privilege gir bedre synlighet
Nedenfor ser man artikler som beskriver det samme. Gang på gang på gang ser man resultatet umiddelbart. Anbefaler å kikke innom dem.
En veldig god indikator er å undersøke threat loggen filtrert på inngående trafikk, fra internett, og vulnerability. Som beskrevet i artiklene under kan dette resultere i 100 logger i minuttet. Least Privilege regelsett endrer dette til 10 i døgnet, og da kommer synligheten mye bedre frem. Da er det mye enklere å finne russiske IP adresser “skjult” som norske.
Mindre logger gir bedre synlighet. Mindre logger synliggjøre avvik mye bedre.
Det første man sjekker på en gammel motor er olja
Om man skal se på, kjøpe, eller starte en motor som ikke har gått på lenge vil sjekk av olja være noe av det første man gjør. Er det olje der? Er det nok olje? Er olja gammel? Lukte på olja, for det kan gi svar på mye.
Gjør oljesjekk på brannmuren
Ved optimalisering av brannmur gjør jeg umiddelbart “oljesjekk”, som betyr å sjekke threat loggen etter trafikk fra internett. Det jeg ser i de loggene er et resultat av trafikk som er tillatt, kanskje fra hele verden. Suksessfulle hendelser skjer i tillatt trafikk. Begrens hva som tillates, kanskje ned til kun fra Norge 🇳🇴. 100 logger i minuttet blir til noen veldig få i døgnet. Det er så ekstremt enkelt å adressere, og det har meget stor effekt.
Least Privilege mot sårbarheter
Sårbarhetene kommer på løpende bånd. Det er en katt og mus kamp.
Mandiant fremhever at misbruk av sårbarheter er den største initielle angrepsvektor i suksessfulle hendelser, laangt over phishing:
Redusér angrepsflaten og redusér muligheten til aktørene!
Det er dette jeg gjør hver eneste uke
Mitt virke handler om å hjelpe på med optimalisering av eksisterende teknologi uten behov for å kjøpe noe som helst nytt. Least Privilege er ledestjernen i tråd med god Zero Trust, fordi det fungerer. Det handler om tiltak. Ingen behov for nye produkter.
Så…. Har dere en brannmur som aldri er revidert, vel, da vet dere hvor dere kan henvende dere, for det er ikke mange som holder på med slik aktivitet som hovedvirke.
Relaterte artikler
#LeastPrivilege
Leave a Reply