Om Globeteam

Artikel 2: Pragmatisk tilgang til sikkerhed

Pragmatisk sikkerhed er første skridt på vej mod Zero Trust

Denne artikel er nr. 2 i artikelserien om Zero Trust. Artiklen er skrevet af to af Globeteams sikkerhedsrådgivere, Jesper Krogh og Jesper Hanno Hansen og tager fat på en pragmatisk tilgang til sikkerhed, som er forankret i virksomhedens mest kritiske sikkerhedsudfordringer. Pragmatisk sikkerhed bør være det indledende skridt, du som virksomhed tager i retning af Zero Trust for at bryde sikkerhedsopgaven ned i realistiske målsætninger.   

Du kan læse første artikel ”Skab en effektiv tilgang til sikkerhed med afsæt i Zero Trust” her og også følge med i artiklerne på Globeteams LinkedIn-side samt her på www.globeteam.com

Slår man op i den danske ordbog er ”Pragmatisme” et udtryk for, at man er indstillet på at samarbejde om praktiske løsninger, baseret på, hvad der er realistisk, snarere end på teori eller ideologiske principper.

Det er netop den tilgang, vi anvender, når vi rådgiver kunder om, hvad de skal arbejde med af sikkerhedsrelaterede løsninger. Det nytter ikke at starte med en ideologisk løsning baseret på Whitepapers, hvor alt skal revolutioneres på én gang.

I stedet er det væsentligt at vurdere, hvilke sikkerhedstrusler der er mest kritiske hos kunden lige nu og ud fra denne vurdering udarbejde et løsningsoplæg, der også tager højde for de nuværende teknologier, så sikkerhedsudfordringerne, hvis muligt, kan løses med de forhåndenværende midler og værktøjer.

Pragmatisk sikkerhed skaber et sikkert og stabilt fundament

Skal man sidestille IT-sikkerhed med noget, som vi alle kender, er det reglerne i førstehjælp:

  • Skab sikkerhed
  • Stands ulykken
  • Livreddende førstehjælp.
  • Forhindre nye ulykker

Med en ”moderat omskrivning” kan man benytte de samme principper:

Skab overblik

Gennemgå den nuværende platform (AD, AAD, Klienter, Netværk, Office365/Mail) samt de nuværende sikkerhedsværktøjer, der findes (Antimalware, Firewalls etc).

Her er det væsentligt at skabe et fælles risikobillede (Risk register) af platformen, hvor sandsynlighed og konsekvens for de enkelte sårbarheder vurderes. Dette kan være indenfor Compliance samt indenfor teknisk sikkerhed.

En ofte brugt angrebsvektor er ”phishing-e-mails”, hvor brugere franarres deres passwords. Disse passwords benyttes derefter af angriberen til at logge på systemerne*, og her har angriberne så tid til at benytte ”Lateral Movement” til at opnå administrative rettigheder over miljøet. Herfra er mulighederne begrænsede, men rettighederne kan typisk føre til kryptering af filer, inkludering i C2-netværk eller sletning af kritiske data, som kan få stor og alvorlig betydning for virksomheden, dens indtjening og renommé overfor omverdenen.

Stands ulykken

Sørg for, at der i alle designprocesser og implementeringer tænkes sikkerhed ind fra start. Definer gerne principper, som alle designs og implementeringer kan “læne” sig op ad.

Efter et trafikuheld afspærrer politiet uheldsstedet for fx at undgå, at flere biler kører sammen. Tilsvarende skal sikkerhed tænkes ind fra start i alle elementer i moderne IT-løsninger for at minimere angreb og undgå lappeløsninger og de mangler og skavanker, dette kan medføre.
Når sikkerhed tænkes med i alle elementer fra start, er det en del af virksomhedens fundament og dermed stærkt nok til at kunne bære din virksomhed og sørge for, at den står sikkert og stabilt. Det er derfor nødvendigt at skabe en platform, der kan holde til nutidens kendte krav og til fremtidens forventninger – ud fra et mål om at skabe en infrastruktur, der er agil nok til at kunne mitigere såvel nuværende samt de sikkerhedsudfordringer, der kommer løbende**.

Vores anbefaling er, at sikkerheden indledningsvist baseres på en række designprincipper, som giver logisk mening for alle IT-medarbejderne, og som hele tiden skal være ”ledestjerne” for de implementeringer, IT-medarbejderne laver. Elementer kan fx være:

  • Segregation of Duty (SoD): Fx skal den medarbejder, der står for backup i dagligdagen, ikke også have rettigheder til at kunne slette denne.
  • Least Privileged Access: Brugerne (og administratorer) skal kun have den umiddelbart nødvendige rettighed. Der er fx ingen grund til, at en administrator, der skal lave en ændring en gang om måneden, har kontinuerlige rettigheder til miljøet – og der er slet ingen grund til, at denne administrator fx benytter den samme konto til daglige mails, browsing på internettet o.m.a.
  • Secure by Default: Når nye systemer implementeres, skal dette altid gøres med fokus på, at systemet er sikkert. Vi kigger typisk på Essential 8 (mere om denne nedenfor) og sørger fx altid for, at nye servere er opsat jf. de gældende retningslinier fra CIS eller Microsoft Security Compliance Toolkit (download toolkit 1.0 her). Også selvom dette kan gøre implementeringen lidt langsommere. For det er meget lettere at få sikkerheden på plads fra starten af end efterfølgende.

Det er vigtigt at give IT-medarbejderne ret (og pligt) til at arbejde ud fra disse designprincipper og dermed sikre, at der ikke opstår flere ulykker.

Giv livreddende førstehjælp

Baseret på overblikket og vurderingen af nuværende værktøjer og implementeringer tages fat der, hvor muligheden for kompromittering og datatab er størst. Det kan være multi-faktor autentikation, AD Tiering, opdatering af applikationer eller andet.

De indledende analyser vil typiske vise et behov for flere forskellige ting, der skal fokuseres på for at nedbringe risikoen for kompromittering. Typiske elementer kan være:

  • Enterprise Access Model / Account Tiering og sikring af kritiske elementer mod Lateral Movement
  • Fjernelse af Lokale administratorer på klientplatforme
  • Hærdning af servere og klienter
  • Opdatering af alle applikationer (og ikke kun Operativsystemet)
  • Segmentering af netværket – og nedbringelse af ”Blast Radius”

Disse elementer er normalt nødvendige for at sikre platformen bedst muligt – og kunne være undgået, hvis man i forbindelse med den oprindelige implementering havde lænet sig op ad designprincipper mm.

Forhindre nye ulykker

Her arbejdes med fokus på, hvorledes platformen bedst kan sikres. Dette kan fx være ud fra Essential 8, anbefalinger fra Microsoft Defender for Endpoint eller andre værktøjer.

Fællesnævneren for mange af de problemer, der leder til angreb, er, at de fleste sikkerhedsangreb kunne være forhindret, hvis fundamentet havde været på plads før angrebet. Mange tiltag er ikke nødvendigvis komplicerede. Tag f.eks. alle arbejdspladserne; hvem skal kunne etablere forbindelse til en maskine udover helpdesk? Eller hvordan med serverne. Hvor mange af dem skal kunne komme på internettet?

Der ligger med andre ord en masse lavthængende frugter, der kan hjælpe til med at begrænse spredningen ved et angreb. Spørgsmålet i dag er ikke, om man bliver angrebet eller ramt, men mere hvor hårdt og hvor bredt, samt hvor lang tid det tager at komme på fode igen.

Som ved alt er det en proces, der skal startes i et tempo, man kan holde til. Bliver man ved længe nok, kommer gevinsten. Men kun hvis man er vedholden.

 

Hvordan tager man hul på opgaven med at optimere sikkerheden, så man er bedre stillet, når ulykken opstår?

Og hvad kan være en god og pragmatisk tilgang?
Udover de allerede nævnte designprincipper som giver vejledning ved nye implementeringer og kan fungere som ”gates” ved implementering af ny teknik, så lader vi os i Globeteam også inspirere af Austrailan Cyber Security Centre (ACSC), netop fordi deres ”Essential 8” anbefalinger tager afsæt i pragmatikken.

ACSC har gennem mange år lavet anbefalinger til, hvilke sikkerhedstiltag der virker i praksis, og som kan implementeres og benyttes i det tempi, der passer ens organisation. Fælles for alle tiltag er, at de er velafprøvet og identificeret af en havarigennemgang efter angreb fra den virkelige verden. Anbefalingerne er inddelt i 8 hovedområder (Essential 8), der revurderes og prioriteres løbende, således at nummer 1 på listen er vigtigst.

  1. Application Whitelisting
    Kontrol af afvikling af programmer er essentielt for at sikre, at det kun er programmer, der er forhåndsgodkendt, der kan afvikles af brugere og administratorer. Dette sikrer, at en ukendt fil ikke kan afvikles ved en fejl. En plan for, hvilke maskiner der beskyttes, samt hvor sikre de skal være, bør udarbejdes og revurderes løbende.
  2. Patch Applications
    Opdatering af 3. partsprogrammer har aldrig været mere vigtig, og de fleste kæmper en kamp med at komme i mål med det. Det lyder simpelt, men er det bestemt ikke. Hvem kan med ro i stemmen sige, at de har overblikket over at opdatere f.eks. Java til nyeste version, uden at noget stopper med at fungere?
  3. Microsoft Office macro settings
    Der er masser af angreb, der starter med et office dokument, der indeholder skadelig kode. Derfor er vigtigheden af at konfigurere sikkerheden af makroer i office dokumenter noget, der bør ligge højt på listen. Fx ved ikke at tillade dokumenter, der kommer fra internettet at blive afviklet.
  4. User Application hardening
    Der er rigtigt mange, der interesserer sig for at hærde Windows med sikkerhedsbaselines. Men hvem husker at gøre det samme, for de programmer slutbrugerne afvikler? F.eks. har Adobe lavet guidelines til at sikre Adobe Reader. Hvis der skulle komme en PDF-fil med skadelig kode, har den kun få muligheder for at sprede sig.
  5. Restrict Administrative Privileges
    Alt for mange medarbejdere har for mange rettigheder for mange steder. Har man et Active Directory bør det være et krav at have en tiering model, der kort fortalt går ud på at kontrollere, hvor priviligerede konti kan benyttes, og dermed fjerne muligheden for at angribere kan finde rester efter login fra priviligerede konti på fx arbejdspladser. Et eksempel er, at en IT-medarbejder, der er medlem af gruppen Domain Admins, og som logger på Jyttes standard PC for at hjælpe med at installere printer drivere, kan efterlade materiale på Jyttes PC, som en angriber kan benytte til at knække IT- medarbejderens konto. Dette betyder kompromittering af hele infrastrukturen (altså: Lateral Movement).
  6. Patch Operating systems
    Patchning af Windows operativsystem bør være standardfunktionalitet, der bare spiller. Men i den virkelige verden viser det sig gang på gang at være en svær øvelse at praktisere. Microsoft leverer ikke opdateringer til alle de ældre Windows versioner, og forretningen har travlt med at implementere nye systemer, og så længe de gamle fungerer, er der ingen, der rækker armen i vejret for at spille kortet: Er der styr på opdateringer af Windows 2008 R2?
  7. Multi factor authentification
    Mennesker er per definition dårlige til at lave gode passwords, og det viser sig gang på gang at være en nem indgang til en virksomheds kronjuveler. Løsningen på dette problem er at implementere multifaktor godkendelse ved login. De fleste glemmer dog, at det også skal gøres på privilegeret konti, samt på alle konti der er personhenførbare, også on-premise.
  8. Backup
    Det kan diskuteres, om backup skal ligge nederst eller øverst på listen. Virkeligheden er, at de fleste husker at lave backup, men ikke alle sikrer, om det er af de rigtige data og kun få tester løbende, at de kan gendanne backup i større omfang, hvor fx hele systemet gendannes på separate netværk. En klassiker er, at informationer om gendannelse af systemer samt passwords kun ligger på, ja du gættede det, de centrale systemer, der måske skal gendannes med en, hønen og ægget situation til følge.

Fælles for disse 8 grundlæggende anbefalinger er, at de bør være adresseret i et eller andet omfang i alle elementer af infrastrukturen, hvor en acceptabel målsætning defineres og løbende revurderes for at sikre agile værktøjer for mitigering af fremtidens sårbarheder.

 

Fakta og noter:

* Rapport fra Sophos Security viser, at angribere typisk er 11 dage i netværket før de opdages. The Active Adversary Playbook 2021 – Sophos News

** PrintNightmare er et glimrende eksempel, hvor situationen er, at nogen finder et sikkerhedshul i Windows printerfunktion. Microsoft informeres om problemet. Praktisk misbrug af sårbarheden ligges ud på internettet. Alle kan begynde at udnytte sårbarheden og Microsoft har ikke en patch klar, der effektivt løser problemet, men anbefaler at mitigerer problemet ved at stoppe for al printer funktionaliteten generelt.

Her ville det være rart at have en række håndtag at skrue på uden at skulle starte forfra eller implementerer en masse ny teknologi i andres tempi.

Det kan du lade dig inspirere af i artikelserien og webinarrækken om Zero Trust

Der er i dag mange gode muligheder for at starte på en Zero Trust-tilgang – det vil vi i vores kommende artikler og webinarer beskrive nærmere og her dele ud af vores erfaringer med at designe og implementere Zero Trust.

  • Artikel og webinar om: Identity and Access Management (IAM)
  • Artikler og webinar om EndPoint Management og Security, Mobile Security
  • Artikler og webinar om Hybrid Cloud og sikkerhed, Information Protection, Cloud App Security og sikkerhed i Microsoft 365

Vi glæder os til give dig vores perspektiv og ser frem til en god dialog på LinkedIn og udenfor.

Uanset om I er enige eller uenige i vores tilgang eller overvejelser, hører vi gerne fra jer.

 

Se optagelse fra webinar om Zero Trust og pragmatisk sikkerhed
Med afsæt i Zero Trust-arkitekturen får du et indblik i, hvordan vi anlægger en pragmatisk tilgang til cyber security. Fra AD’et i Windows serveren til AD’et i Azure. Hvordan kan vi være pragmatiske i en hybrid cloud, og er der værktøjer eller services, som kan understøtte sikkerheden?

Download WEBINAR

Peder Lind Sørensen, Globeteam

For mere information, kontakt:

Stay safe, start smart, temarække

Globeteam stiller skarpt på cybersikkerhed under temaet “Stay safe, start smart”.

Her kan du gennem fagligt inspirerende webinarer, dybdegående artikler, erfaringsudveksling og indblik i virksomheders daglige arbejde få hjælp og inspiration til at håndtere den komplekse sikkerhedsopgave.

Læs mere her om vores nye temarække

 

Få vores nyhedsbrev

Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler

Tilmeld

Optimer din forretning og dine it-investeringer

Er du interesseret i at vide mere om Globeteams ydelser, og hvordan vi kan hjælpe netop din forretning?