Få brukerne ut og skap en sikrere hverdag

Tematikk:

Vi har to klient løsninger

I alle år har vi hatt brukere (PC’er) på innsiden. De fleste har det fortsatt. I alle år har vi hatt fokus på endepunkt-sikkerheten fordi brukere kan bli lurt og kriminelle kan komme seg inn på PC’en. I mange år nå har vi hatt en hjemmekontor løsning. Tidligere var det litt forskjell på tilganger basert på hvor man fysisk satt, på kontoret eller hjemme. I dag får de fleste gjort like mye uansett hvor de måtte sitte.

Hvorfor har vi det fortsatt slik? Og hvorfor må vi endre det? Vi har to løsninger for klienter, en for kontoret og en for hjemmekontor. To løsninger, som typisk ikke er like med tanke på konfigurasjon, policy og sikkerhet. En ting er at du kan gjøre jobben din likt uansett hvor du sitter, men om det ikke er du som sitter på PC’en, hva er mulig å gjøre i de to situasjonene? Mest sannsynlig store forskjeller på muligheter. En kompromittert PC er kompromittert uansett hvor den måtte befinne seg.

Kontoret er sikrere enn Starbucks. Hvorfor? Risikoen er veldig forskjellig.

Tenk på det. Smak på det. Vi har mer sikkerhet på kontoret enn på Starbucks, flyplassen, hotellet, og på reise, og allikevel får vi gjort jobben vår alle steder. Tenk på det. Snak på det. Dette MÅ det gjøres noe med.

Anta at klientene er kompromittert

Det er en sunn holdning sikkerhetsmessig å anta at klientene er kompromittert. Da blir alt enklere og paranoiaen senkes. Å ikke vite er ille. Å være usikker er kjedelig. Å anta det verste kan på mange måter være en lettelse. Da vil man i dette tilfellet tenke helt annerledes.

✅ Anta at brukeren blir lurt

✅ Anta at brukernavn og passord kommer på avveie

✅ Anta at uønskede har kommet seg inn på PC’en

Med disse tingene i tankesettet på administratorer og sikkerhetsansvarlige kan man finne frem tegnesakene for et nytt design. Man må få klientene ut.

Lag én løsning. Klientløsning

Fjern kontorløsningen. De kompromitterte klientene skal ikke være på innsiden. De må ut. De må behandles som usikre, og de må sendes ut på et usikkert nettverk, internett. De er på internett når de er hjemme, på reise, på ferie, på hytta. Hvorfor behandle dem annerledes når de fysisk er på kontoret? Dette vil resultere i et enklere oppsett, enklere drift, og bedre sikkerhet.

Ytelse

Mange tenker og sier at, «jammen dette vil kreve så og så mye ytelse og kapasitet». Vel. Ja. Men vi snakker om sikkerhet. Hva er alternativet? Dette kan ikke trumfe sikkerheten. Det er forskjellige løsninger, men det viktigste er å fjerne tanken om et nettverk, som er på «innsiden», der man putter klienter. Det «nettverket» må miste alle rettigheter, med unntak av internett. Klientene må være på internett hele tiden, også når de er fysisk på kontoret. Ytelse er en parameter som må tilfredsstilles. Dette har vært en kjent “utfordring” for denne løsningen i mer enn 15 år, og løsningene er mange.

Always on

Når man nå har lagt ned det «interne» nettverket er spørsmålet hvordan best løse denne situasjonen? Hvordan skal det jobbes? Hvordan skal man gjøre dette mest brukervennlig? Hvordan skal man gjøre dette mest mulig sikkert?

VPN har eksistert for fjerntilgang i mange år. Dette har vært/er en løsning brukere kan slå på og av etter behov.

❗️ En uting innen VPN er split tunnel. Det vil si at bare forretningstrafikk sendes igjennom VPN for fjerntilgang, mens alt annet går rett på internett. Har man en bevissthet på antagelsen om kompromittert klient smaker ikke denne løsningen godt. Derfor MÅ split tunnel jobbes med for i all hovedsak å fjernes. Alt må inn i VPN. Av sikkerhetsmessige årsaker. For vi MÅ ha med trusselbildet i våre vurderinger og tiltak.

❗️Brukernavn og passord (Sommer2017) har vært standarden, og er det fortsatt for mange. Vi må igjen ha med oss trusselbildet og forstå at dette ikke er tilstrekkelig, slik at MFA nå er en selvfølge. Husk også at løsningen må være brukervennlig.

Always-On VPN. SASE. SDP.

Kjært barn mange navn. Behandle klientene likt, uansett fysisk lokasjon. Jeg har selv vært bruker av slik løsning i mange år, og man merker det rett og slett ikke. Har jobbet med flere kunder som har dette på plass med stor suksess.

Hvorfor?

En løsning. All trafikk får enda mer sikkerhet. Man har endepunktsikkerhet med et sett funksjoner og sikkerhet. Sender man i tillegg alt igjennom en Next Generation Firewall, hele tiden, får man enda flere lag med sikkerhet. Antar man at klienten er kompromittert, vil man ha enda større mulighet til å oppdage dette, men også stoppe skadelig aktivitet, fordi man har enda flere lag med sikkerhet.

Least Privilege

Når klientene er kastet ut i den formening at de er kompromittert, må de fortsatt kunne jobbe. Tilgangskontroll. Ta kontroll på tilgangskontrollen. Hvilke brukere skal kunne kjøre hvilken applikasjon mot hvilken destinasjon. Verifisering av brukere er viktig her. MFA er viktig for verifiseringen. Ha med disse parameterne når tilgangskontroll skal gjøres med dette i minnet “suksessfulle hendelser skjer i tillatt trafikk”:

The six serving men:

✅ Why. Hvorfor skal trengs tilgangen?

✅ How. Hvordan skal tilgangen gjøres?

✅ What. Hva skal det gis tilgang til?

✅ When. Når trengs tilgangen? Just In Time

✅ Where. Hvor trengs tilgangen fra?

✅ Who. Hvem trenger tilgangen?

Brukervennlighet og sikkerhet

Always-On vil bli mer brukervennlig og mye sikrere. Uansett hvor eller når, er PC’en alltid tilkoblet denne løsningen. Alle de nødvendige tilgangene er alltid der, og alle lagene med sikkerhet er alltid der. Mer synlighet. Mer kontroll. Mer sikkerhet.

Phishing sikkerhet

Anta at phishing epost kommer igjennom. Anta at brukere klikker. Da er ekstra lag med sikkerhet bra å ha, alltid. DNS sikkerhet kan bidra til å stoppe kommunikasjon når en uheldig bruker klikker. URL sikkerhet kan gjøre det samme. Disse funksjonene vil alltid være aktive uansett hvor man  befinner seg, automatisk. Det handler om å redusere sannsynlighet og konsekvens. Det handler om å redusere risiko.

Konklusjon

Dagens trusselbilde er det det er. Man leser stadig om suksessfulle hendelser for de kriminelle. Suksessen oppnås på forskjellige måter. Suksessen oppnås i tillatt trafikk. Vi må gjøre det vanskeligere for de kriminelle å gjøre suksess. Reduser muligheten deres til å misbruke klientene på sin vei til suksess.

✅ Anta kompromittering

✅ Tenk Least Privilege

Løsningen finner vi sammen. Den har vært der i mange år, og vært benyttet suksessfullt av mange.

Skap en enda sikrere hverdag.

Picture of Gøran Tømte

Gøran Tømte

Gøran har jobbet i bransjen siden 1996 og trives best med ukjente utfordringer. Er utdannet høgskole ingeniør innen telematikk, og kontinuerlig selvlært innen sikkerhet basert på gode kollegaer, bransjen og generell nysgjerrighet og interesse

KONTAKT

Andre artikler

Stay Connected

More Updates

Krav ved kjøp av NGFW

Det er mange gode brannmur produsenter og produkter, og flere er oppe til høyre i Gartners Magic Quadrant. Å velge brannmur er ikke enkelt. Men

Leverandørkontroller

Viktigheten av kontroller ved tjenesteutsetting/kjøp av tjenester “Alle” tjenesteutsetter/kjøper tjenester. Men hvordan verifiseres og risikovurderes dette? Som kunde har man alltid 100% ansvar for sikkerheten,

Få brukerne ut og skap en sikrere hverdag

Facebook
Twitter
LinkedIn

More to explorer

Krav ved kjøp av NGFW

Det er mange gode brannmur produsenter og produkter, og flere er oppe til høyre i Gartners Magic Quadrant. Å velge brannmur er