Først måned er snart over. Her er arbeidsoppgavene jeg ser med kundene mine

Tematikk:

Etter 1 måneds jobbing som selvstendig har jeg vært i mye dialog med mange forskjellige kunder. Har sendt oppsummering til flere etter møter med oversikt over hva jeg foreslår vi jobber med videre. Rammeverk er vel og bra, men jeg velger å fokusere på mer konkrete tekniske ting jeg ser vil gjøre en vesentlig forskjell.

Presentasjoner til ledelse og IT/IKT avdelinger

Har allerede holdt flere, og har oversendt forslag til presentasjoner for ledelse, IT/IKT avdelinger og ansatte. Disse gjøres til fastpris. Dette er 3 forskjellige presentasjoner med forskjellig innhold, naturligvis. Viktig at alle er med på denne jobben.

Presentasjoner til ledelse med disse titlene:

“Ingen ønsker sikkerhet”

“Det skjer ikke oss, så hvorfor bry seg?”

“Dette fikser IT-avdelingen, så hvorfor spørre oss?”

Presentasjoner til IT/IKT avdelinger:

“Hvorfor gikk det som det gikk?”

Deltagelse som foredragsholder

Har avtalt deltagelse på flere eventer, også disse til fastpris. Her er det forskjellige eventer, med forskjellig tema og forskjellig publikum. Skreddersydde presentasjoner hver gang.

Her er min oppsummering jeg pleier å sende kunder etter møter for å vise hva jeg kan hjelpe med:

Sikkerhetsrådgiver

Etter mange år i mange roller, møte med mange kunder og mange års entusiastisk interesse for sikkerhet har kompetansen blitt ganske bred og allsidig. Den genuine innebyggede interessen i å finne ut hvordan ting fungerer bidrar til kunnskap om viktigheten av forskjellige elementer. Mange anbefalinger der ute havner langt ned på min prioritering da de ikke utgjør stor nok effekt.

CISO/Teknisk CISO

Rolle med risikovurdering og kommunikasjon

Kommunikasjon med IT avdelingen

Dette bør gjøres regelmessig. Mennesker. Mindset. Endre Status Quo.

Produktkostnad: Ingen

Kommunikasjon med ledelse regelmessig

Overlevere statusrapporter, regelmessig. Hva skjer? Hva har skjedd? Prosjektplan. Opp mot rammeverk og anbefalinger. Progresjon. Kostnad. Midler. Holde ledelsen oppdatert hele tiden. Dette er veldig viktig for det kontinuerlige sikkerhetsarbeidet

Produktkostnad: Ingen

Kommunikasjon med de ansatte

En ting er ledelse. En ting er IT avdelingen. Men de ansatte må være en del av sikkerhetsteamet. Viktig å kommunisere hvorfor sikkerhet er viktig, og hvorfor tiltak er gjort. Man må spille på lag med brukerne. Sikkerhet MÅ være brukervennlig. Lager man tekniske tiltak som ikke er brukervennlige påstår jeg man lager dårlig sikkerhet

Produktkostnad: Ingen

Avvikssystem/forbedringssystem

Dette var det som ga meg mest i forbindelse med ISO 27001 arbeidet som CISO. Det å kommunisere til alle ansatte at dette var på plass, i den hensikt at alle enkelt skulle ha muligheten til melde inn ting som hadde forbedringspotensial, ikke var helt bra, hadde forbedringspotensiale, eller inneholdt uønsket risiko. Vi lagde et veldig enkelt registreringssystem som var enkelt å nå ved å navngi det https://avvik.interndomene.xx. Vi kommuniserte dette i hvert eneste møte med de ansatte, og poengterte at det heter avvik fordi det er bransjestandarden, men at vi kunne kalle det et forbedringssystem som er positivt ladet. En av de viktigste tingene med avvikssystemet var at det ble eid og håndtert. Jeg som CISO sammen med teknisk sjef gikk igjennom avvikene hver eneste uke (1 time). Fungerte meget bra. Gjorde stor forskjell

Produktkostnad: Ingen

Rammeverk

NSM Grunnprinsipper for IKT-sikkerhet. NSM har sine anbefalinger, prioritet 1-3. Om man velger å ikke fullt etterleve anbefalingene skriver man bare en begrunnelse som en del av risikovurderingen. Disse rammeverkene er fine å jobbe etter, og fine å vise ledelsen mtp progresjon, men også mtp søknad om midler.

Produktkostnad: Ingen

Palo Alto Networks Best Practice Assessment Tool

Brannmuren gjør bare så bra jobb som vi mennesker får den til å gjøre. Viktig med regelmessig BPAT gjennomgang for stegvis forbedring.

Produktkostnad: Ingen

Revisjon av brannmur

Brannmuren er sentral i de aller fleste nettverk og systemer. Den har en meget viktig sikkerhetsrolle. Min erfaring er at denne bærer preg av lang og tro tjeneste, med mye historikk. Ting er bygget med et tradisjonelt tankesett. Assume Breach og Least Privilege er sentralt i hvordan bygge et moderne regelsett. Det er derfor fornuftig å revidere brannmur oppsettet med alt fra beste praksis fra produsent, til generell sikkerhetsrevisjon.

Brannmur i skyen må også revideres. Grad av segmentering, Least Privilege, VG testen, og mer

Produktkostnad. Her er det forskjell på produsenter. Noen har verktøy for dette uten kostnad, mens andre har bygget kommersielle produkter for å adressere dette

Benyttes porter eller applikasjoner i brannmuren?

Dagens internett og systemer har utviklet seg mye, og den tradisjonelle port baserte brannmuren kommer til kort med tilgangskontroll. Det er derfor viktig å tilpasse seg behovet for god tilgangskontroll ved å gjøre dette på applikasjon, bruker og URL nivå. Majoriteten har fornyet teknologi til NGFW, men konfigurasjon og tankesett henger ofte igjen i det tradisjonelle. Dette gjør sikkerhetsløsningen mindre verdifull grunnet utviklingen.

Produktkostnad: Ingen, da “alle” NGFW i dag har denne funksjonaliteten

URL sikkerhet

Dette virker nok naturlig for de fleste. Dette er en naturlig del av en NGFW, men må settes opp etter gode anbefalinger. Har selv opplevd hendelser som kunne vært stoppet av URL filtering, men grunnet manglende optimalisering gikk mistenkelige URL’er, som skulle vært stoppet, igjennom. Årsaken til dette var administratorene.

Produktkostnad: Ingen, dersom funksjonaliteten er aktiv på NGFW

DNS sikkerhet

DNS sikkerhet har ikke eksistert veldig lenge i nettverket, men er i dag en del av en NGFW. Også her er det viktig med bra oppsett i tråd med anbefalinger fra produsenten, slik at mistenkelige DNS forespørsler blir stoppet. Også her kunne hendelser vært avverget ved riktig oppsett har jeg personlig erfart.

Produktkostnad: Ingen, dersom funksjonaliteten er aktiv på NGFW

Segmentering

Dette er et viktig sikkerhetstiltak som krever prosjektarbeid. Start med risiko. Prioriter de største risikoene. Ikke nødvendig å segmentere alt. Alt man segmenterer bidrar til redusert risiko. Gjelder også i skyen (Azure)

Det er mye snakk om NSX. NSX er et produkt, som koster en del penger. Man er avhengig av en partner med kompetanse som skal bistå med dette, samt at interne ressurser må læres opp på dette. Mange kan levere NSX, men kompetanse er en utfordring. I tillegg må det investeres kontinuerlig med tid i dette. Kjør virkelig mikrosegmentering når dette er relevant, men vær klar over ressursbehovet.

Hvor mange servere? På spørsmål om hvor dynamisk løsningen var, var svaret at løsningen var ganske statisk, og at med tiden ville mer flyttes til skyen. Diskusjonen da ble på å bruke VLAN segmentering, og starte fra toppen av verdikjeden fra et risikoståsted. Det er bedre med en god plan B enn en dårlig plan A. Sikre de viktigste verdiene. Et prosjekt som ikke krever ny hardware, kun planlegging og innføring

Det er forskjell på skyleverandører. Noen har mikrosegmentering by default, som er super bra. Da har man en head start. Vær klar over dette ved valgt av skyplattform

Produktkostnad: Ingen

VG testen

Dette er policy på eksisterende utstyr. Servere i eget datasenter, eller i skyen, har tilgang til internett. Begrens hva de har tilgang til, til kun det som er nødvendig for at løsningen skal fungere.

Her vil et gratis verktøy fra Palo Alto Networks kalt Expedition Tool være meget behjelpelig tidsmessig for de med Palo Alto Networks brannmurer.

Produktkostnad: Ingen

RDP testen

En videreføring av VG testen er RDP testen. Sjekk hvor det er mulig å kjøre RDP, fra klienter til servere, fra servere til servere. Still spørsmål ved behov for tilgang. En populær angreps-vektor det er viktig å adressere. Sikre at RDP kun er mulig å kjøre der det er behov. Sikre deretter MFA for tilgangskontroll.

Produktkostnad: Ingen, med unntak av eventuell kostnad for MFA for administratorer

MFA for administratorer

Det finnes ingen rasjonelle unnskyldninger fra tid eller kostnad for hvorfor dette ikke er på plass. MFA for administratorer for alle systemer, også internt. Kan starte med RDP og SSH. Koster minutter, og kanskje en tusenlapp i måneden.

Produktkostnad: Veldig lav

Least Privilege

Suksessfulle hendelser skjer i tillatt trafikk, og det er vi mennesker som bestemmer hva som skal tillates. En BPAT vil bidra til å synliggjøre avvik fra dette.

Produktkostnad: Ingen

Suksessfulle hendelser skjer i tillatt trafikk

Hvordan bygges regelsettet? Dette henger sammen med Assume Breach, bevissthet på administratorer, utviklere og sikkerhetsansvarlige.

Produktkostnad: Ingen

Cloud

Har dere startet arbeidet med sky? Azure eller lignende? Her kan mye gjøres. Tilganger. Compliance.

Produktkostnad: Ingen

Azure/GCP/AWS sikkerhet

Mange har Azure, AWS eller GCP allerede. Verdier er allerede i produksjon der. Da er det viktig å gjøre en sikkerhetsrevisjon av løsningen. Det finnes ferdige compliance moduler sammen med best practice.

Compliance. VG testen. Segmentering. Logging. Alarmering. SOC. IR

Produktkostnad: Ingen, i utgangspunktet

SaaS

Dette er stort. Dette er omfattende. Dette er viktig. Her må man jobbe risikobasert. Starte med sikker administrator tilgang. SSO og MFA for alle brukere. Bruke kjente rammeverk fra CSACloud Controls Matrix er en gratis objektiv og viktig sjekkliste. Produsentens sjekkliste er alltid viktig. Microsoft 365 sin compliance modul er gratis og relevant også for andre SaaS løsninger.

Hvor mange Super admin er det per SaaS? Er alle integrert i SSO? Er det MFA? Er PAM på plass?

Produktkostnad: Ingen, i utgangspunktet

SSO. Single Sign-On

Er dette på plass? Er det struktur på å knytte alle tjenester til denne løsningen? Interne. SaaS.

Er det MFA knyttet til disse brukerne?

Produktkostnad: Ingen, i utgangspunktet

Assume Breach

Det er viktig at alle innen produksjon forstår dette. Alle med operasjonelt ansvar, administratorer, utviklere, sikkerhetsansvarlige. Alle må jobbe som om at perimeter ikke er tett, og at uønskede er inne i systemene. Dette er en pedagogisk oppgave jeg har jobbet med i mange år, og som påvirker hvordan mennesker tenker og handler. Shift left heter det for utviklere, mens for andre påvirker det andre ting. Dette er en av de viktigste tingene innen sikkerhet i dagens trusselbilde, og henger naturligvis sammen med Zero Trust

Produktkostnad: Ingen

Assume Ransomware

Diskutere over bordet hva man gjør NÅR man får ransomware. En viktig tankeøvelse. For det å forhindre ransomware ligger for meg i en annen kategori her. Det å håndtere et angrep er en egen øvelse. Hva har man på plass? Hva trenger man? Hvem er ansvarlige? Hvem ringer man? Har man avtaler med eksterne på plass? Og mer. Dette er en viktig og god øvelse.

Produktkostnad: Ingen

Mennesker

Gjøre alle til ambassadører

Det menneskelige aspektet er super viktig. Viktig med regelmessig dialog med alle ansatte for å skape best mulig forståelse, slik at alle er på samme lag. Interne artikler. Interne møter, digital og fysiske.

Produktkostnad: Ingen

MFA internt

“Enkelt” teknisk.

Produktkostnad: Meget lav

Logging

Dette er noe de aller fleste kan forbedre seg på. “Alt” logger, men kanskje bare til seg selv. Å strategisk sentralisere dette, med sikkerhet, er sterkt anbefalt, og noe alle forstår viktigheten av. Dette blir et prosjekt. Spørsmålet er om dette bare skal bli en tradisjonell passiv logg/lagrings løsning for hendelses-håndtering etter en hendelse, eller om den skal gjøres moderne med ML og AI for analyse og deteksjon av unormaliteter. Dette blir en diskusjon sammen med kunden

Sikre at alt logges, hele tiden. Enten internt, eller at det sendes til en SOC

Man vet aldri hva som vil skje den dagen man blir angrepet. Man vet ikke hvor eller hvordan angrepet vil skje. Det er derfor viktig å ha en strategi om å logge alt, hele tiden. Så blir neste diskusjon for hvor lenge man skal ha logger. 1, 3, 6, 9, 12 måneder eller mer. Og så blir spørsmålet hvor mye intelligens man vil ha på loggene. Dette er nevnt over her i forbindelse med ML og AI analyse.

Produktkostnad: Lav, middels, til en del kostnad

Integrasjon med sakshåndteringssystem

Når en hendelse skjer, noe som skaper en alarm, er det viktig med oppmerksomhet på denne hendelsen. En anbefaling da er å integrere alarmsystemet med sakshåndteringssystemet for automatisk opprettelse av en sak. Dette vil bidra til oppmerksomhet, dokumentasjon og compliance. Dette vil også være viktig i tilfelle GDPR brudd.

Produktkostnad: Ingen

Alarmering

Denne er litt i gata til logging. Alarmer og logger sendes gjerne til samme samlingssted for historikk og analyse, men alarmer trenger ofte umiddelbar reaksjon. Spørsmålet da er hvilke alarmer skal sendes hvor. Skal de sendes internt, eller skal man alliere seg med eksterne? Dette blir et prosjekt med kunden

Produktkostnad: Lav til middels

SOC

Alarmer og logger inneholder mye verdifull informasjon. Noe eller noen må følge med på dem. Gjør man det internt, gjør man det med automatiserte verktøy, eller kjøper man SOC/MDR som en tjeneste?

Produktkostnad: Lav, middels, til en del kostnad. Må undersøkes i hvert enkelt tilfelle. Forskjellig grad av beredskapsbehov

IR. Incident Response

“Når” det brenner, er det greit å ha avtale med brannvesenet.

Produktkostnad: Lav, middels, til en del kostnad. Må undersøkes i hvert enkelt tilfelle. Forskjellig grad av beredskapsbehov

Always-On VPN. ZTNA. SDN

Klienter MÅ ut av “innsiden”, og behandles som untrust hele tiden, uavhengig av hvor de fysisk måtte befinne seg. Dette øker også sikkerheten betraktelig ved f.eks phishing og ransomware/kryptering forsøk. En “lavthengende” frukt man burde iverksette. Vil bli en forbedret brukeropplevelse. Vil gi et enklere oppsett. Vil øke sikkerheten og redusere kompleksiteten

Majoriteten av klientene er mobile, og skal uansett alltid behandles som kompromitterte. Å ha to løsninger for klienter, en for kontoret og en for hjemmekontor, betyr mer, mer konfigurasjon, mer regelsett, mer sårbarheter og mer kompleksitet. Etabler en klientløsning som forenkler, forbedrer og sikrer enda høyere. Dette bidrar også til å sikre all kommunikasjon mot verdiene med NGFW funksjonalitet. Dette er benyttet av mange i mange år meget suksessfullt, og skal ikke være noe å lure på.

Produktkostnad: Ingen for en god del kunder da dette er innebygget i flere NGFW’er

Backup. Informasjons-sikkerhet

Alle har backup. Backup gjøres av sensitive data. Sensitive data på server i produksjon beskyttes gjerne veldig godt, kanskje med segmentering, server hardening, patching, MFA og mer. Men hva med de sensitive dataene når de havner på backup serveren? Hva med Assume Breach? Hva når de kriminelle er inne i datasenteret, på en ikke-kritisk server? Hva når backup dataene ligger på en Windows basert backup løsning som er i samme nettet? Kanskje også i domenet. Er dataene kryptert på disken? Hva med management av backup løsningen? Er backup management patchet og sikkert? Er det MFA på backup løsningen? Hvordan er det med logging og alarmering fra denne løsningen? Er all data tilgjengelig som Windows fileshare fra en printserver? Er Windows serveren som kjører backup hardened med f.eks CIS Benchmarks? Det er mange spørsmål man må stille seg til backup løsningen som innehar alt gullet, og som vil være et naturlig mål for de kriminelle.

Produktkostnad: Ingen, i utgangspunktet

Endepunktsikkerhet på servere

Historisk har mange kjørt servere uten endepunktsikkerhet. Dette henger sammen med perimeter tankegangen, der klientsikring var noe av det viktigste. Med dagens trusselbilde og viktigheten av Assume Breach tankesettet, er god endepunktsikkerhet på serverne veldig viktig. MITRE ATT&CK sitt rammeverk er fantastisk til å vise hvilke taktikker de har observert i virkelige angrep. Ingen vet hva som vil treffe seg selv i neste angrep, derfor vil det være fornuftig å se til MITRE og deres analyser av teknologi for å være best mulig sikret. Å bare ha endepunktsikkerhet er ikke det samme som å ha god sikkerhet. Å ha endepunktsikkerhet fra samme leverandør som leverandøren av operativsystemet kan være meget sårbart ved overtagelse av host. Ha dette i bakhodet ved valg av teknologi.

Produktkostnad. Ingen i utgangspunktet da de fleste i dag allerede har dette. Men dette er allikevel et viktig revisjonspunkt.

Solarwinds eller tilsvarende

Noen med høye rettigheter?

Eksisterer det systemer med meget høy tillit? Erfaring viser at noen systemer gis all tilgang. Dette utgjør en stor sårbarhet. Solarwinds Orion er et eksempel på dette, da flere kunder har løsninger som dette, med en any any allow regel. Supply Chain Attacks blir da meget sårbare. Assume Breach

Produktkostnad: Ingen

Bildet

Bildet er tatt på Skeikampen for et par dager siden, i fantastisk vær med fantastiske løyper. Telemark er min aktivitet der. Nå er artikkelen ferdig, og jeg skal ut i bakken for å kose meg igjen

Gøran Tømte

Gøran Tømte

Gøran har jobbet i bransjen siden 1996 og trives best med ukjente utfordringer. Er utdannet høgskole ingeniør innen telematikk, og kontinuerlig selvlært innen sikkerhet basert på gode kollegaer, bransjen og generell nysgjerrighet og interesse

KONTAKT

Andre artikler

Stay Connected

More Updates

Krav ved kjøp av NGFW

Det er mange gode brannmur produsenter og produkter, og flere er oppe til høyre i Gartners Magic Quadrant. Å velge brannmur er ikke enkelt. Men

Leverandørkontroller

Viktigheten av kontroller ved tjenesteutsetting/kjøp av tjenester “Alle” tjenesteutsetter/kjøper tjenester. Men hvordan verifiseres og risikovurderes dette? Som kunde har man alltid 100% ansvar for sikkerheten,

Først måned er snart over. Her er arbeidsoppgavene jeg ser med kundene mine

Facebook
Twitter
LinkedIn

More to explorer

Krav ved kjøp av NGFW

Det er mange gode brannmur produsenter og produkter, og flere er oppe til høyre i Gartners Magic Quadrant. Å velge brannmur er