Første uke som selvstendig er over, og for ei uke

Tematikk:

Den første uka har vært et energi kick. Helt utrolig. Fortsatt mye jobb som skal gjøres. Å være produktuavhengig har hele tiden vært en viktig parameter, og ser ut til å treffe bra. Da blir jeg en generisk sikkerhets-ressurs som kan brukes av flere, i mange situasjoner. Det er gledelig å se.

Markedsføring

Markedsføringen begynte i desember, og vil naturligvis fortsette hele tiden. Synlighet er viktig.

Stolt over den nye websida. Har skrevet mange artikler der allerede, og flere er på vei.

Takk til https://creativeheads.no/ for godt arbeid med utvikling av siden, og god support underveis.

Pushet mye for synlighet og oppmerksomhet på LinkedIn. både fra min personslige side, men naturligvis også fra min forretningsside. Fått mange positive og hyggelige meldinger.

Digi artikkelen ble veldig bra, og har fått mye oppmerksomhet

Jobber

Fått oppdrag inneværende uke. Utført og fakturert. Føles godt å være i gang

Holdt foredraget “Hvorfor gikk det som det gikk?” der vi snakker om kjente hendelser, hva skjedde, og hva kunne vært gjort for å hindre eller redusere det? Det viktige for meg er at lytterne lærer og forhåpentligvis justerer tankesett og proaktive handlinger for en sikrere hverdag.

Bistått med tekst til anbudsbesvarelse. Anbud er ofte rent tekniske, med spørsmål om teknisk kompetanse. Anbud har som oftest veldig lite sikkerhet i seg. Mitt bidrag i en slik situasjon er å skrive tekst som skal påvirke de riktige menneskene til å gjøre de riktige tingene for å oppnå bedre sikkerhet. Mange sitter fast i fortiden og fornyer bare hardware, men ikke design, arkitektur og sikkerhet. Det er derfor viktig å skrive ikke-teknisk

Kundemøter

Flere kundemøter, både innen privat og offentlig. Viktig å møtes for å synliggjøre enda bedre hva jeg har å bistå med. De fleste kjenner meg allerede, men jeg kjenner ofte ikke detaljene om dem. Har lært mye denne uken. Mange som trenger resurser, så fremtiden ser ikke så ille ut.

Fakturert bra allerede. Lover bra, men bare full gass videre som gjelder.

Nye spennende oppdrag neste uke for å møte flere kunder med nye utfordringer. Det gir meg energi. Møtes. Lytte. Lære. Forstå. Dialog. Forbedre.

Erfaringer fra kundemøte

Et møte denne uken resulterte i en oppsummering med ting vi kan jobbe med. Dette baserte seg på diskusjon over bordet om hverdagen, trusselbildet, tiltak, ressurser og kapasitet. Tid er som kjent en sårbar faktor for mange. Mye skal gjøres, og ofte prioriteres det rent operasjonelle, naturligvis. Ting skal fungere. Ting skal videreutvikles og forbedres. Dette er felles for veldig mange der ute. Det er da jeg kommer inn som en koordineringsressurs. Jobbe med tiltak basert på en risikovurdering. Styre sammen med sikkerhetsansvarlig hva som er mest nærliggende, “low hanging fruits”. Ressurser finnes eksternt for enkeltoppdrag.

Dette er oppsummeringslisten over ting vi diskuterte som helt klart har forbedringspotensiale, og som vil ha en direkte påvirkning på sikkerheten. Dagens situasjon for de fleste er manglende synlighet, manglende logging, manglende oppmerksomhet på alarmer og logger. Det er for de fleste også store forbedringsmuligheter på tilgangskontroll, være seg via brannmuren, SaaS eller applikasjoner. VG testen. SSO. MFA. Mye å jobbe med. Veldig spennende å ha denne listen som et utgangspunkt for videre jobbing. Risikovurderingen først, og så jobber vi derifra.

MFA for administratorer

  • Det finnes ingen rasjonelle unnskyldninger fra tid eller kostnad for hvorfor dette ikke er på plass. MFA for administratorer for alle systemer, også internt. Kan starte med RDP og SSH. Koster minutter, og kanskje en tusenlapp i måneden.
  • Veldig lav produktkostnad

VG testen

  • Dette er policy på eksisterende utstyr. Servere i eget datasenter, eller i skyen, har tilgang til internett. Begrens hva de har tilgang til, til kun det som er nødvendig for at løsningen skal fungere.
  • Ingen produktkostnad

Segmentering

  • Det var snakk om NSX. NSX er et produkt, som koster en del penger. Man er avhengig av en partner med kompetanse som skal bistå med dette, samt at interne ressurser må læres opp på dette. Totalen ble at dette ikke var et bærekraftig prosjekt. Mange kan levere NSX, men kompetanse er en utfordring.
  • Mange servere, men på spørsmål om hvor dynamisk løsningen var, var svaret at løsningen var ganske statisk, og at med tiden ville mer flyttes til skyen. Diskusjonen da ble på å bruke VLAN segmentering, og starte fra toppen av verdikjeden fra et risikoståsted. Det er bedre med en god plan B enn en dårlig plan A. Sikre de viktigste verdiene. Et prosjekt som ikke krever ny hardware, kun planlegging og innføring
  • Ingen produktkostnad

Logging

  • Dette er noe de aller fleste kan forbedre seg på. “Alt” logger, men kanskje bare til seg selv. Å strategisk sentralisere dette, med sikkerhet, er sterkt anbefalt, og noe alle forstår viktigheten av. Dette blir et prosjekt. Spørsmålet er om dette bare skal bli en tradisjonell passiv logg/lagrings løsning for hendelses-håndtering etter en hendelse, eller om den skal gjøres moderne med ML og AI for analyse og deteksjon av unormaliteter. Dette blir en diskusjon sammen med kunden
  • Lav til middels høy kostnad

Alarmering

  • Denne er litt i gata til logging. Alarmer og logger sendes gjerne til samme samlingssted for historikk og analyse, men alarmer trenger ofte litt er umiddelbar reaksjon. Spørsmålet da er hvilke alarmer skal sendes hvor. Skal de sendes internt, eller skal man alliere seg med eksterne? Dette blir et prosjekt med kunden
  • Lav til middels kostnad

Mennesker. Gjøre alle til ambassadører

  • Det menneskelige aspektet er super viktig. Viktig med regelmessig dialog med alle ansatte for å skape best mulig forståelse, slik at alle er på samme lag. Interne artikler. Interne møter, digital og fysiske.
  • Ingen produktkostnad

Assume Breach

  • Det er viktig at alle innen produksjon forstår dette. Alle med operasjonelt ansvar, administratorer, utviklere, sikkerhetsansvarlige. Alle må jobbe som om at perimeter ikke er tett, og at uønskede er inne i systemene. Dette er en pedagogisk oppgave jeg har jobbet med i mange år, og som påvirker hvordan mennesker tenker og handler. Shift left heter det for utviklere, mens for andre påvirker det andre ting. Dette er en av de viktigste tingene innen sikkerhet i dagens trusselbilde, og henger naturligvis sammen med Zero Trust
  • Ingen produktkostnad

Azure sikkerhet

  • Mange har Azure, AWS eller GCP allerede. Verdier er allerede i produksjon der. Da er det viktig å gjøre en sikkerhetsrevisjon av løsningen. Det finnes ferdige compliance moduler sammen med best practice.
  • Compliance. VG testen. Segmentering. Logging. Alarmering. SOC. IR
  • Ingen produktkostnad i utgangspunktet

Backup. Info sikkerhet.

  • Alle har backup. Backup gjøres av sensitive data. Sensitive data på server i produksjon beskyttes gjerne veldig godt, kanskje med segmentering, server hardening, patching, MFA og mer. Men hva med de sensitive dataene når de havner på backup serveren? Hva med Assume Breach? Hva når de kriminelle er inne i datasenteret, på en ikke-kritisk server? Hva når backup dataene ligger på en Windows basert backup løsning som er i samme nettet? Er dataene kryptert på disken? Hva med management av backup løsningen? Er backup management patchet og sikkert? Er det MFA på backup løsningen? Hvordan er det med logging og alarmering fra denne løsningen? Er all data tilgjengelig som Windows fileshare fra en printserver? Er Windows serveren som kjører backup hardened med f.eks CIS Benchmarks? Det er mange spørsmål man må stille seg til backup løsningen som innehar alt gullet, og som vil være et naturlig mål for de kriminelle.
  • Ingen produktkostnad i utgangspunktet

Revisjon av brannmur

  • Brannmuren er sentral i de aller fleste nettverk og systemer. Den har en meget viktig sikkerhetsrolle. Min erfaring er at denne bærer preg av lang og tro tjeneste, med mye historikk. Ting er bygget med et tradisjonelt tankesett. Assume Breach og Least Privilege er sentralt i hvordan bygge et moderne regelsett. Det er derfor fornuftig å revidere brannmur oppsettet med alt fra beste praksis fra produsent, til generell sikkerhetsrevisjon.
  • Ingen produktkostnad i utgangspunktet. Her er det forskjell på produsenter. Noen har verktøy for dette uten kostnad, mens andre har bygget kommersielle produkter for å adressere dette

Endepunktsikkerhet på servere

  • Historisk har mange kjørt servere uten endepunktsikkerhet. Dette henger sammen med perimeter tankegangen, der klientsikring var noe av det viktigste. Med dagens trusselbilde og viktigheten av Assume Breach tankesettet, er god endepunktsikkerhet på serverne veldig viktig. MITRE ATT&CK sitt rammeverk er fantastisk til å vise hvilke taktikker de har observert i virkelige angrep. Ingen vet hva som vil treffe seg selv i neste angrep, derfor vil det være fornuftig å se til MITRE og deres analyser av teknologi for å være best mulig sikret. Å bare ha endepunktsikkerhet er ikke det samme som å ha god sikkerhet.
  • Ingen produktkostnad i utgangspunktet, da de fleste i dag allerede har dette. Men dette er allikevel et viktig revisjonspunkt.

Avvikssystem/forbedringssystem

  • I forbindelse mitt ISO 27001 arbeid tidligere, ble jeg positivt kjent med dette systemet. En av de enkleste og viktigste sikkerhetsfunksjonene en organisasjon kan ha. For at dette skal fungere bra må det kommuniseres regelmessig med positiv tone til alle ansatte. Alle må spille på samme lag og sammen bidra til en så sikker som mulig organisasjon
  • Ingen produktkostnad

RDP testen

  • En videreføring av VG testen er RDP testen. Sjekk hvor det er mulig å kjøre RDP, fra klienter til servere, fra servere til servere. Still spørsmål ved behov for tilgang. En populær angreps-vektor det er viktig å adressere. Sikre at RDP kun er mulig å kjøre der det er behov. Sikre deretter MFA for tilgangskontroll.
  • Ingen produktkostnad for generell RDP tilgang. Eventuell kostnad for MFA

Always-On VPN, ZTNA og SDP

  • Klientene må ut av “innsiden”. Majoriteten av klientene er mobile, og skal uansett alltid behandles som kompromitterte. Å ha to løsninger for klienter, en for kontoret og en for hjemmekontor, betyr mer, mer konfigurasjon, med regelsett, mer sårbarheter og mer kompleksitet. Etabler en klientløsning som forenkler, forbedrer og sikrer enda høyere. Dette bidrar også til å sikre all kommunikasjon mot verdiene med NGFW funksjonalitet. Dette er benyttet av mange i mange år meget suksessfullt, og skal ikke være noe å lure på.
  • Ingen produktkostnad for mange, da dette er innebygget funksjonalitet i flere NGFW’er

Solarwinds eller tilsvarende. Noen med høye rettigheter?

  • Eksisterer det systemer med meget høy tillit? Erfaring viser at noen systemer gis all tilgang. Dette utgjør en stor sårbarhet. Solarwinds Orion er et eksempel på dette, da flere kunder har løsninger som dette, med en any any allow regel. Supply Chain Attacks blir da meget sårbare. Assume Breach
  • Ingen produktkostnad

Suksessfulle hendelser skjer i tillatt trafikk. Hvordan bygges regelsettet?

  • Dette henger sammen med Assume Breach, bevissthet på administratorer, utviklere og sikkerhetsansvarlige.
  • Ingen produktkostnad

Benyttes porter eller applikasjoner i brannmuren?

  • Dagens internett og systemer har utviklet seg mye, og den tradisjonelle port baserte brannmuren kommer til kort med tilgangskontroll. Det er derfor viktig å tilpasse seg behovet for god tilgangskontroll ved å gjøre dette på applikasjon, bruker og URL nivå. Majoriteten har fornyet teknologi til NGFW, men konfigurasjon og tankesett henger ofte igjen i det tradisjonelle. Dette gjør sikkerhetsløsningen mindre verdifull grunnet utviklingen.
  • Ingen produktkostnad da “alle” NGFW i dag har denne funksjonaliteten

NSX vs VLAN?

  • Dette er nevnt tidligere, men fremheves her. En god plan B er bedre enn en dårlig plan A. NSX, ACI, Open Stack og Flow er alle viktige løsninger. Men det må alltid balanseres kost-nytte. For mange vil mer tradisjonell tenking være mer enn godt nok. Det viktigste er menneskene og tankesettet. Assume Breach. Segmentering er veldig viktig. Spørsmålet er størrelse og dynamikk. VLAN basert segmentering kan for mange være mer enn tilstrekkelig.
  • Ingen produktkostnad for en VLAN løsning.

Logg alt

  • Man vet aldri hva som vil skje den dagen man blir angrepet. Man vet ikke hvor eller hvordan angrepet vil skje. Det er derfor viktig å ha en strategi om å logge alt, hele tiden. Så blir neste diskusjon for hvor lenge man skal ha logger. 1, 3, 6, 9, 12 måneder eller mer. Og så blir spørsmålet hvor mye intelligens man vil ha på loggene. Dette er nevnt over her i forbindelse med ML og AI analyse.
  • Liten til middels stor produktkostnad

Integrasjon med sakshåndteringssystem

  • Når en hendelse skjer, noe som skaper en alarm, er det viktig med oppmerksomhet på denne hendelsen. En anbefaling da er å integrere alarmsystemet med sakshåndteringssystemet for automatisk opprettelse av en sak. Dette vil bidra til oppmerksomhet, dokumentasjon og compliance. Dette vil også være viktig i tilfelle GDPR brudd.
  • Ingen produktkostnad

URL sikkerhet

  • Dette virker nok naturlig for de fleste. Dette er en naturlig del av en NGFW, men må settes opp etter gode anbefalinger. Har selv opplevd hendelser som kunne vært stoppet av URL filtering, men grunnet manglende optimalisering gikk mistenkelige URL’er, som skulle vært stoppet, igjennom. Årsaken til dette var administratorene.
  • Ingen produktkostnad, dersom funksjonaliteten er aktiv på NGFW

DNS sikkerhet

  • DNS sikkerhet har ikke eksistert veldig lenge i nettverket, men er i dag en del av en NGFW. Også her er det viktig med bra oppsett i tråd med anbefalinger fra produsenten, slik at mistenkelige DNS forespørsler blir stoppet. Også her kunne hendelser vært avverget ved riktig oppsett har jeg personlig erfart.
  • Ingen produktkostnad, dersom funksjonaliteten er aktiv på NGFW

SaaS sikkerhet

  • Dette er stort. Dette er omfattende. Dette er viktig. Her må man jobbe risikobasert. Starte med sikker administrator tilgang. SSO og MFA for alle brukere. Bruke kjente rammeverk fra CSA. Cloud Controls Matrix er en gratis objektiv og viktig sjekkliste. Produsentens sjekkliste er alltid viktig. Microsoft 365 sin compliance modul er gratis og relevant også for andre SaaS løsninger.
  • Ingen produktkostnad

Denne listen ble et resultat av en times smalltalk over bordet. Det er dette jeg kaller sikkerhets optimalisering, og ting jeg skal jobbe med fremover. Hjelpe til med synlighet, bevissthet og kapasitet.

Neste artikkel

Hvem vet. Hva blir neste artikkel? Den kommer nok raskere enn man tror. Enten her på siden, eller i media. Følg med. Ha en god neste uke.

Gøran Tømte

Gøran Tømte

Gøran har jobbet i bransjen siden 1996 og trives best med ukjente utfordringer. Er utdannet høgskole ingeniør innen telematikk, og kontinuerlig selvlært innen sikkerhet basert på gode kollegaer, bransjen og generell nysgjerrighet og interesse

KONTAKT

Andre artikler

Stay Connected

More Updates

Krav ved kjøp av NGFW

Det er mange gode brannmur produsenter og produkter, og flere er oppe til høyre i Gartners Magic Quadrant. Å velge brannmur er ikke enkelt. Men

Leverandørkontroller

Viktigheten av kontroller ved tjenesteutsetting/kjøp av tjenester “Alle” tjenesteutsetter/kjøper tjenester. Men hvordan verifiseres og risikovurderes dette? Som kunde har man alltid 100% ansvar for sikkerheten,

Første uke som selvstendig er over, og for ei uke

Facebook
Twitter
LinkedIn

More to explorer

Krav ved kjøp av NGFW

Det er mange gode brannmur produsenter og produkter, og flere er oppe til høyre i Gartners Magic Quadrant. Å velge brannmur er