I lys av virkelige hendelser – her er noen anbefalinger og råd for sikring av nettverk og systemer

Tematikk:

Angriperne kommer seg på innsiden.

Det er derfor viktig å alltid behandle innsiden som usikker med samme fokus som man gjør fra utsiden.

Rådene er utarbeidet med utgangspunkt i virkeligheten. Alle tiltakene vil stoppe eller forsinke trusselaktørene. Ikke lær av egne feil, lær av andres.

Zero Trust

Dette er alltid strategi nummer 1. Zero Trust omhandler mennesker, mindsetog hvordan man gjør arkitektur og design.

#AssumeBreach er meget viktig i sikkerhetsarbeidet i dagens trusselbilde. “Assuming the opposite is a recipe for disaster”

VG testen

Verifiser VG testen. Kan dere surfe på VG fra serverne deres er utgangsdøren åpen og må lukkes. Dette er en meget enkel test som alle veldig raskt kan gjøre. Dette er steg 6: Command & Control i Lockheed Martins «The Cyber Kill Chain». Deretter må det gjøres hvitelisting (Least Privilege) av nødvendig trafikk mot internett. Dette er relativt enkelt med riktig teknologi og noe vi hjelper kunder med.

Segmentering

Sikre god segmentering. Jo høyere segmenteringsgrad, jo mer robust er man den dagen uvedkommende kommer seg inn. Vi ser at angriperne kommer inn på funksjoner som oftest ikke er målet med angrepet, men grunnet flat arkitektur er det enkelt å bevege seg til andre tjenester, som f.eks domenekontrollere. Segemnetringen gir bedre visibilitet, som muliggjør bedre kontroll og dermed bedre sikkerhet.

Hvitelisting (Least Privilege)

Sikre god hvitelisting til alle tjenester, men også utgående mot internett fra alle servere. Vi ser de kriminelle ofte er avhengig av «callback», for å åpne en dør tilbake til seg selv. Denne utnyttes for kommandoer og overføring av data. Dette er kanskje en av de enkleste tingene man kan adressere ved å ta kontroll på hva hver enkelt server får lov til å gjøre mot internett. Start med domenekontrollere, backupservere, managementservere, mailservere og andre tjenester som har en sentral og kritisk rolle. Men start med noe. Bli kjent med metodene, og jobb videre.

Multi Faktor Autentisering

Sikre Multi-Factor Authentication (MFA) på alle innganger, for alle. VPN. RDP. Citrix. Dette gjelder også ressurser utenom egen organisasjon. Det er ikke nok å ha MFA for alle ansatte dersom eksterne samarbeidspartnere kan logge på med kun brukernavn og passord. Vi ser misbruk av slike kontoer har vært veien inn i nettverk.

Sikre MFA internt for administratorer. Vi ser MFA typisk mangler internt, også for administratorer. Dette er noe de kriminelle nyter godt av i de aller fleste angrep. Dette er et enkelt og billig tiltak det ikke finnes rasjonelle unnskyldninger for å ikke implementere

Logging

Sikre god logging, for så mange måneder dere føler er fornuftig; 3, 6, 12 måneder. Dette gjelder for brannmurer, endepunkter og servere. Skulle man oppdage noen i eget nettverk og klarer å stoppe dette før kryptering eller datalekkasje, eller skade allerede var skjedd, er det loggene som avgjør hvor lang tid det tar før man kan åpne igjen. Det er loggene man benytter for å finne ut hvordan de kom inn, hvor de beveget seg, hva de gjorde og ikke gjorde. Dette er viktig for friskmelding. Det er viktig med tanke på gjenoppretting fra backup.

Alarmering

Sikre alarmering. Om sikkerhetsteknologi alarmerer, sikre at noe eller noen blir gjort oppmerksomme. Vi ser altfor ofte at man stoler for mye på teknologien, og ikke følger med på alarmene teknologien gir. Sikre at alarmer håndteres av mennesker og systemer. Dette kan være det som stopper en hendelse. Dette har vi sett at har vært den avgjørende faktor for noen.

Sakshåndteringssystem

Sikre integrasjon av alarmer med sakshåndteringssystem. Dette er viktig både for dokumentasjon, men også for oppmerksomhet. Skulle en kritisk eller viktig hendelse skje, burde dette generere en alarm i et system som får oppmerksomhet av mennesker og/eller automatiserte hendelseshåndteringssystemer (som f.eks XSOAR).

Mitre ATT&CK-sikkerhet

Sikre god Mitre ATT&CK-sikkerhet på alle servere. Dette vil si endepunktsikkerhet som scorer bra hos Mitre ATT&CK. Vi ser suksessfulle angrep på tjenester som ikke har endepunktsikkerhet. Altfor ofte ser vi servere uten denne sikkerheten. Vi ser også hendelser på løsninger med endepunktsikkerhet som ikke har spesielt god logging.

Patching

Sikre at dere patcher, eksternt og internt, med like høyt fokus relatert til kritikalitet. Vi ser gjentatte ganger at gamle, kjente og kritiske sårbarheter ikke blir patchet, og dermed kan være sentralt i et angrep.

Sårbarhetsscanning

Sikre at dere har sårbarhetsscanning, eksternt og internt. Kritiske interne systemer kan også utsettes for angrep og må derfor behandles med lik kritikalitet som internettbaserte tjenester.

Inspeksjon av data

Sikre at DNS kommunikasjon verifiseres for mistenkelige domener og Domain Generation Algoritm (DGA). Dette oppleves som en vektor angriperne bruker stadig oftere. Vi ser slik DNS kommunikasjon i logger i suksessfulle angrep. Dette kan stoppes med riktig oppsett av sikkerhetsteknologien. Viktig at mennesker sikrer at dette stoppes, og ikke bare tillates med logging.

Sikre at all kommunikasjon mot internett, for klienter og servere, kontrolleres med URL filtering for deteksjon og stopping av ukjente, mistenkelige, nye, skadelige og phishing URL’er. Vi ser at URL’er i disse kategoriene er sentrale i angrep. Disse kan stoppes med anbefalt oppsett av sikkerhetsteknologien. Viktig at mennesker sikrer at dette stoppes, og ikke bare tillates med logging.

Dekryptering

Sikre at all kommunikasjon inn og ut av datasenteret er dekryptert for best synlighet og best utnyttelse av sikkerhetsfunksjoner som IPS. Vi ser at dekryptering ofte mangler, og at sikkerhetsmekanismer da blir vingeklippet. Vi ser at disse sikkerhetsmekanismene kan avverge deler av et angrep. Starter man med de enkleste og viktigste grepene, vil dette raskt gjøre en stor forskjell. Vi ser stadig flere kommuner,  fylkeskommuner  og private aktører som raskt aktiverer inngående SSL dekryptering mot servere. Neste steg er utgående SSL dekryptering for servere.

Generelle anbefalinger

Anbefalingene fra myndigheter og organisasjoner er mange og gode. Det er flere som ikke er tatt med i denne listen. Denne listen er basert på en virkelig hendelse der f.eks backup ikke var relevant, noe som er veldig viktig for andre hendelser.

Informasjon fra Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet har også kommet med artikler de siste dagene som har relevans til de siste hendelser og dagens trusselbilde:

Gøran Tømte

Gøran Tømte

Gøran har jobbet i bransjen siden 1996 og trives best med ukjente utfordringer. Er utdannet høgskole ingeniør innen telematikk, og kontinuerlig selvlært innen sikkerhet basert på gode kollegaer, bransjen og generell nysgjerrighet og interesse

KONTAKT

Andre artikler

Stay Connected

More Updates

Krav ved kjøp av NGFW

Det er mange gode brannmur produsenter og produkter, og flere er oppe til høyre i Gartners Magic Quadrant. Å velge brannmur er ikke enkelt. Men

Leverandørkontroller

Viktigheten av kontroller ved tjenesteutsetting/kjøp av tjenester “Alle” tjenesteutsetter/kjøper tjenester. Men hvordan verifiseres og risikovurderes dette? Som kunde har man alltid 100% ansvar for sikkerheten,

I lys av virkelige hendelser – her er noen anbefalinger og råd for sikring av nettverk og systemer

Facebook
Twitter
LinkedIn

More to explorer

Krav ved kjøp av NGFW

Det er mange gode brannmur produsenter og produkter, og flere er oppe til høyre i Gartners Magic Quadrant. Å velge brannmur er