Matrise

Suksessfulle hendelser skjer i tillatt trafikk. 

Denne matrisen har til hensikt å belyse kjente hendelser og vise hva som kunne avverget hendelsene. Det er skrevet en artikkel om hver hendelse som er tilgjengelig ved å klikke på navnet til hendelsen. 

Hva kunne avverget eller vanskeliggjort hendelsen? Alle foretak har teknologi. Mange har mye og fantastisk teknologi. Alle har endepunktsikkerhet. Alle har e-postsikkerhet. Allikevel skjer suksessfulle hendelser. Alle suksessfulle hendelser skjer i tillatt trafikk, så det er derfor viktig å fokusere på hva man tillater for på den måten å redusere angrepsflaten maksimalt.

Alle har sikkerhet, og alle har sikkerhetsteknologi. Teknologi er nødvendig, men mennesker setter ofte altfor stor lit til denne og kan da bli utsatt for skadelige hendelser allikevel. Det er derfor viktig å tenke mer proaktivt og preventivt for å være enda bedre rustet i dagens trusselbilde. Tanken med matrisen er å synliggjøre noen få tiltak som vil vise seg å være effektive tiltak ved flere kjente hendelser.

MFA på eksterne DAAS

MFA på interne DAAS

Segmentering med
Least Privilege

VG testen (Least Privilege)

Sentralisert logging med SOC

Klienter ut av nettet med Always-On VPN

Nei
Ja
Ja
Ja
Ja
Usikkert
Ja
Nei
Nei
Nei
Ja
Usikkert
Nei
Usikkert
Usikkert
Usikkert
Ja
Nei
Nei
Ja
Ja
Ja
Ja
Ja
Nei
Ja
Ja
Ja
Ja
Nei
Nei
Ja
Ja
Ja
Ja
Nei

DAAS

DAAS er et akronym som står for Data, Applications, Assets og Services, som definerer de sensitive ressursene. DAAS-elementer inkluderer:

Data – Dette er sensitive data som kan få en organisasjon i trøbbel hvis blir eksfiltrert eller misbrukt. Eksempler på sensitive data inkluderer betalingskortinformasjon (PCI), beskyttet helseinformasjon (PHI), personlig identifiserbar informasjon (PII) og intellektuell eiendom (IP)

Applications/Applikasjoner – Vanligvis er dette applikasjoner som bruker sensitive data eller kontrollerer kritiske eiendeler.

Assets/Eiendeler – Eiendeler kan inkludere IT (informasjonsteknologi), OT (operativ teknologi) eller IIoT (Internet of Things) enheter som for eksempel terminaler for salg, SCADA-kontroller, produksjonssystemer og medisinsk utstyr i nettverk.

Services/Tjenester – Dette er sensitive tjenester som er svært skjøre som virksomheten din er avhengig av. De vanligste tjenestene som bør beskyttes på en Zero Trust-måte inkluderer DNS, DHCP, Active Directory og NTP.

MFA på eksterne DAAS

Det er viktig å sikre at Multi Faktor Autentisering er aktivert for tilgangskontroll til alle DAAS som er tilgjengelige fra internett. Anta at brukernavn og passord er på avveie.

MFA på interne DAAS

Det er viktig å sikre at Multi Faktor Autentisering er aktivert for administrator tilgang til alle DAAS internt og eksternt. Anta at brukernavn og passord er på avveie.

Segmentering med Least Privilege

Kritiske verdier som domenekontrollere, databaser, og andre DAAS med høy kritikalitet bør segmenteres ut for bedre visibilitet, tilgangskontroll og dermed sikkerhet.

Least Privilege betyr at man kun tillater det som er nødvendig for at tjenesten fungerer

VG testen (Least Privilege)

Basert på rapporten om PYSA/Mespinoza ble det hos Østre Toten kommune mest sannsynlig åpnet bakdører på domenekontroller, backupserver og kanskje flere servere. Data fra kommunen kom beviselig på avveie, noe som mest sannsynlig skjedde via disse kanalene. Dette burde ikke være mulig, da denne type kommunikasjon ikke har noe med nødvendig kommunikasjon i daglig virke å gjøre. Det er derfor viktig å sjekke om man kan surfe på VG fra serveren/DAAS (link til artikkel). Kan man nå VG, er sikkerheten for dårlig, og man må etablere Least Privilege for hva DAAS trenger av kommunikasjon mot internett. Når dette er på plass skal det være nærmest umulig å etablere Command & Control fra DAAS

Sentralisert logging med SOC

En suksessfull hendelse skjer gjerne over tid ved å gjøre flere aktiviteter. Mange av disse aktivitetene er unormal adferd, og vil i mange tilfeller trigge alarmer. Det er viktig å samle alle disse loggene og alarmene på et sentralisert og trygt sted for ivaretagelse ved en eventuell hendelse, samt at noen (SOC) følger med og reagerer ved behov. Dette kan bidra til å identifisere og avverge et suksessfullt angrep.

Klienter ut av nettet med Always-On VPN

Med dagens trusselbilde og mobilitet på brukere med bærbare datamaskiner, smarttelefoner og private enheter er det viktig behandle alle disse enhetene som usikre og allerede kompromitterte. Den gamle tankegangen om at disse enheten skal være på “innsiden” av nettverket når man fysisk er på kontoret har ved flere hendelser vist seg å være veldig uheldig. Det er i dag derfor anbefalt å ikke ha noe lokalt nettverk for klienter, og heller ha et eksternt nettverk tilsvarende det man har på hjemmekontor og på reise. 

Når man behandler klienter likt uansett hvor de fysisk måtte befinne seg, som usikre på et usikkert nettverk, vil man få en enklere hverdag som igjen vil føre til et bedre fokus på sikring av verdiene (DAAS) med Least Privilege basert tilgangskontroll basert på brukerkontroll inkludert MFA, rettighetskontroll og applikasjonskontroll. 

Portisolering på nettverk på kontoret vil være en sikkerhetsfunksjon man burde aktivere for å redusere risiko enda mer.