Sårbarheter, muligheter og Assume Breach. En artikkel for ledere

Tematikk:

light bulb, brain, mobile phone-5901618.jpg

“Citrix-servere utsatt for farlige angrep – mange norske servere er fremdeles sårbare” står det i media.

Enda en software sårbarhet. Enda en RCE, Remote Code Execution. Hva er en sårbarhet? Hva er RCE ? Og hva er “Arbitrary code execution”? Blir dette enda en teknisk artikkel? Nei. Viktig at ikke-tekniske også forstår.

Sårbarheter

Det er naturligvis mange måter å forklare dette på, og det er mange svar, fordi sårbarheter er så mangt. Men jeg tror kort fortalt sårbarheter er muligheten til å gjøre noe annet enn intensjonen, være seg fysisk eller digitalt. En sårbarhet er om du går inn i kontorlokalene igjennom en dør med kode eller kortleser, og noen følger etter deg inn, eller leser av koden. En digital sårbarhet kan være å ha en VPN løsning uten Multi Faktor Autentisering, da ukjente kan logge inn med brukernavn og passord de har fått tak i via en tidligere hendelse, eller gjetting av brukernavn og passord.

Software sårbarhet

Mange tror dette er synonymt med en bug, men det er ikke det samme. Noen ganger kan en software sårbarhet være en funksjon som er bygget for gode intensjoner. Log4J sårbarheten er et slik eksempel. Det var lagt inn en funksjon for praktiske årsaker med gode intensjoner, men kreativitet gjorde at dette kunne misbrukes. Andre ganger kan det være dårlig skrevet kode som ikke er sikkerhetsevaluert godt nok.

Sårbarhetsscannere

Ganske høyt opp på anbefalinger i rammeverk står det at man må/bør bruke sårbarhetsscannere. Dette er systemer som har til hensikt å snakke med alle enheter i nettverket, servere, PC’er, tjenester i skyen, og mer, for å identifisere kjente sårbarheter, fra multiple produsenter og leverandører. Dette har til hensikt å gi oversikt, som igjen skal lede til tiltak for å adressere disse.

Muligheter

Sårbarheter kommer i forskjellige varianter. Noen ganger gir det mulighet for uautorisert tilgang. Dette er tilfellet med RCE sårbarheten i nevnte artikkel. I tilfellet med Citrix, som nevnt i artikkelen, gir dette typisk tilgang inn i systemene direkte fra internett. Når de uønskede så er inne, kan de kjøre det man kaller “Arbitrary code execution”, som i kort betyr at de kan kjøre de samme kommandoene en administrator.

Fiks

Noen ganger kan en software sårbarhet fikses med en patch, mens andre ganger må man i tillegg endre konfigurasjon og oppsett etter anbefaling fra produsent eller uavhengige som Center for Internet Security, NSA og andre

Assume Breach

Sårbarheter eksisterer i flertall, i forskjellige varianter. Stadig nye sårbarheter blir oppdaget og gjort kjent. Det blir et katt og mus jag å holde seg oppdatert og oppdatere systemer. Noen ganger er anbefalingen å oppdatere så raskt som overhodet mulig. Citrix har vært i denne kategorien før. Og da gjør det ikke situasjonen bedre at Digi artikkelen avslører at rundt 50% av identifiserte Citrix systemer fortsatt ikke er oppdatert etter lang tid. Og dette er litt av problemet. Ting er kompliserte. Det eksisterer mange systemer, fra mange produsenter på toppen av mye å gjøre. Dette er noen av grunnene til viktigheten av Assume Breach. Det er meget viktig å anta at uønskede har kommet seg inn i systemene, og fra der gjøre tiltak med dette utgangspunktet, selv om man gjør så godt man kan. Noen sterke anbefalinger relatert til dette er følgende:

Segmentering

Sikre god segmentering i datasentrene, både i egne fysiske, men også i skyen. Sikre at systemer med forskjellige kritikalitet og sensitivitet er segmentert i tråd med risikovurderingen. Dette vil bidra til risikoredusering i form av redusert sannsynlighet for hendelse, samt redusert konsekvens ved en eventuell hendelse. Dette vil også bidra til bedre visibilitet, som igjen gir mulighet til bedre kontroll og sikkerhet.

Least Privilege

Suksessfulle hendelser skjer i tillatt trafikk. Dette er meget viktig å ha med seg i tankesettet hver eneste dag. Husker man dette vil man bli mye mer bevisst på hva man tillater. Least Privilege har til hensikt å kun tillate det som strengt tatt er nødvendig.

Mellom segmentene er det viktig med kontroll. Hva skal tillates, fra hvor, til hva, hvordan, når, hvorfor og for hvem? Ved å tillate kun det som trengs for at produksjon skal kjøre, vil man gjøre det vanskeligere for uønskede å gjøre skadelige handlinger.

VG testen

Dette er en veldig enkel test i tråd med Assume Breach. Sjekk om det er mulig å åpne VG fra serverne deres, domenekontrollere, printservere, backupservere, brannmurer, Citrix servere og mer. Om dette er mulig, er det mest sannsynlig mulig for de kriminelle å misbruke nevnte sårbarheter, som kanskje trenger nedlasting av software og skadevare, og deretter gjerne åpning av en bakdør. Ta kontroll, med Least Privilege, på hva serverne trenger mot internett, og de kriminelle vil få det mye vanskeligere.

Gøran Tømte

Gøran Tømte

Gøran har jobbet i bransjen siden 1996 og trives best med ukjente utfordringer. Er utdannet høgskole ingeniør innen telematikk, og kontinuerlig selvlært innen sikkerhet basert på gode kollegaer, bransjen og generell nysgjerrighet og interesse

KONTAKT

Andre artikler

Stay Connected

More Updates

Krav ved kjøp av NGFW

Det er mange gode brannmur produsenter og produkter, og flere er oppe til høyre i Gartners Magic Quadrant. Å velge brannmur er ikke enkelt. Men

Leverandørkontroller

Viktigheten av kontroller ved tjenesteutsetting/kjøp av tjenester “Alle” tjenesteutsetter/kjøper tjenester. Men hvordan verifiseres og risikovurderes dette? Som kunde har man alltid 100% ansvar for sikkerheten,

Sårbarheter, muligheter og Assume Breach. En artikkel for ledere

Facebook
Twitter
LinkedIn

More to explorer

Krav ved kjøp av NGFW

Det er mange gode brannmur produsenter og produkter, og flere er oppe til høyre i Gartners Magic Quadrant. Å velge brannmur er