«Kan du surfe på VG fra serveren er sikkerheten for dårlig!»
Dette gjelder også din OT maskin som typisk er en PC, men som styrer kritiske systemer.
For å forstå viktigheten av VG testen er det to ting jeg vil fremheve.
- Dagens trusselbilde
- Cyber Kill Chain
Dagens trusselbilde
Jeg liker å referere til Enisa og deres årlige «Threat Landscape» rapporter.
Det er omfattende å forklare denne i detalj her, da det er omfattende, men essensen fra et VG testen perspektiv er at uvedkommende klarer å komme seg inn i datasystemene dine, typisk via utnyttelse av en software sårbarhet, eller innlogging ved manglende MFA.
Det er meget viktig å alltid ha dette tankesettet for å være best forberedt på godt forebyggende arbeid.
- Assume Breach
- Assume Compromise
- Anta innbrudd
Cyber Kill Chain
Dette er et begrep som Lockheed Martin har gjort kjent. Det har til hensikt å illustrere og forklare hvordan et typisk angrep vil foregå. Det er beskrevet med 7 steg, der det 6. er «Command & Control», ofte kalt «bakdør», «phone home», «C2», osv.
Å «ringe hjem» er for de kriminelle ofte en nødvendighet. Denne kanalen trengs som regel for et fullkomment angrep. Og det er denne nødvendigheten for de kriminelle VG testen har til hensikt å adressere.
Kan du surfe på VG fra serveren din?
VG er ikke ansett som en farlig webside naturligvis. Så hvorfor VG? Vel, «alle» besøker VG regelmessig, så det er en vanlig webside. Om man sitter på serveren og kan åpne VG er kommunikasjonskanalen mot internett mest sannsynlig vid åpen. Det er synonymt med at de kriminelle enkelt kan åpne en bakdør fordi mennesker ikke typisk har antatt at uvedkommende er på innsiden med onde hensikter. Derfor er det typisk ikke laget en utgående sikkerhetsbarriere.
Test flere servere og systemer.
Kan du surfe på VG fra din OT maskin?
Hva trenger du av internett tilgang fra din OT maskin? Det er det som er spørsmålet. Kan du surfe på VG fra din OT maskin er sikkerheten for dårlig.
Det er likt i skyen
Mange tror naivt at skyen er magisk sikker. Mange tror at å flytte servere fra eget datasenter til en IaaS hos Microsoft, Amazon eller Google på magisk vis er mye sikrere av seg selv. Det er en sannhet med veldig store modifikasjoner. VG testen feiler så det suser i skyen, og er vanskeligere å adressere der enn i et tradisjonelt datasenter
Jeg har skrevet litt om dette i denne artikkelen.
Løsning
Proaktiv sikkerhet er alltid anbefalt. VG testen er som en blodprøve. Den gjør ingen forskjell, men den kan finne sykdommer og feil.
Hva trenger din domenekontroller mot internett? For mange er svaret «ingenting». Da er det enkelt, og du sikrer at det ikke eksisterer noen regler som tillater kommunikasjon mot internett for domenekontrolleren.
Som regel trenger servere og OT maskiner tilgang til tjenester og funksjoner på internett, som oppdatering av software. Derfor vil det være nødvendig med internettkommunikasjon, men Least Privilege basert. Ta kontroll på hvilke applikasjoner, URL’er og om mulig IP adresser det skal kommuniseres med. Man tillater kommunikasjon mot nødvendigheter, og alt annet vil treffe default deny regel nederst i regelsettet på brannmuren.
Fremtidige innbrudd vil fortsatt skje. Supply Chain angrep vil fortsette å skje. Fjern de kriminelles mulighet til å åpne en bakdør. Tenk Kill Chain. Det handler om å ødelegge kjeden i angrepet.
Østre Toten kommune
En ekspert jeg har snakket med sa at Østre Toten kommune hadde spart minst 4 millioner kroner ved å adressere VG testen. Hadde dette vært adressert før hendelsen i 2021, hadde personsensitiv informasjon mest sannsynlig ikke kommet på avveie, og boten fra Datatilsynet ville vært unngått. Hadde Østre Toten kommune hendelsen vært en så alvorlig hendelse om VG testen var adressert? Mest sannsynlig ikke.
Kjør VG testen i dag, og start arbeidet med opprydding. Sett opp alle nye systemer etter Zero Trust, Assume Breach, Least Privilege og VG testen prinsipper.
