Cyberhot Enfo
Blogg

Cybersäkerhet 2022 del 1 - en förändrad verklighet

11 april, 2022
Sebastian Ströbeck Enfo
Cybersäkerhet del 1 av 3
Precis när vi kom ut ur Covid-pandemin, eller hoppades att så var fallet - så brakade en väpnad konflikt loss i vårt närområde. Om vi inte var det innan så är vi en sådan tid nu där man funderar på runt sårbarhet, säkerhet och hållbarhet. Som medborgare i en digital värd så är vi beroende av en fungerande IT-miljö, såväl på jobbet som privat. 

I en serie av bloggar så kommer vår säkerhetsarkitekt – Sebastian Ströbeck att dela med sig av sina tankar: Hur kan man skydda sig, var börjar man och vilka områden är viktiga att prioritera. Häng med på resan!

 

Assume Breach och den förändrade hotbilden

2012 sade den tidigare chefen för både CIA och NSA, Michael Hayden:

“Fundamentally, if somebody wants to get in, they're getting in. Alright, good. Accept that."

Detta är bakgrunden till uttrycket "Assume Breach" och med denna insikt förstår man at det inte går att nå 100% säkerhet men att det är en fundamental skillnad mellan en liten incident och en total katastrof och däri ligger de proaktiva möjligheterna.

Om man vet att något hotfullt kommer att inträffa är det mycket enklare att skydda sig. Till exempel om man ser en skogsbrand närma sig ett hus är det naturligt att bygga en brandgata eller ösa vatten runt det man vill skydda. Man agerar eftersom man räknar med att hotet blir verklighet. 

 

Det förändrade geopolitiska läget

Sedan annekteringen av Krim 2014 har det geopolitiska läget förändrats, hotbilden och attackerna mot internationella och svenska organisationer ökat avsevärt. Många myndigheter och säkerhetsorganisationer i bland annat USA, Tyskland och Sverige har tagit fram riktlinjer hur man skyddar sig mot cyberkriminella och främmande makt. Dessa togs fram i "fredstid" och innehåller i stort liknande rekommenderade åtgärder med olika nivåer av komplexitet och krav på organisation för att genomföra de mest basala och nödvändiga skyddsmekanismerna.

De två senaste åren av pandemi, med allt vad det inneburit i organisatoriska, ekonomiska och personliga utmaningar samt enorma eskaleringar av cyberattacker som till och med drabbat livsmedelsförsörjning och hemtjänst. Samt nu, efter de senaste månadernas krig i omvärlden, hot om eskalering till vår närhet och en digital krigsföring mellan konkurrerande hackergrupper, kanske vi är i underläge i våra förmågor att få till nödvändiga förändringar.

I vissa av våra svenska organisationer har det säkert funnits initiativ sedan 2014 att implementera en del åtgärder men organisatoriska stuprör, budget, kompetensbrist, bristande förståelse för problematiken och allvaret hos ledning och bristande projektledning har gjort att många inte ens har åtgärdat detta mest basala och nödvändiga., Och nu står vi inför det värsta säkerhetsläget sedan 1945.

Om vi inte redan haft intrång, digital förstörelse eller dataläckor, och är digitalt smarta, kan vi räkna med att detta kommer att drabba oss inom en snar framtid.

Så tillbaka till den enkla grundutmaningen: Vi ser hotet och hur ska vi handla?

Fundamentally, if somebody wants to get in, they're getting in. Alright, good. Accept that.

Michael Hayden
Fd chef för CIA och NSA
Cybersäkerhet Enfo

Topp 5 aktiviteter att göra nu:

Förenklat så är Assume Breach förmågan att hindra en liten olycka att bli en absolut katastrof. Det börjar med dessa aktiviteter. Delar av dessa är absolut av karaktären lågt hängande frukt och åtgärdar man inte detta har man inte ens gjort de minsta nödvändiga åtgärderna för att säkra organisationens tillgångar.

 

1. Backup

Ett av de främsta målen i en cyberattack är backupdata. Utan denna kan organisationerna inte återställa efter en attack. Många tyckte det var praktiskt när hårddiskar blev stora och billiga så man avvecklade sina veckobackuper på band till kassavalv off-site. Det man missade var att ersätta detta med en ny och säker design som skulle skydda mot katastrof. Backupdata och återställningsmiljöer ska aldrig vara åtkomliga från produktion. Detta ska separeras både med brandväggsregler, nätverk och autentiseringsmekanism. Helst ska det vara separat personal också. 

Säkerställ en offline-kopia idag, åtgärda sedan ovan.

 

2. Identitet 

När perimeterskyddet är förlegat som enskild säkerhetsmekanism är identitetsäkerhet det enskilt viktigaste området.

Att säkerställa att man har kontroll på konton med höga behörigheter, att de bara används minimalt och kontrollerat och att administrativa uppgifter i stället görs med anpassade behörigheter för ändamål och uppgift.

Multifaktor-autentisering ska användas överallt, utan undantag. Kravställ på leverantörer som inte stöder det att implementera eller avveckla lösningen. Enligt Microsoft använder bara 25% av företagens användare i Microsoft 365 multifaktor, trots att det finns inbyggt. Conditional Access är bra, men är inte en ersättare då det ofta inte går att klassificera externa och interna hot längre utan zerotrust är i stället en bättre design och filosofi.

 

3. Infrastruktur

I datacenters infrastruktur finns många förmågor till automation, kryptering, säkerhet och skalbarhet. Många av dessa effektiva förmågor är ofta även den del i effektiva cyberattacker. Säkerställ att infrastruktur som VMware och Hyper-V inte är åtkomliga från någon som helst produktionsmiljö.
Management av infrastruktur och säkerhet behöver naturligtvis absolut säkras med tillämpliga metoder och kontroll av access.

 

4. Brandväggar och IDS

I många typer av sårbarheter och cyberattacker används så kallade Command-and-Control servrar. I många organisationer har servrar slentrianmässigt utgående internetaccess öppet, utan att det behövs. Ofta används inga brandväggar eller intrångsdetektering internt och servrar har nätverksaccess till andra servrar utan behov. Inventera servrars behov, öppna för det och stäng allt annat. T.ex. sårbarheten i Log4j hade inte blivit allvarlig om de sårbara servrarna inte kunnat kommunicera ut.

 

5. Uppdateringar

Buggar och sårbarheter kommer alltid att finnas i både viktiga och mindre viktiga system och mjukvaror. Tiden mellan att en sårbarhet upptäcks till att den utnyttjas av kriminella aktörer minskar hela tiden.  T.o.m. kriminella arbetar agilt.

Kraven på intervallen av uppdateringar har förändrats,. För internetexponerade system bör de ske varje vecka. System ska uppdateras varje månad och undantag ska säkras speciellt om det inte är möjligt. System som är gamla, eller inte får uppdateras av olika anledningar, får bara inte accepteras utan måste hanteras genom isolering, härdning och övervakning.

 

Dessa åtgärder är ett minimum för svenska organisationer att ta nu. Samtidigt som dessa aktiviteter pågår behöver re-design och förändring av hur ansvar, samarbete och säkerhetsförmågor måste se ut för att kunna upptäcka och stoppa cyberattacker pågå.

Detta kommer att belysas i en kommande bloggpost.

För er som vill veta mer om säkerhetsarbete eller vill få stöd med att säkerställa de fem punkterna ovan: Tveka inte att höra av er så kan vi fördjupa dialogen och se på möjliga proaktiva insatser.

 

Sebastian Ströbeck
Principle Security Advisor & Architect 
sebastian.strobeck@enfogroup.com
LinkedIn

Dela

Relaterat material