Sitter du i mørket?

By oktober 20, 2017 Sikkerhet

På midten av 1930-tallet stod Maginot-linjen ferdig i all sin prakt. Festningsverket var ca. 150 mil langt og det stod stilt opp på den franske grensen til Tyskland. Byggingen som kostet Frankrike ca. 3,5 mrd Franc, som på den tiden allerede var tungt økonomisk belastet med å gjenreise landet etter Den Store Krigen som sluttet drøyt 15 år tidligere, var det stor politisk og militær uenighet om.

For hver 15. kilometer ble det reist et fort med tungt artilleri. Det ble gravd over 100 km med tunell for å knytte de ulike fortene sammen og gjøre dette til en uoverstigelig barriere mot den krigerske tyske nabonasjonen. Og dèt lykkes franskmennene med i og for seg. Problemet var bare at fienden deres ikke forberedte en statisk skyttergravskrig slik de hadde kjempet under den første verdenskrigen. Nei, mens tyske tropper drev skinn-manøvrer tett opptil Maginot-linjen for å lure Frankrike til å tro at denne store muren gav dem sikkerhet, forberedte de seg på en langt mer dynamisk form for krigføring.

Blant annet ved hjelp av store teknologiske fremskritt med sine pansrede kjøretøyer rullet tyskerne hurtig gjennom slettelandet i Belgia kort tid etter krigens utbrudd, og tok kontroll over landet i løpet av 6 uker. På grensen til Belgia var det nemlig ikke noen sterke forsvarsverk, for hvem kunne gjette seg til at det skulle komme et angrep fra Belgia? (det opplagte svaret her er jo egentlig «mange» da tyskerne også i 1914 angrep via Belgia). Mange innflytelsesrike personer i Frankrike hadde tydeligvis «gjettet», og som vanlig når man prøver å forutsi hva fremtiden vil bringe tatt veldig feil. Resten er historie…

SÅ, kan denne historien fra krigens dager lære oss noe vi kan bruke i IT-sikkerhetssammenheng? Jeg mener det er mange gode poenger vi kan overføre.

For det første er det problemet forbundet med å leke synsk, og forutsi hva som vil skje i fremtiden. Ingen kan gjøre det med god treffsikkerhet i lengden. Når jeg er ute og snakker om Next Generation Firewall løsningene til Palo Alto Networks så gjør jeg alltid et stort nummer ut av at vi ved å se i bakspeilet på hva som har skjedd tidligere ikke kan vite hvordan morgendagens hacker vil agere.

Vi vet jo at angriperne er kreative og benytter nye angrepsmetoder og nye sårbarheter i systemer gang på gang. Tradisjonelle brannmurleverandører som kommer fra den gamle skole der man først var opptatt av hvilken port og protokoll som traff brannmuren istedenfor å først avgjøre applikasjonen forsøker etter mitt skjønn å gjøre det samme som franskmennene som bygde Maginot-linjen. De sier at en pakke som treffer port xyz skal behandles på en bestemt måte, fordi det er der vi forventer at applikasjon æøå skal komme. Denne barrieren er lett å lure for en angriper f.eks. ved å benytte ikke standard porter. Med Palo Alto Networks NGFW vil all trafikk klassifiseres i henhold til en applikasjon og basert på fingerprinting av applikasjonen bli kjørt igjennom de riktige filtere og beskyttelsesmekanismer. Denne prosessen er helautomatisert og kalles «Feedback loop», og fjerner brukerne av løsningen vekk fra forsøket på å gjette seg til hvor morgendagens angrep vil finne sted.

Det neste gode poenget er at vi Ikke kan basere oss kun på løsninger som skal forhindre at angriperne lykkes (Prevention). For skriften på veggen forteller oss at er de flink nok, motiverte nok og tålmodige nok vil de lykkes med å komme seg forbi «festningen» vår. Uansett om du kjøper «state of the art» løsninger fra seriøse produsenter som Palo Alto og ProofPoint eller du velger mindre raffinerte saker vil bedriften din før eller siden bli kompromittert. Det er da det er viktig at du allerede har på plass verktøy som kan hjelpe deg med å finne angriperen i nettverket ditt raskt, og som kan gi deg klare svar på hva du må gjøre for å bli kvitt problemet og kunne komme tilbake til en normalsituasjon igjen.

Core Services jobber på dette området med produsenten Rapid 7 som har kombinert funksjonalitet for log-håndtering (SIEM), User Behavior Analytics, Endpoint Detection and Response og Honeypot-feller i et produkt som heter Insight IDR. Dette kan man enten benytte selv dersom man har kapasitet og ferdigheter til å drive «Threat hunting» og Incident Detection and Respons. Hvis IT organisasjonen ønsker å ha en profesjonell partner som kan gjøre dette for en med responstid ned på 1 time kan det være hensiktsmessig å heller vurdere Rapid7 Managed Detection and Respons som et alternativ.

Det siste poenget jeg vil trekke frem er at noen til stadighet må sjekke for sårbarheter i bedriftens IT-systemer. Dette gjelder både de tjenester som er eksponert ut mot internett men også sikkerhetsbarrierene og alle dingser og applikasjoner på innsiden. De fleste hackere er opportunister som tar en mulighet som byr seg. Hvis f.eks. patchenivået på bedriftens utstyr er så lavt at det er helt trivielt for hackeren å ta seg inn i nettverket vil man ha store gevinster av å strømlinjeforme scanning etter sårbarheter. Rapid 7 har med InsightVM (cloud basert) og Nexpose (on prem) og AppSpider/AppSec er sterk portefølje av produkter for å identifisere sårbarheter og gi konkrete anbefalinger til teamet som skal gjennomføre utbedringene. Også verktøyene for sårbarhetshåndtering er mulige å kjøpe som en tjeneste fra Rapid7 sitt Security Operations Center.

Det er naturlig både for en nasjon som Frankrike og for en bedrift som den du jobber for å ville sette opp en stor mur mot alt det griseriet som befinner seg på den andre siden av grensen. Vi kan med teknologi fra Palo Alto Networks og ProofPoint hjelpe deg med å sette opp det mest effektive forsvarsverket mot omverdenen. Men vær så snill å ikke bli stående på den store muren og sole deg i glansen og tenke at det er tilstrekkelig. Beskyttelsen må være automatisert, optimalisert og sette deg i stand til å se fienden som muligens allerede gjemmer seg i ditt miljø.

Sitter du i mørket? Ta kontakt, så skal vi sammen med Rapid7 hjelpe deg å skru på lyset…   

 

Stian Heyerdahl Larsen
Core Services AS

[contact-form-7 404 "Not Found"]