Viktigheten av forsvarbar IKT

Illustrasjonsbilde.

De siste par årene har angrepene på en rekke store virksomheter i og utenfor Norge vist oss hvilke konsekvenser det kan ha å ikke ha en oppdatert systeminfrastruktur. Eksempelvis: kostnader på hundrevis av millioner av kroner, tapte inntekter og risiko for tap av liv.

Det er sannsynlig at mange av de store og vellykkede digitale angrepene de siste årene virket fordi virksomhetene som ble rammet har hatt gammeldagse sikkerhetsmodeller, mangelfull proaktiv drift, og ansattes PC-er har hatt for vide tilganger inn mot kritiske IKT-systemer. 

Større virksomheter har sannsynligvis store og/eller antageligvis fragmenterte IKT-miljøer, hvor risikoen har vokst i takt med mangelen på modernisering av både underliggende IKT-infrastruktur og -systemer. Slik “teknisk gjeld” vil det finnes i større eller mindre grad hos alle selskaper som har investert i IKTsystemer. Ved å kartlegge IKT-systemenes tilstand, belyse utfordringene og få eierskapet plassert i organisasjonen er det imidlertid mulig å gjøre tiltak både på kort og lengre sikt. Det betyr, ikke minst, å sikre at viktige IKT-systemer skjermes mot direkte tilkoblinger fra eksempelvis ansattes PC-er.

For små virksomheter, hvor tilgangen på sikkerhetskompetanse ofte er en utfordring, kan angrepene mot store virksomheter føles uvirkelige og tiltakene uoverkommelige. Noen vil vurdere verdien til egne IKT-systemer og informasjon som lav, og dermed også vurdere sannsynlighet for, og konsekvens av, et angrep som liten. 

Et slikt resonnement må utfordres ved å øke forståelsen av hva en angriper vil og hva som er viktig. Det egentlige målet for angriperen kan være noen helt andre, og i så henseende bør alle prioritere de viktigste sikkerhetstiltakene som underbygger forsvarbar IKT. En slags flokkimmunitet av IKT-systemer om en vil. I tillegg må man forstå hvem man er viktig for av sine kunder og leverandører. Videre er mange angrep ikke nødvendigvis målrettede og motivert av verdi, men snarere motivert av at sårbarheter finnes og kan utnyttes. Dette har for eksempel vært tilfelle med en del løsepengevirus-kampanjer. 

I Telenor Norge bygger vi vårt sikkerhetsarbeid på noen grunnprinsipper. Prinsippene setter blant annet krav til at all design og bygging av infrastruktur, tjenester og systemer skal skje etter en lagdelt sikkerhetsmodell der vi forutsetter at operasjonelle og sikkerhetsmessige hendelser vil inntreffe, en såkalt “assume breach” tilnærming.

Digital Sikkerhet

Telenor Norges råd for forsvarbar IKT

For å redusere muligheten til urettmessig tilgang til systemer, og for å ha kontroll på et systems avhengighet til underliggende infrastruktur i datasenteret, setter vi krav til bruk av fysiske og logiske skiller «såkalt mikrosegmentering». Dette brukes også for å sikre hva individuelle systemelementer kan og får lov til å kommunisere med. 

Denne strenge kontrollen som gjøres innad per system, gir også fordeler på andre områder som for eksempel tilgangskontroll. Dette gjør at en bruker som for eksempel har oppgaver på utstyr fra leverandør A ikke har mulighet til å forsøke seg på utstyr fra leverandør B i andre deler av datasenteret, fordi det ikke er mulig å oppnå nettverksforbindelser dit. 

Selv om vi med mikrosegmentering og separasjon reduserer muligheten for at en angriper kan nå systemet, så er det ikke tilstrekkelig at kontrollmekanismene innehas av infrastrukturen. For å redusere angrepsflaten ytterligere på selve systemkomponentene stiller vi derfor også krav til «herding». Dette er en prosess som ved installasjon og oppgraderinger skal påse at system- og infrastrukturkomponenter er forsvarlig konfigurert. For eksempel at verktøyene som driftspersonell bruker ikke er tilgjengelig der tjenester kjører, at prosesser som ikke er nødvendige fjernes eller slås av eller kjører med riktige rettigheter, og at default brukere fjernes eller får passordene byttet. 

I kombinasjon med mikrosegmentering og herding blir både systemelementer og infrastruktur satt opp for sikkerhetsovervåkning, slik at vi kan oppdage når hendelser oppstår og ha nok informasjon for å forstå hendelsesforløpet i etterkant. Sikkerhetsovervåkningen favner både trafikkmetadata, maskindata (logghendelser) og instrumentering på selve systemene, for å gi et helhetlig grunnlag.

Konfigurasjonskontroll, sårbarhetshåndtering og automatisering av oppgaver er også viktige brikker i driftsmiljøer som omfatter flere tusen virtuelle og fysiske systemkomponenter. Videre har prosjekter og systemeiere krav på seg til å sikkerhetsteste systemer før de går i produksjon eller ved vesentlige endringer. Risikoene og eksponeringen til et system vil også sette føringer for hvor ofte og i hvilken grad systemet må sikkerhetstestes etter produksjonssetting, oftest i form av en penetrasjonstest, men andre metoder, for eksempel kildekodegjennomgang, kan også være aktuelle. 

På engelsk blir dette omtalt som en del av konseptet “defendable architecture”. Da det for vår del også omfatter drift og utvikling av både IKT- og telekomsystemer samt den infrastrukturen disse systemene er avhengige av for å fungere, blir det kanskje riktigere å kalle det “forsvarbar IKT” i digital sammenheng.

Digital Sikkerhet

De fleste vellykkede angrep foregår via ansattes arbeidsflate (PC). Det er derfor her og på tilhørende støttesystemer at innsats må prioriteres. Analyser gjort av Australias signaletterretningsorganisasjon (ASD), med bakgrunn i data fra deres hendelseshåndtering, viser at de fire tiltakene som gir størst effekt, listet opp etter kost og kompleksitet, i stigende rekkefølge, er

  • Automatiske sikkerhetsoppdateringer av operativsystem og applikasjoner, eksempelvis Flash, Java, nettlesere, Microsoft Office og PDF-lesere. Oppdateringer som kan føre til driftsavbrudd (for eksempel på tilhørende støttesystemer) bør gjøres manuelt, men godt innenfor 48 timer dersom oppdateringene retter opp kritiske sårbarheter. 
  • Kjøring av makroer i Microsoft Office bør ikke tillates fra Internett Det bør skrus helt av eller kun tillates dersom de er signert med et tiltrodd sertifikat. 
  • Herding av applikasjoner slik at nettlesere blokkerer Flash, reklame og Java. Slå av eller fjern unødvendige funksjoner i Microsoft Office (for eksempel “Object Linking and Embedding”, OLE), nett- og PDF-lesere. 
  • Hvitelisting av applikasjoner slik at programvare som ikke er godkjent stoppes fra å kjøre (inkludert .exe, .dll, script og “installer” filer).

Tiltakene senker sannsynligheten for at et angrep lykkes, men for å redusere skadeomfanget når det vellykkede angrepet likevel er et faktum er det tre ytterlige tiltak (i tillegg til gode rutiner for sikkerhetsoppdateringer) som bør prioriteres: 

  • Begrens administrative tilganger til operativsystemer og applikasjoner og gi slik tilgang basert på brukerens oppgaver, gjør periodisk gjennomgang av disse behovene og ikke benytt privilegerte kontoer til e-post eller nettlesing. 
  • Deaktiver lokale administrative kontoer eller bytt til lange, tilfeldige og unike passord på hver PC slik at denne påloggingsinformasjonen ikke kan benyttes til å bevege seg lateralt. 
  • Krav til multi-faktor autentisering for VPN, Remote Desktop, SSH og annen fjerntilgang, og for alle brukere når de utfører en privilegert oppgave eller ber om tilgang til en viktig/sensitiv informasjonskilde (for eksempel webmail).

Listen over andre tiltak som bør treffes vil variere fra virksomhet til virksomhet, og er avhengig av hvilke verdier som ønskes beskyttet og hvilken risikoappetitt som foreligger. 

Utfordringen for mange virksomheter er at verdien av egne tjenester, verdikjeder og systemer ofte ikke er kjent. Risikoappetitten baseres dermed på feilaktig informasjon eller antagelser om egen virksomhet.

Les neste artikkel 5G, kunstig intelligens og tingenes internett er fremtiden