IT-sikkerhet og forebygging av sikkerhetshendelser blir en viktig del av jobben for Kim Hansen, som i august begynte som systemarkitekt i Sicra. Hansen har etter mer enn 20 år i bransjen blitt et kjent navn for mange i sikkerhetsmiljøet i Norge. Han startet i sin tid med å jobbe som tekniker og instruktør på Watchguard-brannmurer, før han senere begynte å jobbe med sikkerhetsløsninger fra Palo Alto Networks.
– Den gangen jobbet jeg i Stiftelsen Norsk Luftambulanse, som var en av de første Palo Alto Networks-kundene i Norge. Det var en spennende tid, og med ansvaret for nettverks- og sikkerhetsinfrastrukturen opparbeidet jeg meg en solid erfaring som jeg har hatt god nytte av senere, sier han.
Hansen har arbeidet både med overordnet systemdesign og «hands-on» som tekniker og arkitekt. Nå sist kommer han fra en rolle som løsningsspesialist og instruktør i Data Equipment, der han i mer enn sju år har jobbet med nettverks- og sikkerhetsløsninger fra blant andre Palo Alto Networks, Proofpoint og Duo Security.
Vil endre bedrifters tankesett
– Jeg trivdes veldig godt i Data Equipment, men jeg hadde lyst til å kunne fokusere enda mer på helhetlig sikkerhet på tvers av ulike leverandører. Da handler det ofte om å endre bedriftens mindset og hvordan de tenker sikkerhet på servere, klienter, nettverk og så videre.
«Zero Trust» er en sikkerhetstankegang som har blitt ganske utbredt de siste årene, som går ut på at du aldri skal stole på en bruker-ID eller en enhet. Du skal heller ikke stole på bedriftens interne servere eller ressurser. Dette skiller seg fra hvordan man tenkte sikkerhet i «gamle dager», der man hadde en brannmur – og alt på innsiden av brannmuren var regnet som sikkert, mens alt på utsiden var usikkert.
Hansen sier at mange bedrifter har skjønt «Zero Trust», men at det likevel ikke er nok. De må tenke mye mer helhetlig rundt sikkerhet. For eksempel har de fleste bedrifter en masse ulike fagsystemer, som bør segmenteres opp basert på risiko og sikkerhet. Man må gjøre en risikovurdering av de ulike systemene bedriften bruker og sørge for god tilgangskontroll. Bare de personene og de enhetene som trenger tilgang, skal gis tilgang.
Automatisert patching
– En del bedrifter som tenker sikkerhet på en litt annen måte enn tidligere, prøver å automatisere patching på de systemene det er mulig å gjøre det på. Og dermed påstår jeg at man kan få bort 80-90 prosent av problemene. Så kommer de kritiske systemene i tillegg, sier Hansen.
– Innbruddene er ofte ikke på klientsiden, men der bedriftene har satt opp permanent utstyr. Det er ofte større fokus på å patche på klientsiden, men de tingene som ikke patches, er slikt som brannmurer, last-balanserere eller webservere.
– Hva er det som gjør at bedrifter ikke gjør dette? Er det mangel på kompetanse, eller er det sparekniven som rår?
– Begge deler. Det er mangel på gehør fra ledelsen om at det faktisk er mulig. Men som jeg sier, man setter opp redundante systemer for at de faktisk skal være redundante. Da må man stole på det, men det gjør de ofte ikke.
– Jeg ser en svak endring på ledernivå, men det går veldig sakte. Folk begynner å forstå at det å ha månedlig patche-syklus, hvor du aldri rekker over alt, ikke er godt nok.
– Hvis du venter på neste planlagte vedlikeholdsvindu for å patche et redundant system, så har du tapt, for den tiden har du ikke. Når vi ser på de siste sårbarhetene og patchene som er kommet ut, ser vi at du i beste fall har under en uke på deg. I verste fall skulle sårbarheten vært fikset i går. Da nytter det ikke å vente til neste måned på neste vedlikeholdsvindu.
– Det forutsetter vel at sårbarhetene er kjent, men det er ikke alltid tilfellet?
– Bedrifter som abonnerer på diverse «-certer», mottar gradert informasjon og er stort sett veldig flinke på å ta til seg informasjonen og få dette inn i systemet. Det som bekymrer meg, er alle disse bedriftene som enten ikke er påmeldt i disse listene, ikke tar hensyn til de offisielle patchene eller ikke leser listene godt nok. Her er det en jobb som må gjøres, for i utgangspunktet er det slik at en angriper bare trenger å gjøre tre ting:
- Få fotfeste ved å utnytte en sårbarhet.
- Komme seg inn på en server ved å utnytte at serveren er dårlig eller mangelfullt satt opp.
- Sette opp en bakdør som sender data ut av det interne nettverket til en ukjent server.
– Hvis jeg kommer inn på en server hos en kunde og jeg fritt kan surfe til VG fra en adminserver, antar jeg at denne kunden er kompromittert. Enkelt og greit, for da er alle veier gjennom systemet åpne. Det skal ikke så mye mer til.
Usikkerhet om sikkerhet
– Opplever du at sikkerhet som konsept er litt misforstått av folk?
– Ja, da jeg begynte i bransjen for 15-20 år siden, husker jeg en kunde som sa at «Jo da, vi har brannmur». Jeg var inne på serverrommet og sjekket, og jo da, brannmuren stod der. Det var bare en enkel kabel inn i boksen, og den stod i management-porten. Så brannmur hadde de jo. Det er litt den følelsen jeg har hos en del bedrifter: De har boksen – de kan ha verdens beste utstyr – men det er ikke satt opp riktig. Og da hjelper det ikke.
– Kompetansen er én ting, men jeg opplever at i alle anbudskonkurranser er det funksjonalitet som settes først, og kanskje sikkerhet som nummer to. I de få tilfellene der jeg ser at man faktisk etterspør sikkerhetsfunksjoner, er det ofte ikke så viktig lenger når man kommer til implementering og produksjon. Så da lurer jeg på: Hva skal du med en brannmur hvis du bare har tenkt å bruke den som en router?
– Alle bedrifter i dag skal jo ut i skyen, og det de glemmer, er at standardsikkerheten i skyen er like ille som en D-Link-router fra Elkjøp.
– Det er forskjell på risikovurdering og sikkerhetsvurdering. De fleste bedrifter er flinke på risiko, men pro-aktiv sikkerhetsvurdering er noe helt annet. Som en bedrift sa så fint for noen år siden: Man må anse det som om en angriper er på innsiden av nettet allerede. Og da tenker man sikkerhet på en helt annen måte.
– Hva er det som gjør at folk gjerne fokuserer mer på risiko enn på sikkerhet, tror du?
– Gammel vane, økonomi og mangel på kompetanse. Mange tror at en sårbarhet de har funnet, men som ikke er dokumentert utnyttet, ikke er så kritisk. Hvis det finnes en sårbarhet hos deg og det finnes kode på internett for å utnytte den, er det ikke nødvendig å vise deg at den kan utnyttes. Da er det om å gjøre å få patchet og stoppet den.
Kopierer i stedet for å ødelegge
– Når en gullsmedbutikk blir ranet, ser du det. Når et datasenter blir ranet, er det ingen som ser det, med mindre noen har ødelagt data, sier Hansen. – Men de fleste i dag ødelegger ikke data, de bare kopierer det.
– All informasjon som kan leses, kan jo også i prinsippet kopieres, ikke sant?
– Ja, nettopp. Det er veldig enkelt, og det er en sånn ting som bedrifter i dag må tenke på.
– Løsepengevirus, derimot, er mye mer synlige, for de har i utgangspunktet ødelagt data. Det interessante med dette er at det er en forretningsstrategi. De er helt avhengige av at folk faktisk betaler, og jo flere som betaler, jo flere slike angrep vil vi få. Det er ganske enkelt.
– Du mener den siste tidens løsepengevirus-saker kunne vært unngått. Er de dumme, de som biter på?
– Nei, de er ikke dumme, men kanskje litt for tillitsfulle og godtroende. Vi er lært opp her i Norge til at vi skal ha tillit til hverandre, og tillit til mennesker MÅ vi ha, ellers får vi ikke gjort en jobb. Når det kommer til datanettverk og dataflyt, så må vi aldri være godtroende. Vi må derimot hele tiden verifisere «er dette korrekt?». Et godt eksempel: La oss si at en ansatt har en PC og logger seg på via VPN. Hvis hans oppførsel på PC-en plutselig endrer seg slik at brannmur og antivirus blir skrudd av mens han er koblet opp, vil en sjekk som går kontinuerlig, kunne reagere med en gang og fjerne ham fra VPN.
Angriperne er de beste på kryptering
– Når vi snakker med ledelsen i bedrifter i dag, skal alt være «kryptert og sikkert», men verdens beste kryptering er den som angriperen bruker. Det er de som er de flinkeste på kryptering. Bedrifters brannmurer i dag må enten pakke opp den krypteringen og inspisere trafikken, eller så må de blokkere den fullstendig.
– Det er mange bedrifter i dag som i mange år har hatt en tanke om at de skal ha det beste av det beste på alle områder når det gjelder sikkerhetsprogrammer, men det hjelper lite hvis disse programmene ikke snakker sammen. Sørg i stedet for at du har en helhetlig sikkerhetsplattform, og kast de programmene som ikke kan snakke sammen.
– En IT-avdeling i dag er ikke i stand til å rekke over mer enn et normalt menneske klarer. Det hjelper ikke med en kjempegod løsning hvis ingen drifter det. Da er det bortkastet.
– Kall det bevisstgjøring eller awareness training, men vi må lære opp både ansatte og ledelsen til å forstå hvor enkelt det er å bli manipulert.
– Hvordan gjør man det best?
– Det er viktig at man har fokus på dedikerte ressurser som driver med opplæring i bedrift. Jeg ser en dreining mot bedre sikkerhetskultur i bedrifter som har ansatt folk som har som oppgaver å lære opp både ledelse og ansatte. Men i det øyeblikket dette bare blir en salgsfigur overfor kunder, et salgsargument utad, så funker det ikke internt. Det er dermed veldig viktig at den rollen bygges opp og at ledelsen er med på det.
– To-faktor autentisering er for eksempel kritisk viktig, og de fleste bedrifter har aktivert det på enkelte tjenester. Men hvis det går måneder mellom hver gang den brukes, hvor reell er den egentlig da? Den blir et slags front-end-skalkeskjul. Jeg pleier å si at du skal bruke den like ofte som du bruker den i banken din. Bedriften har sannsynligvis mer å tape på ikke å bruke den enn du har på lønnskontoen din, men likevel er de fleste av oss mer villige til å bruke to-faktor på lønnskontoen enn innloggingen på jobb. Dette er språk som ledelsen skjønner.
– Har du flere loggkilder, det være seg nettverksløsninger, autentiseringsløsninger, servere/PC-er, skyen og så videre, må du kunne korrelere informasjon fra dem og se på den på tvers. Mange bedrifter i dag ser på disse som isolerte siloer, slik at de ikke fanger opp misforhold mellom dem. Det er ikke normalt hvis en bruker logger seg på en lokal PC og samtidig logger seg på Office 365 fra Kina eller Taiwan. Da skal det gå en alarmklokke. Og den bør gå sentralt. Dette må ikke være avhengig av brukerens oppsett, eller oppsettet av hver tjeneste. Hver løsning kan være fin for å se på unormal oppførsel hver for seg, isolert sett, men man må ha noe som kan korrelere informasjon på tvers og fange opp unormal aktivitet på den måten.
Unngå at alt er åpent
– Du kan ganske enkelt begrense hva som kan gjøres opp mot tjenestene dine. Hvis du for eksempel ikke har noe med Kina å gjøre, kan du slå av at tjenestene dine kan nås derfra. Skybaserte tjenester er litt vanskeligere, siden de er spredt over hele verden, så du kan ikke nødvendigvis sperre utgående trafikk dit. Men du kan likevel sperre for ulike applikasjonstyper du ikke har behov for å bruke, heller enn å åpne for alle typer tjenester. Det er for eksempel langt fra alle ansatte som har behov for tilgang til regnskapssystemet, så hvorfor skal det da være pip åpent for alle ansatte? Hvis du ikke har regler på dette, kan hvem som helst av dine ansatte bli kompromittert.
– Har du en topp tre-liste over enkle tiltak som folk og bedrifter bør følge eller gjøre, og som tar det mest alvorlige?
- Bruk to-faktor, slik at du hele tiden identifiserer hvem som logger på til enhver tid.
- Ikke åpne opp for mer trafikk enn det som faktisk er legitimt. Det er veldig mye trafikk i dag som faktisk ikke er nødvendig, både inn og ut. Det er for eksempel ikke nødvendig med X-box-funksjonalitet på en jobb-PC. Dokumenter dessuten trafikken og inspisér all tillatt trafikk for kjente og ukjente trusler.
- Konfigurer PC og servere riktig, etter anbefalte sikkerhetsstandarder og rammeverk, som for eksempel anbefalingene fra Nasjonal sikkerhetsmyndighet (NSM) og Center for Internet Security (CIS).