Derfor er fragmenterte sikkerhetsløsninger en trussel i seg selv
Altfor mange norske virksomheter har endt opp med en lappeteppe-tilnærming til IT-sikkerhet: Nye krav eller trusler fører til at man kjøper enda et produkt – en brannmur, en e-postscanner eller et overvåkingsverktøy – og setter det utenpå det man allerede har. Resultatet blir komplekse miljøer, dårlig oversikt og høy risiko.
– Etter noen runder sitter du igjen med en «best-of-breed-zoo» som ikke snakker sammen, og kompleksiteten i seg selv blir en risiko, sier Lars Erik Braatveit, CTO i Conscia.
Leif Sundsbø, sikkerhetsspesialist i Cisco, nikker gjenkjennende:
– Vi må gjøre det vanskeligere å være angriper og enklere å være forsvarer. Det får vi bare til hvis sikkerhet bygges inn som en del av arkitekturen – ikke som en tilleggspakke.
Når sikkerhet lappes på
Tradisjonelt har sikkerhet blitt håndtert som «brannslukking»: En ny trussel dukker opp, virksomheten kjøper en løsning som adresserer akkurat det problemet – og kompleksiteten øker.
– Når noe skjer, hvor begynner du å lete? Skal du ringe alle leverandørene eller sjekke logger i ti forskjellige systemer? Det er ineffektivt, og i sikkerhet teller hvert minutt, sier Braatveit.
– Selv veldig gode punktprodukter blir dårlige i sum hvis de ikke er en del av en helhet, legger Sundsbø til.
En metodikk for robust sikkerhetsarkitektur
For å hjelpe kunder ut av denne fellen har Conscia, en ledende europeisk aktør innen cybersikkerhet, driftstjenester og IT-infrastruktur, sammen med Cisco – en av verdens største leverandører av nettverks- og sikkerhetsløsninger – gjort en tilpasning av konseptet Defendable Architecture - Conscia Blueprints.
– Blueprintene er en slags oppskrift på hvordan vi mener man bør bygge motstandsdyktige miljøer. Det handler ikke bare om teknologi, men om prinsipper for hvordan nettverk og sikkerhet skal henge sammen, forklarer Braatveit.
Et viktig prinsipp er . Mange nettverk er fremdeles flate, slik at angripere kan bevege seg fritt når de først har fått fotfeste.
– Vi deler nettverk inn i soner og tvinger trafikk gjennom definerte kontrollpunkter. Da kan vi stoppe og logge alt som skjer, sier Sundsbø.
Også kontrollert internett-trafikk er sentralt:
– Kritiske systemer bør som hovedregel ikke ha fri tilgang til internett. Hvis noe som aldri skal «ringe ut» plutselig prøver, er det en av de beste alarmene du kan få, sier Braatveit.
Han understreker at blueprintene alltid tar høyde for drift:
– Sikkerhet skal ikke stoppe kjerneverdien i virksomheten. En god arkitektur gjør at du kan stenge sluser når du må, samtidig som du holder de viktigste systemene operative.
Trusseletterretning som rettesnor
Trussel-etterretning handler om å bruke kunnskap om hvordan angripere opererer til å utforme policyer og design.
– Vi vet at -aktører alltid prøver å etablere en kommando- og kontrollforbindelse ut av nettverket. Da designer vi miljøet slik at vi fanger opp nettopp det. Det er trussel-etterretning i praksis, sier Sundsbø.
Braatveit understreker at dette ikke bare handler om å konsumere data fra andre:
– Cisco Talos er et godt eksempel på en global etterretningskilde som gir oss lister over IP-adresser og domenenavn vi bør blokkere. Men like viktig er det at virksomheten selv produserer etterretning. Når vi oppdager noe i et kundemiljø, deler vi signalene tilbake slik at alle blir tryggere.
Vanlige fallgruver
Selv virksomheter som investerer mye i sikkerhet, gjør ofte feil som undergraver effekten.
– Et klassisk eksempel er multifaktorautentisering. Mange innfører det for vanlige brukere i skyen, men glemmer privilegerte kontoer eller gamle plattformer. Da står de mest kritiske inngangene likevel åpne, sier Sundsbø.
Braatveit trekker frem segmentering som et annet område der intensjon og realitet ofte spriker:
– Noen deler opp nettverket på papiret, men lar trafikken flyte fritt mellom soner. Hvis ikke inspeksjon og logging er slått på, er segmenteringen i praksis bare kosmetikk.
Begge peker også på faren ved : eldre applikasjoner som blir stående åpne fordi de er vanskelige å modernisere.
– Vi forstår at det koster, men uten blir gamle systemer en gavepakke til angripere, sier Braatveit.
AI – et tveegget sverd
Generativ AI har på kort tid blitt en del av sikkerhetsarbeidet – på godt og vondt. For forsvarere gir den mulighet til å analysere enorme mengder data raskere og oppdage mønstre som tidligere tok timer eller dager.
– Analytikere kan ta beslutninger mye raskere fordi AI hjelper dem å se helheten. Det gjør oss bedre i stand til å reagere i tide, sier Sundsbø.
Men teknologien gir også kriminelle helt nye verktøy. Stemmekloning og -videoer gjør det vanskelig å vite hvem du faktisk snakker med.
– Når en toppleder ringer deg i et videomøte og ber om å flytte penger, kan det være en deepfake. Vi ser allerede at metoden brukes i svindelforsøk, sier Braatveit.
Han mener norske virksomheter må forberede seg på at slike angrep blir vanligere:
– Det holder ikke lenger å stole på magefølelsen. Vi må ha prosesser og teknologi som kan verifisere forespørsler på en uavhengig måte. Når AI senker terskelen for angripere, må vi heve listen på vår side.
Fem grep som gir robust sikkerhet
1. Segmentér etter risiko og funksjon – og inspiser trafikk mellom soner.
2. Steng utgående internett for kritiske systemer, og varsle ved avvik.
3. Sikre identitet overalt, også for admin og eldre plattformer.
4. Bygg for – både inn og ut.
5. Velg løsninger som støtter åpne og automatisering.
Start der du står
Selv om det er enklest å bygge sikkerhet inn fra starten av, er virkeligheten at de fleste må starte midt i et levende miljø. Det er fullt mulig, men krever en plan.
– Det første vi ber kundene gjøre, er å kartlegge verdier og avhengigheter. Deretter setter vi en målarkitektur og bygger steg for steg, sier Sundsbø.
Braatveit har sett flere prosjekter som har tatt flere år å gjennomføre:
– Å gå fra flate til motstandsdyktige nettverk tar tid. Men hvis du har en plan og bygger etappevis, får du reell risikoreduksjon underveis. Det viktige er at hvert tiltak bygger videre på arkitekturen – og ikke blir en løsrevet løsning, avslutter han.
