Trusselbildet har endret seg, da må sikkerheten følge etter
I mange år har IT-sikkerhet handlet om å beskytte ytterkantene av infrastrukturen. En solid brannmur i , en der tjenester eksponeres mot internett, og resten av systemene på innsiden. Problemet er at infrastrukturen ikke lenger er bygget slik, mens mange sikkerhetsmodeller fortsatt tar utgangspunkt i nettopp det.
Hybrid sky, mikrotjenester og stadig tettere integrasjoner mellom systemer har gjort at mye av risikoen nå oppstår internt i miljøene. Skal virksomheter stoppe uautorisert tilgang og misbruk av egen infrastruktur, holder det ikke lenger å vokte ytterdøren alene. Kontroll av trafikk må flyttes nærmere systemene og applikasjonene som faktisk skal beskyttes.
– Vi har endret måten vi produserer tjenester på. De gamle metodene fungerer opp til et visst punkt. Etter det må du enten gå på kompromiss med sikkerheten, eller tenke nytt rundt arkitektur og kontroll, sier Lars Erik Braatveit, CTO i Conscia.
Det betyr ikke at perimeter-brannmuren er irrelevant, men at den ikke kan stå alene i forsvaret mot alvorlige sikkerhetshendelser.
– Kommer du deg inn ett sted og har tilgang til alt, har du et problem. Da mangler du både granulering og reell kontroll, sier Leif Sundsbø, sikkerhetsspesialist i Cisco.
Når angriperen først er inne
Mye av dagens trusselbilde handler ikke om hvordan angripere kommer seg inn, men om hva som skjer etterpå. Når en angriper først får fotfeste i et miljø, er det ofte de interne forbindelsene som utnyttes videre.
– Trusselaktørene er flinke. De vet at i miljøer der systemer og applikasjoner kommuniserer mye internt, kan de bevege seg sideveis mellom systemene. Ofte kjenner de svakhetene og strukturen bedre enn virksomheten gjør selv, sier Braatveit.
Denne interne trafikken, eller øst–vest-trafikk, har økt kraftig i takt med flere applikasjoner, flere integrasjoner og tettere koblinger mellom sky og lokale miljøer. Samtidig har angrepsflaten blitt større, både teknisk og organisatorisk.
– Du må vite hva systemene faktisk skal gjøre. En server skal for eksempel ikke plutselig kommunisere med servere i Kina. Det handler om å forstå normal oppførsel, protokoller og hvilke forbindelser som gir mening i ditt miljø, sier Braatveit.
Sundsbø peker på at utgående trafikk ofte får for lite oppmerksomhet.
– Det er sjelden en server har behov for å gå fritt ut på internett. Ukritisk utgående trafikk er noe angripere utnytter for å etablere kontrollforbindelser og fjernstyring. Derfor må trafikk kontrolleres i begge retninger, ikke bare inn, sier han.
Kontrollpunkter nærmere applikasjonene
Når applikasjoner flyttes, skaleres eller endrer form, må også sikkerhetskontrollen følge etter. I moderne miljøer er ikke lenger alle tjenester samlet bak én tydelig yttergrense.
– Nettverket er involvert uansett. All kommunikasjon går over et nettverk, enten det er i skyen, i datasenteret eller mellom dem. Derfor gir det mening å bygge så mye sikkerhet inn i infrastrukturen som mulig, sier Braatveit.
Også selve brannmurbegrepet har endret karakter i moderne IT-miljøer.
– Vi snakker ikke lenger bare om én fysisk boks i ytterkanten. Det kan være en virtuell funksjon i skyen, kontrollmekanismer i datasenteret eller sikkerhet tett på arbeidslastene. Konseptet består, men plasseringen varierer, sier Sundsbø.
Dette blir særlig tydelig i plattformer som , der applikasjoner kan forsvinne, flyttes eller replikeres automatisk.
– Når du åpner for en applikasjon for bestemte brukere, må policyen følges hele veien, helt inn til container-nivå. Sikkerheten kan ikke stoppe ved perimeteret, slår Braatveit fast.
Én policy, ikke mange ulike regelsett
Flere kontrollpunkter betyr ikke at sikkerhet skal administreres fra flere steder. Tvert imot.
– Du kan ikke ha administratorer som bygger regler manuelt i hvert enkelt miljø. Da klarer du verken detaljnivået eller endringstakten som moderne infrastruktur krever, sier Braatveit.
I stedet beskriver de et skifte mot sentral policyhåndtering, der innsikt i faktisk trafikkflyt brukes til å bygge og vedlikeholde regler på tvers av miljøer.
– Med riktig skal systemene kunne fortelle deg hvordan applikasjoner kommuniserer. Du skal kunne definere at applikasjon A skal nås av brukergruppe B, og så må policyen håndheves konsekvent, sier han.
Sundsbø peker på at dette også gir klare gevinster i drift.
– Mindre administrasjon, færre feil og raskere respons når noe skjer. Det blir en forutsetning når kompleksiteten øker, sier han.
– Når du ikke kan patche, må du kunne isolere
Mange virksomheter, som sykehus og aktører innen kraftproduksjon, kan ikke patche kritiske systemer umiddelbart uten å risikere nedetid. Da blir evnen til å isolere og redusere risiko i mellomtiden avgjørende.
– Vi har kunder innen kritisk infrastruktur som ikke kan ta ned systemer. Da må du kunne avgrense det sårbare raskt, uten nedetid, mens du planlegger permanent patching. og isolering av administrative grensesnitt kan redusere risikoen i mellomtiden, sier Sundsbø.
Her blir også forutsigbarhet viktig.
– Før du ruller ut en ny policy, må du forstå konsekvensene. Derfor jobber vi med simulering av trafikk før og etter endringer, ved hjelp av digitale tvillinger av sikkerhetsoppsettet, slik at effekten kan vurderes på forhånd. Det reduserer risikoen for uønsket nedetid, sier han.
AI er blitt en forutsetning, ikke et tillegg
Volumet av hendelser, alarmer og endringer har blitt for stort til å håndteres manuelt. Samtidig bruker angripere i økende grad automatisering og kunstig intelligens.
– Å tro at vi kan håndtere dette uten AI, er urealistisk. Vi har ikke nok mennesker, og vi jobber ikke fort nok. Da må vi bruke AI for å forsvare oss, sier Sundsbø.
Braatveit understreker at AI bare er så god som datagrunnlaget.
– Skal du få verdi av AI, må du ha mye og god telemetri. Nettverket er en sentral kilde, fordi all trafikk går der uansett, sier han.
Start med oversikt, ikke med verktøy
Når de blir bedt om råd til virksomheter som vil ta tak i dette, går begge tilbake til det grunnleggende.
– Start med sikkerhetsarkitekturen. Hva er det du faktisk skal beskytte, og hvordan gjør du det i dag? Først da gir det mening å jobbe mer granulært, sier Braatveit.
Sundsbø viser til NSMs grunnprinsipper.
– Du kan ikke sikre det du ikke har oversikt over. Kartlegg infrastrukturen og styringssystemene dine. Det hjelper ikke å sikre hovedinngangen hvis bakdøren står åpen, sier han.
Begge trekker også frem logging som et gjennomgående svakt punkt i mange miljøer.
– Du har aldri nok logg. Aldri. Og loggene må tas vare på, slik at du ikke sitter blind den dagen noe faktisk skjer, sier Braatveit.
Til slutt peker de på konsolidering som et strategisk veivalg.
– Hvis sikkerhet fortsatt håndteres som punktløsninger, blir det vanskelig å henge med. Nå er et godt tidspunkt for å samle styringen og hente ut gevinsten av utviklingen innen policy, telemetri og automatisering, avslutter Braatveit.
