Er du glad i gaver og flott innpakningspapir? SSL er et flott gavepapir, spesielt for trusselaktører! Hva kan du gjøre?

Mange virksomheter som vi arbeider hos, sliter med å se på og analysere SSL trafikk. Hvordan kan synlighet av SSL trafikk i nettverket kobles mot rammeverk og anbefalinger som norske myndigheter har kommet med? Hvilke av disse er du pålagt å følge?

Det har siden 2018 vært mer og mer snakk om personvern. I flere diskusjoner har man dessuten fremholdt den tanken at SSL inspeksjon ikke kan gjøres pga. personvern. Er det korrekt?

Først hva er SSL/TLS?

SSL står for Secure Sockets Layer. TLS står for Transport Layer Security. Sammen danner de et fundament for sikkerhet på internett.

Sammen benyttes de som en standard sikkerhetsteknologi for å etablere en kryptert forbindelse mellom to parter. Det kan være mellom en server og klient eller mellom en webserver og en nettleser, som er mest kjent for de fleste.

SSL benyttes ofte i dag som samlebegrep om denne typen kommunikasjon.

En slik kryptert forbindelse sikrer at all data som overføres forblir privat. Integriteten til private data ligger i tilliten til de sertifikatene som benyttes for å kryptere trafikken.

SSL beskytter dataene som utveksles ved å kryptere informasjonen. Dette gjøres for å hindre uautorisert tilgang eller endringer under overføring/transport.

Sammenlign gjerne SSL med et flott gavepapir som dekker gaven du har fått. Papiret er pent, men det er først når du åpner pakken at du vet hva du har fått.

Dessverre har SSL vist seg å være en «gullgruve» for trusselaktører, og er særdeles nyttig for å kamuflere hva de «gjør» i nettet ditt.

For at en sikkerhetsløsning skal kunne inspisere SSL-trafikk for skadevare må SSL-inspeksjon aktiveres. Hvis ikke dette aktiveres vil løsningen kun logge SSL-trafikk.

Hvordan utføres SSL-inspeksjon? I all korthet består det i at brannmuren dekrypterer innholdet, sjekker for skadevare og krypterer innholdet før det sendes ut av brannmuren.

Det er også verdt å merke seg at ved å gjøre dette med en internt godkjent PKI-løsning vil også sikkerhetsløsningen kunne droppe ukjent SSL-trafikk, kryptert med ukjente sertifikater.

Nedenfor har jeg beskrevet hvorfor SSL-dekryptering er kritisk for teknisk infrastruktur og noen få referanser til hvilke lovverk og rammeverk som krever dette.

Digitaliseringsrundskrivet

For offentlige virksomheter i Norge er NSMs grunnprinsipper et pålegg som må følges. Dette kommer frem av digitaliseringsrundskrivet av 9.2.2024 Punkt 1.4 – Følg opp informasjonssikkerheten:

Krav
Departementene skal følge opp virksomhetenes informasjonssikkerhetsarbeid basert på vesentlighet og risiko, jf. økonomireglementet § 15 og Nasjonal strategi for digital sikkerhet kapittel 3 og Én digital offentlig sektor kapittel 9.

I henhold til eForvaltningsforskriften § 15 skal virksomheten ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Omfang og innretning på internkontrollen skal være tilpasset risikoen.

Anbefalinger
Veileder og dialogverktøy til oppfølging av informasjonssikkerhet i styringsdialogen mellom departementer og underliggende virksomheter finnes på nettsidene til Direktoratet for forvaltning og økonomistyring (DFØ). Veiledningen er utarbeidet av Digitaliseringsdirektoratet, NSM og DFØ.

NSM Grunnprinsipper – SSL og synlighet

Nedenfor har jeg spesifisert hvilke punkter fra NSMs grunnprinsipper som stiller krav til at SSL-dekryptering er aktivert og på plass i infrastrukturen:
(Dette er utdrag, hele teksten er mer omfattende. Uthevingen er gjort av meg.)

2.2 Etabler en sikker IKT-arkitektur

2.2.1 Etabler og vedlikehold en helhetlig sikkerhetsarkitektur som ivaretar et sikkert og forsvarbart IKT-system. Følgende funksjoner i et IKT-system bør implementeres, sikres og fungere godt sammen sikkerhetsmessig: …
g) Nettverksenheter (svitsjer, rutere, aksesspunkter) og brannmurer
h) Mekanismer for å håndtere skadevare (antivirus)
 j) Digitale sertifikater og Public Key Infrastructure (PKI)…
n) Intrusion detection (IDS) og protection (IPS) systemer
Alle funksjonene nevnt over bør kunne driftes mest mulig sentralisert og mest mulig automatisert der det er hensiktsmessig.

En sikkerhetsløsning som skal kunne detektere og stoppe skadevare, selv om denne måtte befinne seg i kryptert kommunikasjon, må ha aktivert SSL/TLS dekryptering av all kommunikasjon hele tiden.

Sikkerhetsløsningen må derfor inneha en funksjon som kalles Intrusion Detection System/Intrusion Prevention System (IDS/IPS), selv også for kryptert kommunikasjon.

2.5 Kontroller dataflyt

2.5.6  Beskytt spesielt kritiske tjenester med egen dataflyt. a) Vurder hvilke tjenester som er spesielt kritiske og som bør ha egne regler for dataflyt. Tjenesten for sikkerhetskopiering kan være et eksempel. b) Vurder validering av kritiske tjenester på applikasjonslaget, f.eks. med en applikasjonsbrannmur.

En forutsetning for å kunne inspisere applikasjoner for skadevare, spesielt mot kritiske tjenester, vil kreve SSL-dekryptering av kommunikasjonen.

I mange tilfeller er dette er også en forutsetning ved definering av tilgangsregler fra gitte brukergrupper mot applikasjonsgrupper og kritiske tjenester.

3.1 Oppdag og fjern kjente sårbarheter og trusler

3.1.3    Benytt automatisert og sentralisert verktøy for å håndtere kjente trusler (som skadevare). a) Bruk antivirus/antiskadevare, fortrinnsvis en sentralisert styrt løsning, for å oppdage og blokkere kjent skadevare som blant annet utnytter sårbarheter i e-postklienter og dokumentlesere. b) Benytt også IDS/IPS-funksjonalitet på klienter og servere. c) Hendelser fra disse verktøyene bør logges, se prinsipp 3.2 – Etabler sikkerhetsovervåkning.

Sikkerhetsløsningen bør derfor være i stand til å sjekke innhold kontinuerlig av all kommunikasjon, alle applikasjoner og alle porter. Dette betyr at kommunikasjonen må kunne dekrypteres.

En god XDR/EDR-løsning vil kunne gjøre dette. Samtidig viser punktene over at en god sikkerhetsløsning bør benyttes i tillegg slik at det kan inspiseres på flere lag.

En god sikkerhetsløsning vil ha funksjoner som f.eks. antivirus-sjekk, IDS/IPS-sjekk, URL-filtrering, anti-spyware-sjekk, og sandkasseemulering av ukjent kode, for å nevne noen.

Innsamling og analyse av sikkerhetsrelevant data kan bidra til å oppdage sikkerhetshendelser tidlig, vurdere skadeomfang og hendelsens karakter og forstå hendelsesforløpet. Tilgang på tilstrekkelig data kan være avgjørende for at virksomheten skal kunne gjenopprette normaltilstand og hindre gjentakelse av en hendelse, og det vil være viktig i forbindelse med etterforskning.

Mangelfull sikkerhetsovervåkning og deteksjon i informasjonssystemer, samt mangelfull sammenstilling og analyse av sikkerhetsrelevante data gjør at angripere kan skjule tilstedeværelse, handlinger og aktiviteter i virksomhetens informasjonssystemer. Selv om en virksomhet vet at systemer og maskiner har blitt infiltrert, vil de være blinde for detaljene i hendelsen dersom virksomheten ikke har etablert tilstrekkelige sikkerhetsovervåkning.

For å kunne ha et korrekt sikkerhetsbilde i en SOC-/SIEM-løsning er kvaliteten på loggene kritisk. Om 80 – 90% av trafikken din i brannmuren er SSL – og denne ikke blir inspisert – har du et korrekt virkelighetsbilde av hva som egentlig foregår?

Sikkerhetsløsningen bør derfor være i stand til å dekryptere all kryptert kommunikasjon. Dette gjelder både utgående, inngående og intern trafikk.

Dette gir oss optimal synlighet, muliggjør best mulig deteksjon og gir logger av høy kvalitet.

For å få til dette må sikkerhetsløsningen kontinuerlig være i stand til å dekryptere trafikken for å:

  • Innhente detaljerte HTTP header data for berikelse av analyseverktøy.
  • Sjekke all kommunikasjon, for alle IP-adresser, alle porter, med alle sikkerhetsmekanismer.
  • Se hvilken applikasjon som kommuniserer.
  • Inspisere for virus, misbruk av sårbarheter, command & control kommunikasjon, samt all URL-kommunikasjon.
  • Se hvilke filtyper som passerer, og være i stand til å selektivt kontrollere tilgangen for disse per policy.

Hva med GDPR og SSL-dekryptering?

Mange hevder at personvern trumfer SSL-dekryptering. Dette er ikke tilfellet!

Først og fremst er logging viktig. Dette kommer frem i personvernnemndas avgjørelse i sak 2024-07 hvor logging vises til som et viktig sikkerhetstiltak:

Plikten for den behandlingsansvarlige til å iverksette tekniske og organisatoriske sikkerhetstiltak følger av personvernforordningen artikkel 32, jf. artikkel 24. I artikkel 32 nr. 1 bokstav a til d er det opplistet fire eksempler på sikkerhetstiltak som kan være relevante. Tiltakene som iverksettes skal være egnede i lys av den risikoen behandlingen av personopplysningene representerer. Virksomheten skal kunne dokumentere tiltakene, jf. ansvarlighetsprinsippet i personvernforordningen artikkel 5 nr. 2.

Logging er ikke eksplisitt nevnt som eksempel på et tiltak for å ivareta personopplysningssikkerheten. Det er imidlertid ingen tvil om at logging kan være et viktig instrument for å sikre og demonstrere etterlevelse av reglene. Loggdata bidrar også til å oppdage og forebygge urettmessige oppslag og til å kontrollere om sikkerhetstiltakene knyttet til tilgangsstyring har ønsket effekt.

En avgjørelse fra datatilsynet

En avgjørelser fra Datatilsynet om tilgangsstyring og logging i helsesektoren, viser hvor viktig sikkerhetsmessige tiltak er[2]:

Etter bestemmelsen er den behandlingsansvarlige ansvarlig for og skal kunne påvise at personopplysninger behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, ved bruk av egnede tekniske eller organisatoriske tiltak.

Lovdata har også en viktig artikkel som viser hvor kritisk GDPR §32 er:

«Ifølge GDPR artikkel 32 er det påkrevd å ha tilstrekkelige tekniske og organisatoriske tiltak for å sikre et passende sikkerhetsnivå ved behandling av personopplysninger. Logging er en essensiell del av disse tiltakene.

Logging er viktig fordi det gir virksomheter mulighet til å:

  • Spore og undersøke mistenkelige aktiviteter.
  • Overvåke systemytelse og identifisere feil.
  • Overholde lovpålagte krav til sikkerhet og databeskyttelse.
  • Tilby dokumentasjon i tilfelle juridiske tvister eller etterforskninger.

Logging er et grunnleggende informasjonssikkerhetstiltak som skal være iverksatt, se for eksempel Datatilsynets overtredelsesgebyr til Østre Toten kommune.(2) Det følger også av NSMs grunnprinsipper for IKT-sikkerhet(3) at sikkerhetsovervåking (logging) er et grunnleggende sikkerhetstiltak som skal være på plass

«Vi mener imidlertid uansett at artikkel 32 kan brukes som supplerende rettsgrunnlag for det NSM beskriver som minimumstiltak i prinsippene for IKT-sikkerhet, da dette er tiltak som alltid skal være iverksatt.»

Informasjon til brukerne om GDPR

Hvordan kan man informere brukere om at sikkerhetslogging er nødvendig etter personvernforordningen(GDPR) artikkel 32?

Det kan gjøres ved at brukerne, før de logger på enhetene sine, får opp følgende melding:

Ihht. personvernforordningen (GDPR) artikkel 32 gis det informasjon om at sikkerhetslogging er aktivert på systemet. Dette for å kunne identifisere og avdekke sikkerhetshendelser og vil kun bli brukt til dette formålet. Enheten må kun brukes ihht. virksomhetens retningslinjer for bruk av IKT-systemer, enheten skal derfor ikke lånes ut til andre.

Hva kan mangel på SSL-dekryptering i logger føre til?

Til slutt er det kritisk å henvise til følgende artikkel fra Bente Hoff i NSM: Logging – Du må vite hva som skjer og hva som har skjedd – Nasjonal sikkerhetsmyndighet:

Logger kan bidra til at IKT-hendelser oppdages tidlig og at alvorlige konsekvenser reduseres eller forhindres. Manglende eller feilaktig konfigurering av logger kan føre til at angripere uoppdaget kan skjule sin tilstedeværelse i virksomhetens IKT-systemer. Logger er også et redskap for å kartlegge skadeomfanget av en hendelse og til å danne grunnlag for eventuelle rettslige forfølgelser.

For at logger skal ha en effekt må alarmer håndteres og logger må jevnlig gjennomgås av kompetente analytikere. Ikke bare må analytikere ha god teknisk innsikt. For å kunne avgjøre om uønsket aktivitet foregår må virksomheten kjenne sin egen normaltilstand slik at avvik kan oppdages.

Loggkvalitet er derfor svært viktig. Det er helt umulig å sjekke normaltilstand når trafikken ikke er dekryptert, trafikk som ikke inspiseres kan ikke sjekkes for skadevare!

I tillegg er det svært vanskelig å vite normaltilstand om du har regler som tillater kommunikasjon fra dine servere mot internett uten dekryptering av trafikk.

Så neste gang du får en pakke – fysisk eller digitalt – vær sikker på at innholdet er korrekt og samstemmer med det du forventer. Bruk de sikkerhetsmekanismene som du har.

Når det gjelder digitale pakker – aktiver SSL dekryptering!

Referanser: