Internt sikkerhetsarbeid


Litt om hva vi har jobbet med for å skjerpe egen sikkerhet


Litt om hva vi har jobbet med for å skjerpe egen sikkerhet

Vi har alle blitt forferdet over nyhetsbildet fra Ukraina de siste ukene. Sikkerhetssituasjonen i Europa kan best beskrives som uoversiktlig, og dette gjelder særlig for oss som jobber innenfor områder som informasjons- og applikasjonssikkerhet. Som en direkte nabo av Russland, og som en viktig leverandør av olje, gass og energi har Norge blitt et større og viktigere mål for digitale trusselaktører. Det er ikke bare selskaper og organisasjoner som jobber direkte med kritiske tjenester og eksportvarer som er attraktive for trusselaktørene, det er også selskaper som er tjenesteleverandører til disse. Vi har tatt situasjonen innover oss. Allerede før invasjonen av Ukraina begynte vi å stramme vår egen sikkerhet ytterligere slik at vi kan fortsette å levere tjenester på en sikker måte.

Identitet som sikkerhetsperimeter

Sicra har ingen tradisjonell IT løsning «på bakken». Våre systemer leveres fra skyen som IaaS, PaaS og SaaS tjenester. Dette krever en litt annen metodikk for sikkerheten. Vi har ingen «borg» som kollegaer i tidligere artikler har beskrevet den tradisjonelle brannmuren som. Våre konsulenter jobber enten ute hos kunder eller fra hjemmekontor. Vår «borg» er vår identitet, den vi benytter for å logge på de ulike skytjenestene.

Zero Trust er et prinsipp som mange har hørt tidligere, og som både leverandører og konsulentselskaper har blogget og snakket om en stund. Vi har nå strammet til våre Conditional Access Policyer slik at de understøtter dette prinsippet enda tydeligere. Zero Trust betyr i bunn og grunn – ikke stol på noe eller noen. Null tillit, direkte oversatt. Hva betyr egentlig det i praksis og hva har vi gjort konkret?

Blanke ark og fargestifter

Ofte, når vi jobber remote, gir kundene oss tilgang via VPN til deres systemer. VPN er en tradisjonell teknologi, og har ikke kunden gjort ting helt som anbefalt gjennom segmentering, gis man tilgang til hele nettverket. For å sikre at sårbarheter og grums ikke kan flyttes fra en kunde til en annen som benytter VPN, benytter vi dedikerte virtuelle maskiner med VPN klient for hver kunde vi jobber med. Skulle det komme noe grums, enten fra vår side eller fra en kunde, kan ikke dette uten videre flyte videre til en annen kunde.

Tilgang etter at tillit er etablert

En gjennomgang av Conditional Access viste forbedringspotensialet. Alle enheter vi benytter i arbeidet er kjente enheter og som vi stoler på. Dette gjøres ved at ALLE enheter, PC-er, mobiler og virtuelle maskiner rulles inn i Endpoint Manager (Intune) slik at de kan administreres og er kjente. Deretter har vi valgt å kategorisere alle brukerobjekter i Azure Active Directory (AAD) etter roller. Gjester, fast ansatte, administratorer og andre ble kategorisert slik at de ulike rollene kan underlegges ulike policyer. Noen av Conditional Access policyene skal treffe alle, uansett rolle og enhet, og er dermed en global policy. Det er viktig å huske på at Conditional Access ikke har en implisitt «deny all» regel. Det er både åpenbart og lett å glemme på samme tid. Rent konkret har vi blant annet gjort følgende:

  1. Alle brukere må tilhøre en definert rolle før de gis tilgang.
  2. Alle ansatte må logge på fra en kjent enhet som er «compliant» og ikke har noen risikoer knyttet til seg.
  3. Enheter av en type vi ikke forventer er aktivt blokkert. Ref den manglende «deny all» reglen.
  4. Endring av sikkerhetsinformasjon (endre eller legge til påloggingsmetoder) kan kun gjøres fra en kjent og compliant enhet.
  5. Blokkert pålogging fra land vi ikke forventer at våre ansatte eller brukere logger på fra.

Vi vet nå at både brukeren og enheten som logger på våre systemer er kjente og godkjente. Mange som jobber med Conditional Access vet at dette ikke er løsningen på alt. Conditional Access benytter signaler fra Azure Identity Protection, Endpoint Manager, Defender for Cloud Apps og mange andre tjenester for å ta beslutninger. Alt henger sammen og gjør noen ganger at det kan være vanskelig å få en total oversikt. Det er viktig å samarbeide på tvers av team med sikkerhetsadministratorer og klient- og applikasjonsadministratorer. Arbeidet med Conditional Access har resultert i et rammeverk og anbefalinger våre konsulenter benytter som mal og anbefalinger for våre kunder.

Sikkerhetsansvar kan ikke outsources

For en stund siden in-sourcet vi og tok ansvar for vår egen informasjonssikkerhet. Dette var tidligere kjøpt som en tjeneste. Det viste seg raskt at dette var et godt valg. Mange har outsourcet IT-tjenester. Etter en gjennomgang av både vår egen sikkerhet, og erfaringer fra kunder, viser det seg dessverre at å overlevere ansvaret til andre og ikke ta et aktivt ansvar for sikkerheten kan gi et falskt inntrykk av at sikkerheten er god. Ved gjennomgang av sikkerheten på enhetene våre var det en del ting som kunne gjøres bedre. Ved å benytte Defender for Endpoint og har vi både fått verdifull innsikt og kunnet automatisere oppgaver med hjelp av informasjonen som hentes inn. Vi benytter også signaler fra Defender for Endpoint for å avgjøre om en enhet er compliant eller ikke. Har Defender for Endpoint oppdaget noe grums på maskinen vår er den ikke lenger godkjent og inntil det har blitt ryddet opp, må vi benytte web-versjoner av f.eks. Microsoft 365 som er overvåket med Defender for Cloud Apps og med noe begrenset funksjonalitet. Håndholdte enheter, som mobiltelefoner og nettbrett, har også fått en liten overhaling. Bedriftsdata er nå begrenset og kan kun flyttes mellom godkjente og kontrollerte apper på enheten.

Arbeidet fortsetter

Over har jeg beskrevet noe av det vi har gjort for å øke vår egen sikkerhet. Vi har fortsatt en vei å gå, sikkerhet er en jobb du aldri blir ferdig med. Nye trussel-aktører utvikler nye metoder, programvareleverandørene er flinke til å holde oss i arbeid med sårbarheter som oppdages. Tiltakene våre evalueres og tilpasses som en del av prosessen. Noen av tiltakene har kommet for å bli, andre kan kanskje fjernes når situasjonen i Europa forhåpentligvis stabiliserer seg. Det er viktigere enn noensinne å ta et aktivt ansvar for egen informasjonssikkerhet. Vi i Norge har en grunnleggende tillit til hverandre og metodikk som sier at vi ikke kan stole på noen eller noe rokker ved vår natur. Noen vil sikkert si at verden og internett alltid har vært fullt av drager, jeg er en av dem, og i det siste har vi sett kanskje den farligste av dem utøve terror både mot menneskeheten og digitale systemer. Det er på overtid å forsterke din borg!