Jeg ble lurt


Denne ukens mest interessante og lærerike opplevelse, var å være mottager av et angrep. Det var godt å se at etablerte tiltak stoppet det, men også en øyneåpner.

Jeg ble lurt


Denne ukens mest interessante og lærerike opplevelse, var å være mottager av et angrep. Det var godt å se at etablerte tiltak stoppet det, men også en øyneåpner.

Hendelsen startet med at jeg mottok en mail fra daglig leder i reisebyrået vi bruker. En del av forklaringen på at den gikk under radaren, er at jeg faktisk ventet et dokument fra han. Mailen var formulert på akseptabel norsk, med hans mailsignatur etc. Selv om jeg stusset på en av formuleringene, var det ikke nok til å øke bevissthetsnivået. I mailen lå filen tilsynelatende delt som et OneDrive dokument, og følgelig måtte jeg gjennom en autentiseringsprosess for å få tilgang. Ikke noe uvanlig i det, men det gav ingen fil som resultat. Jeg stoppet derfor etter to forsøk, og sendte en mail til han om at jeg ikke hadde fått filen.

Rundt klokken 1600 var jeg borte fra PC’en, men Microsoft Authenticator appen varslet om at jeg var i gang med en pålogging. Avslo selvfølgelig, og funderte litt på hvorfor den varslet. Rett etter ringte telefonen med en samtale fra USA. Tok ikke imot den, ettersom telefoner derfra som regel er uønskede salgshenvendelser. Jeg googlet nummeret: «Microsoft Authenticator Phone service». Da begynte det endelig å gå opp for meg hva dette trolig handlet om, og tankene returnerte til mailen fra reisebyrået. Det gikk opp for meg at jeg hadde blitt lurt til å gi fra meg brukernavn og passord.

Jeg skiftet passord på kontoen umiddelbart, og startet en dialog med noen av våre sikkerhetskyndige konsulenter. Vi bruker Office 365 og Azure AD P2 som innebærer ekstra sikkerhetsbarrierer, to-faktor autentisering og brukbare rapporter om hva som skjer. Fant frem den angjeldende mailen, og så at den i ettertid var gjenkjent og prosessert av Microsoft. Nå lå det med en tekstfil med tittel «Zero Hour Auto Purge – Malware Alert Text». «Zero Hour» er en indikasjon på hvorfor den slapp gjennom. Det er et begrep som brukes om angrepsmetoder eller signaturer som ikke er kjent av forsvarsmekanismene fra før.

Rapporteringen viste at vi på min konto hadde hatt innloggingsforsøk fra Amsterdam og Ghana. Det eneste som forhindret full tilgang, er at vi har to-faktor autentisering på våre systemer. Det er også poenget med å formidle denne historien.

For den som er ukjent med begrepet to-faktor, betyr det at man innfører et element til påloggingsprosessen ut over brukernavn og passord. To-faktor er relativt enkelt å etablere, selv for systemer som ikke har direkte støtte for det. Vi ser alt for mange systemer som mangler denne vesentlige barrieren, og de er åpenbare og hyppige mål for denne type angrep. Som daglig leder i Sicra er jeg godt kjent med risiko og angrepsmetode, men jeg gjenkjente ikke dette som et angrep før jeg hadde gitt fra meg brukernavn og passord. Det er nok mange uten to-faktor autentisering som aldri ville ha oppdaget at de hadde gitt fra seg nøklene til kongeriket. Vi har selvsagt varslet reiseselskapet, og bedt det informere relevante parter om kompromitteringen.

Om du trenger assistanse til å sjekke eller etablere to-faktor, ta kontakt. For mer informasjon om to-faktor se NSM side https://nsm.stat.no/aktuelt/passordanbefalinger-fra-nasjonal-sikkerhetsmyndighet/

4 nyttårsforsetter for IT-sikkerhet i 2018


4 nyttårsforsetter for IT-sikkerhet i 2018


4 nyttårsforsetter du burde har for IT-miljøet ditt i 2018. Som ikke er altfor vanskelig å få gjennomført.

Holde maskin- og programvare oppdatert. Windows 10 er langt sikrere enn noe annet klient operativsystem i et enterprisemiljø. Og det holdes oppdatert i de fleste tilfeller. Det gjelder ikke alltid for 3djparts programvare. Og nesten aldri for maskinvare firmware (bios) og drivere. Lag en strategi og rutine for å holde tritt med oppdateringene som kommer. Den eneste måten å gjøre det i tempoet som kommer nå er å sentralisere løsningen. Vi foreslår SCCM https://sicra.no/2017/09/bruke-sccm-til-windows-oppdateringer/

Blokker kjøring av ikke-autoriserte programmer. Applikasjons hvitlisting er både det enkleste, men også det mest kompliserte måten å sikre seg mot ransomware. Hvitlisting av applikasjoner vil stoppe alle uautoriserte programmer fra å kjøre på maskinene. Men kan være tungt å administere med Applocker. Men det finnes enklere løsninger for å administrere hvitlisting som Ivanti application manager som vi har beskrevet her: https://sicra.no/2016/12/ransomware-beskyttelse-som-virker/

Innfør 2-faktor autentisering. Er blitt et naturlig krav på internett for autentisering. Og nå som mer og mer av dataen ikke finnes på maskiner i ditt datasenter men i skyen et sted så man være sikker på at brukeren som kommer til den er rett person. Om dere har Netscaler så er det nå 2-faktor innebygget. https://sicra.no/2017/08/netscaler-innebygget-2-faktor-autentisering/ Les også om hvordan NetScaler tilbyr en brukervennelig pålogging (SSO) til Cloud applikasjoner. https://sicra.no/2017/06/saml-identitet-og-autentisering/

Finn noe som gjør «vondt» for brukerene og fiks det. Vi er alle opptatte mennesker, og utviklingen går stadig raskere. Pusterommene mellom kravene som kommer fra forretningen, sikkerhet og ledelse blir mindre. Men brukeren har ofte noen små «painpoints» som vi kan fikse relativt enkelt. Det kan være treg outlook. Tilgang til appliaksjoner når de er på farten eller trege apliaksjoner. Finn ut hva du kan fikse med enkle midler og sett av tid til å få det gjort.

Mange har tatt i bruk skytjenester i løpet av 2017. Dette innfører en del nye utfordringer. Husk å de fleste skyleverandører tar et definert sikkerhetsansvar, som ikke nødvendigvis dekker helheten som man som bruker trenger å tenke på.

Ta gjerne kontakt med oss for å få hjelp til å holde nyttårsforsettene eller for å lage andre.

 

SAML – NetScaler Identitet og autentisering


Vi leverer for tiden i en hybrid verden. Applikasjoner leveres som SaaS tjenester, produseres på egne datasenter eller i Public Cloud IaaS. I en slik virkelighet blir autentisering, identitetsbrokering og en sømløs og sikker opplevelse for brukeren vesentlig. Vi har erfaring med disse utfordringene, og bruker ofte NetScaler som verktøyet hvor vi syr dette sammen. I denne artikkelen forklarer Kai Thorsrud litt om hvordan vi kan bidra til enklere, sikrere og bedre opplevelser i en slik hybrid tilværelse.

Netscaler Cloud Gateway
Netscaler kan med fordel benyttes som en SAML Service Provider og eller Identity Provider. Den er en fleksibel autentiserings-proxy som fungerer svært godt mot public cloud. Vi bruker den for å tilby brukervennlig pålogging (SSO) til arbeidsflater som kombinerer tradisjonelle og cloud applikasjoner. Man kan eksponere interne web applikasjoner på en sikker måte og skjule interne URLs, samtidig som man samler public cloud og personlige web applikasjoner under en flate. Det er problemfritt å publisere tradisjonelle windows applikasjoner ved å benytte Citrix XenApp / XenDesktop i samme portal.

Investering i Netscaler vil også kunne videreføres i en fully managed cloud solution i Azure. Microsoft har erstattet sin RDP funksjonalitet og tilsvarende gateway funksjoner for å samle dette i form av en fully managed Netscaler, hvor de tilbyr en geo aware tjeneste med 12 Access Points globalt med en rask tilgang til dine applikasjoner.

Fordeler ved å benytte Netscaler for SAML

Netscaler tilbyr en regelbasert autentisering. Andre løsninger er ofte bundet til ett autentiserings-oppsett på frontend og backend, i ett fast prekonfigurert mønster. Ønsker man å tilpasse autentisering ved å gjøre annen back end autentisering eller annen front end autentisering for en applikasjon må man ha en instans per konfigurasjon.

I Netscaler gjøres alt dette dynamisk og under ett grensesnitt og en konfigurasjon. I tillegg kan man også dra nytte av flere avanserte funksjoner som følgende faktorer.

GeoLocation
Netscaler har GeoLocation funksjonalitet og leveres med en Location Database som identifiserer hvilke land du kommer fra eller hvilken region du kommer fra. Databasen er MaxMind sin lite database. Det er mulig å kjøpe Max Mind sin fulle database og importere dette for mer detaljert Geo Location. Den inkluderte databasen gir deg god mulighet til å identifisere hvilket land påloggingen utføres fra.

Eksempler på hvordan Geo Location kan være endel av pålogging
• Kreve ToFaktor fra enkelte Land (Netscaler kommer snart med gratis sms tokens inkludert. Netscaler støtter i dag integrasjon mot de fleste tofaktor løsninger)
• Nekte pålogging fra enkelte Land

IP Reputation
Netscaler har mulighet for å benytte IP Reputation databaser og man kan benytte IP Reputation som en faktor ved pålogging hvor man kan kreve ekstra identifisering eller nekte identifisering hvis pålogging forsøkes fra IP Addresser med dårlig rating. Man kan også aktivere ekstra logging for pålogging fra IP Addresser med dårlig reputation.

End Point Analysis
Netscaler har en End Point Analysis engine som benyttes sammen med tykk VPN Klient. For å kunne gjøre full End Point Analysis kreves det at man benytter VPN Klient for oppkobling. VPN Klient kan automatisk installeres fra tjeneste URL. Det er mulig å benytte End Point Analysis som en faktor ved pålogging, hvor pålogging kun tillates via VPN om man oppfyller kriterier for Anti Virus eller andre End Point kontroller.

Bruk av Netscaler Advanced Expressions under pålogging
Man kan benytte Netscaler Advanced Expressions som endel av påloggings kriterier. Dette gir utallige muligheter ved pålogging som å begrense pålogging på enkelte dager, enkelte tidspunkt. Sende deg til forskjellige IDP basert på domenenavn i epost addresse.

Generelle fordeler ved å benytte Netscaler til pålogging / SSO
Netscaler har en svært fleksibel autentiserings-engine som gjør at man kan lage ett back end autentiserings design for SSO inn mot on premise miljøer og deretter plugge på forskjellige front end autentiserings engines i forkant av applikasjonen. Dette gjør at man f.eks kan velge å la 3rd parties / samarbeidspartnere utnytte konseptet «bring your own identity» og ved attributter gjøre sømløs SSO inn mot on premise miljø.

Eksempler er å tillate login mot on premise miljø med OKTA Identity Provider i forkant hvor kan legger ved «internt» brukernavn som en SAML attributt. Brukeren kan da logge på med Okta SAML identity som ”kai@sicra.no”, hvor brukernavn ”kaithors” sendes som en SAML Attributt og deretter benyttes ved SSO inn i ett tradisjonellt on premise miljø. Videre kan man benytte samme back end autentisering mot en annen leverandørs «client certificate» baserte autentisering i front end hvor da internt brukernavn leveres som en attributt på sertifikatet.

Netscaler er ikke «Nok en ny interrim løsning»
Netscaler som applikasjons leveranse konsept er noe vi ser benyttes mer og mer av forskjellige leverandører for fremtiden

  • Microsoft benyttes Netscaler i Azure som en Identity Proxy og har sluttet utvikling av eget produkt til fordel for samarbeid med Citrix.
  • Google Elastic Cloud har utviklet hva de kaller «BeyondCorp VPN» som er en klientløs VPN strategi. Ser du hvordan BeyondCorp VPN fungerer er dette som kopiert fra en Netscaler. Google Kaller dette IAP, Identity Autentication Proxy og selges som det nye ”hotte” av aksess teknologier

Netscaler er videre også ranket som nummer 3 av Web Application Firewalls av gartner group i tillegg til å være ranket som nummer to av application delivery controllers av Gartner.

Netscaler har også en meget god arkitekturfordel i forhold til konkurrerende løsninger, ved at Netscaler hele tiden har vært basert på software og ikke ASIC plattform. Dette gjør at Netscaler har ett binary image identisk på tvers av alle plattformer.