Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk
Overordnet fremgangsmåde Identificér områder der hører under fundamental sikkerhed i risikovurderingen. Kontroller om versioner og hotfixes følger generelle anbefalinger. Undersøg om konfigurationen er i overensstemmelse med sikkerheds politikken (hvis en sådan findes), og om konfigurationen er i overensstemmelse med Best Practice. Undersøg om manglende, anbefalede funktioner eller beskyttelser er tilgængelige i nyere versioner eller ikke er slået til i de nuværende. Opstil eventuelt UseCases for hvordan kendte malware/bot-net/hacker angreb bliver håndteret i de forskellige sikkerheds lag. Udarbejd en GAP analyse og plan for at modernisere løsningerne.
Gartner s modenhedskurve for it sikkerhed Source: Gartner (June 2013) Kilde: Strategies for Dealing With Advanced Targeted Attacks
Fundamental Security Fysisk Virtual Private Cloud Public Cloud Network segmentation IPS Web Security Firewall Endpoint security Anti Malware Inddæmme en eventuel kompromittering til en begrænset skade
Fundamental security er modent - men ikke opdateret Analyser viser at det største problem indenfor fundamental sikkerhed er skabt af manglende vedligeholdelse samt forkert konfiguration eller pga. huller i forhold det moderne trussel billede. Det kan være på tide at foretage en modernisering, som skal sikre opdatering, udskiftning eller etablering af nye løsninger samt processer. Det hele bør starte med en analyse af den nuværende fundamentale sikkerhed Modernisering Sikkerhed Analyse Teknisk Analyse Virksomheden risiko vurdering GAP analyse Plan Opdater Udskift Etabler Dubex fundamental security
Eksempel på målsætning Baseret på GAP analysen, kan en del-målsætning ved modernisering af virksomhedens fundamentale sikkerhed være: Kun angreb med ukendt malware fra godkendte web sites eller mail domæner må kunne komme forbi disse sikkerhedslag. Kun malware der udnytter nye/ukendte sårbarheder må kunne gøre skade. Alle løsninger skal køre en anbefalet version. Alle løsninger skal som minimum have en konfiguration der følger Best practice. Afvigelser fra ovenstående skal dokumenteres og præsenteres for ledelsen.
Typisk billede Det typiske billede man møder er Konfiguration ikke vedligeholdt. Manglende opdateringer af versioner og hotfixes. Nye funktioner i løsningerne er ikke slået til. Manglende viden om udliciterede løsninger (f.eks. mail scan). Manglende overblik over sikkerhedsniveau kontra IT sikkerheds politik.
Netværks segmentering Status Trafik mellem interne netværk bliver ikke kontrolleret eller inspiceret Kritiske systemer beskyttes ikke i forhold til segmenter med brugere Uønsket aktivitet opdages ikke Anbefaling Etabler aktiv eller passiv kontrol af trafik mellem interne netværk Adskil kritiske systemer fra segmenter med lavt sikkerhedsniveau Monitorér og reager på uønsket aktivitet
IPS Status Er typisk kun konfigureret i detect mode eller med et begrænset antal beskyttelser aktiveret Ingen overvågning Ingen opfølgning på incidents Anbefaling Aktiver alle relevante beskyttelser baseret på virksomhedens infrastruktur. Foretag en vurdering af nye beskyttelser jævnligt. Monitorér og reager på events
Web Security Status Konfiguration af URL filter ikke vedligeholdt Ingen validering af links i e-mails Udelukkende baseret på kategorier Ingen HTTPS inspection Anbefaling Gennemgå URL kategorier løbende og tilpas efter virksomhedens sikkerheds politik Søg for at links og URL er valideres i flere lag Implementer anti-malware scanning af web trafik og blokér uønsket download Implementer HTTPS inspection
Firewall Status Regelsæt baseret på knop skydning Mange ubenyttede regler Manglende dokumentation og organisering Anbefaling Identificér regler der ikke benyttes eller er uhensigtsmæssige Opdel reglerne i logiske grupper så disse er nemmere at vedligeholde Implementer et change management system der gør at regler bliver dokumenterede Få eventuelt vurderet regelsættet i forhold til diverse compliance krav (Best Practice)
Endpoint Security Status Gammeldags anti-virus klient Personlig firewall uden relevante regler Ingen disk kryptering Ingen web beskyttelse uden for virksomheden Brugerne er lokale administratorer Anbefaling Implementer en anti-malware klient der har flere scannings metoder Konfigurer den personlige firewall så den giver optimal beskyttelse på usikre netværk Implementer disk kryptering på alle mobile enheder hvor kritisk data kan opbevares Sørg for at pc en har web sikkerhed uden for virksomheden Sørg for at brugerne ikke har unødvendige rettigheder
Anti Malware Status Ikke AV/AM scanning i flere lag Løsninger ikke opdaterede Manglende AV/AM på servere Uhensigtsmæssig AV/AM på virtuelle systemer Ingen sandbox teknologi Anbefaling Sørg for at der scannes for malware i flere lag Opgradér til nyeste versioner Hvis ikke der kan installeres AV/AM på servere skal der implementeres kompenserende kontroller Udskift traditionel AV/AM på virtuelle systemer med teknologi beregnet til disse Undersøg hvilke muligheder der findes for at få scannet for dag- 0 sårbarheder (sandbox teknologi)
Konklusion Det generelle sikkerhedsniveau kan næsten altid hæves betydeligt med en begrænset indsats Op mod 95% af malware/bot-net/hacker angreb bør stoppes af fundamentale sikkerhedsløsninger De fleste virksomheder har support aftaler på software og hardware Opgraderinger er inkluderede i disse Nye funktioner koster ikke (altid) ekstra Manglende ressourcer er ikke en valid undskyldning for ikke at gøre noget Dubex har en række services og ydelser der kan hjælpe Risikovurdering Managed Security Services Erfarne konsulenter
TAK! For yderligere information besøg www..dubex.dk