Efter NotPetya: Sådan bruger du netværket til at stoppe hackerne

NotPetya-malwaren var i stand til at sprede sig via lokalnetværket mellem fuldt opdaterede Windows-maskiner. Men skaden kunne have været begrænset ved at bruge netværket i forsvaret mod hackerne.

Netværk giver mulighed for at kommunikere, men denne kommunikation kan også være ondsindet. Det blev senest tydeliggjort i forbindelse med NotPetya-cyberangrebet den 27. juni, hvor malwaren udnyttede lokalnetværk til at sprede sig. Vel at mærke mellem fuldt opdaterede Windows-maskiner.

Når NotPetya var kommet ind på én maskine via en bagdør i opdateringsfunktionen til et ukrainsk program til skatteindberetninger, var den i stand til at stjæle rettigheder fra brugere og applikationer på Windows-maskinen og misbruge dem til at forsøge at inficere andre maskiner, den kunne se på lokalnetværket. På den måde spredte den sig fra Ukraine via VPN-forbindelser til globale virksomheders afdelinger i hele verden.

På den måde er NotPetya et perfekt skræmmeeksempel på, at opdateringer og en firewall ikke er tilstrækkeligt til at begrænse skaderne ved et angreb.

»Det er hårde odds, man er oppe imod. Det vælter ind med nye devices på virksomhedernes netværk, som tilhører medarbejdere, kunder og gæster. Samtidig kommunikerer applikationer med hinanden over netværket,« siger security lead Jan Bau fra Cisco.

Sikkerhedstiltag

Men netværket er et kommunikationsmedie. Det betyder, at der er afsendere, modtagere og et budskab, og dér kan man sætte ind med sikkerhedstiltag, som kan begrænse skaderne ved et angreb.

»Netværket er hele grundfundamentet, som mange griber helt forkert an sikkerhedsmæssigt,« siger Jan Bau.

For det første kan man dele sit netværk op i segmenter, så alle afdelinger, kontorer og funktioner ikke bare kan kommunikere direkte med hinanden indbyrdes. Men det er ikke nok at opstille firewalls mellem kontorerne, hvis man vil undgå et angreb og samtidig bevare den funktionalitet, som netværket giver.

I stedet bør man ifølge Jan Bau se på, hvordan netværket bliver brugt. Og det skal forstås meget bogstaveligt. Hvis man indsamler information om, hvem og hvad der kommunikerer med hinanden, hvordan de gør det, og hvad de kommunikerer om, så har man muligheden for at opdage et cyberangreb, som skiller sig ud fra det normale.

Intrusion Detection-systemer har i årevis været et redskab, som it-sikkerhedseksperter har peget på, både når det gælder avancerede hackerangreb, hvor hackerne udforsker netværket i månedsvis, og til blot at opdage, hvis en maskine er blevet kompromitteret og bliver misbrugt til eksempelvis DDoS-angreb.

Men disse systemer kan have den ulempe, at man måske nok får indsamlet en masse metadata fra netværket, men det kan være vanskeligt at finde frem til, hvad der er legitim trafik, og hvad der er et alvorligt angreb - og gøre det tids nok til at kunne reagere.

Roller og identiteter

En tilgang, som kan afhjælpe dét problem, kan være at bringe et andet sikkerhedsaspekt ind i ligningen, nemlig roller og identiteter.

»Hvis man har et softwaredefineret netværk, så får man også mulighed for at styre ud fra en rollebaseret tilgang, hvor for eksempel marketing og salg får hver deres profiler. Det skaber synlighed i data og forenkler styringen,« siger Jan Bau.

Her er der sket en betydelig udvikling i de tilgængelige værktøjer inden for den seneste årrække, men det forudsætter en investering i ressourcerne til at øge sikkerheden på denne front. De nye værktøjer til det softwaredefinerede netværk kan dog lette opgaven i forhold til tidligere.

»Det har været meget manuelt og ressourcetungt. Og hvis du så hele tiden får nye medarbejdere med nye devices, så skal du hele tiden opdatere policies,« siger Jan Bau.

Det er nemmere blot at tildele roller og administrere dem, end at holde styr på enkeltbrugere og IP-adresser. Man skal dog også være opmærksom på, at softwaredefineret netværk kommer med sine egne nye angrebsflader, som man skal sikre. Der er et kontrollag, som styrer netværket, og det kan potentielt være sårbart. Derfor skal man holde netværket opdateret på softwaresiden, ligesom det gælder alle andre applikationer.

Tilsvarende skal man også holde styr på rettighederne til at ændre i netværkskonfigurationerne. De sikkerhedsmæssige udfordringer er på sin vis ikke anderledes end uden det virtuelle, softwaredefinerede lag, men de ligger et andet sted og potentielt hos andre medarbejdere i it-organisationen.

Handler om synlighed

Under alle omstændigheder, så har årevis med forskellige former for it-angreb vist, at identiteter og rettigheder er helt centralt for it-sikkerheden. Det gælder både for begrænsning af rettigheder på klienterne, men også i, hvad en bruger eller en applikation kan foretage sig i det samlede system over netværket.

»Det handler om at få skabt synlighed, hvor man kan kontrollere, hvad brugere og applikationer tilgår. Den information skal samles op og analyseres, så man kan få nogle automatiserede signaler om, hvorvidt man har set et givent mønster før,« siger Jan Bau.

Målet for hackerne og malware-bagmændene er som regel at undgå at blive opdaget - i hvert fald før de har udført deres angreb. Derfor er det ikke sikkert, at illegal aktivitet kan opdages med det blotte øje i logfilerne, men kræver en mere maskinel analyse, som kan slå alarm, hvis der er mønstre, som enten skiller sig ud fra det, man normalt ville forvente, eller ligefrem ligner noget fra et kendt angreb. Tiden kan også være en faktor, hvis man skal nå at gribe ind.

»Det gælder om at forstå, hvad der foregår lige nu, men samtidig undgå falske positiver. Manuelt kan du måske se et trafikflow, men du kan ikke forstå mønstrene. Og vi må forvente, at angrebene bliver mere sofistikerede,« siger Jan Bau.

Cloud kan være en løsning

En løsning kan være at vælge én af de cloud-baserede udbydere af netværkssikkerhed, hvor man har muligheden for at udnytte, at deres overvågningssystemer ser data fra mange organisationer, og dermed også ser både flere angreb og flere falske positiver og kan rette ind.

Derudover bør man ifølge Jan Bau også vælge en firewall, hvor der kan køre både malware- og DNS-beskyttelse. Hvis man er en mindre organisation, så kan det igen være en fordel at bruge en cloud-baseret eller stærkt automatiseret løsning, så man får alarmer, man kan reagere på, eller systemet selv kan sætte noget, der ligner malware eller forsøg på at udnytte sikkerhedshuller, under observation.

Fordelen ved at flytte netværkssikkerheden over i softwarelaget er, at det bliver muligt at oprette nye netværkssegmenter og adskille interne servere fra net med eksterne forbindelse, uden at skulle investere i firewalls eller andet udstyr, men blot kan sætte det som en regel eller policy på netværket.

Det forudsætter, at man gør det på en sikker måde og holder softwaren opdateret, men hvis det til gengæld betyder, at man faktisk får indført en mere stringent adskillelse mellem forskellige dele af netværket, så kan man begrænse skaden.

Man kan således indkapsle et angreb, så hvis én afdeling eller et netværk bliver ramt, så spreder angrebet sig ikke let til resten af organisationen. Dermed er skaderne mindre, og det går hurtigere med at genetablere alt.

For it-organisationen er det væsentligt at være opmærksom på, at kompleksiteten stiger i takt med, at der både er flere kategorier af brugere og af netværk. Medarbejderen, som er til konference i udlandet og logger på hotellets wifi kan måske ikke altid bruge vpn. Tilsvarende kan det være, at dit eget trådløse netværk skal bruges både af kunder og af partnere, som begge har behov for mere adgang end en almindelig gæst, men ikke den samme udvidede adgang.

»Men uanset om du logger på trådløst eller med eller uden vpn, så er du en fysisk rolle,« siger Jan Bau.

Derfor giver det ifølge ham bedst mening at opbygge netværkssikkerheden omkring brugernes roller, snarere end at opsætte forskellige trådløse netværk til alle tænkelige scenarier.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kenneth Andersen

Tjo, men jeg synes nu, der mangler en del eksempler på helt konkrete løsningsmuligheder.
Er subnetting med gruppeinddeling af brugerne nok? Eller skal man investere i programmer til at varetage sikkerheden? I så fald: hvilke programmer kunne det være?

Michael Cederberg

Jeg skal ikke forholde mig til om den ene eller anden teknik er "den rigtige". At en Cisco mand peger på løsninger hvor Cisco er stærke er ikke overraskende.

Men at vi skal have security in depth er åbenlyst. Man kan ikke tro at blot ved at have en ydre firewall, opdaterede systemer samt styr på access control, at ens systemer så er sikre. Man er nødt til at micro-opdele netværket sådan at kun trafik som eksplicit er tilvalgt kan foregå.

Ovenstående gælder for virksomheder, men bør faktisk også gælde for private. For det kan ikke nytte noget at mit oldgamle netværkskamera, som leverandøren stoppede med at opdatere for år tilbage, i princippet kan tilgå alting på mit netværk. Og det bliver kun værre efterhånden som flere og flere ting kommer på nettet. Min hjemme router uddeler ca. 60 IP adresser. Som computer-nørd mener jeg selv at jeg ved hvad hver eneste device laver og hvorvidt den er opdateret. Hvor mange almindelige danskere kan sige det samme?

For private er problemet at man ikke kan forvente almindelige mennesker vil sætte sig ind i IP adresser, porte, VPN, VLAN, routing, NAT, firewalls, etc. Hvordan laver vi noget som fru Olsen kan finde ud af? Hvordan sikrer vi at når hun køber en badevægt som har internet features, at den så kun får adgang til det nødvendige? I mine øjne er vi på samme sted med vores hjemmenetværk, som dengang Microsoft gjorde det nemt for Windows 95 maskiner at kommer på nettet – uden at disse i øvrigt var designet til at leve i en ond og brutal verden.

HW Jensen

Det er jo tydeligt hvor det bærer hen af: Endnu mere komplekse net konfigurationer, med marginale sikkerhedsgevinster.

Det er et våbenkapløb og i sidste ende vil den enkelte defensive spiller tabe. Ideen om at flytte angrebet over til naboen fungerer fint ind til det er dig der er naboen.

Der findes ikke nogen endelig løsning, kun erkendelsen af at slaget er tabt, og
denne erkendelse åbner for muligheden for en realistisk billede af hvad sikkerhed betyder for dig.

Klavs Klavsen

Man kan rimelig simpelt på de fleste switch typer (af managed typen) isolere hver port - så den KUN kan snakke med uplink porten.
se f.ex. https://documentation.meraki.com/MS/Port_and_VLAN_Configuration/Restrict... (første hit jeg lige så)

Det er ganske effektivt til at forhindre spredning på lokalnet og rimelig simpelt.
Alle services pc'erne skal anvende BØR ligge på et andet netværk end desktop netværket.

Michael Cederberg

Det er jo tydeligt hvor det bærer hen af: Endnu mere komplekse net konfigurationer, med marginale sikkerhedsgevinster.

At sikkerhedsgevinsterne er marginale kunne jeg godt ønske mig du argumenterede lidt mere for. I mine øjne er de meget store. Hvis to computere ikke kan se hinanden så har de meget svært ved at inficere hinanden (selvom det ikke er 100% bulletproof).

Det er et våbenkapløb og i sidste ende vil den enkelte defensive spiller tabe. Ideen om at flytte angrebet over til naboen fungerer fint ind til det er dig der er naboen.

Alternativt så kan man gøre det så svært at lave den slags skidt at IzNoGood lader være. Det er set på andre områder. Men hvis man tror din defaitiske argumentation, så må vi opgive at have privat information på computere der er tilknyttet internettet. Det vil give et gigantisk produktivitetstab for mange virksomheder.

Man kan rimelig simpelt på de fleste switch typer (af managed typen) isolere hver port - så den KUN kan snakke med uplink porten.

Min viden om det her er temmelig forældet, men jeg tror Cisco manden gerne vil sælge et produkt hvor man centralt mapper services og brugere af services. Det kan så rulles ud til alle netværkskomponenter. Altså at man hæver abstraktionsniveauet når det gælder netværksadministration fra at handle om MAC adresser, IP adresser, porte, VLANs etc. til at handle om services, brugere og roller.

Uden at hæve abstraktionsniveauet så dør vi i kompleksitet. Dette er i øvrigt ikke anderledes end vi har set det på mange andre områder indenfor IT.

Det er ganske effektivt til at forhindre spredning på lokalnet og rimelig simpelt.
Alle services pc'erne skal anvende BØR ligge på et andet netværk end desktop netværket.

I et stort netværk er det vigtigt at gå langt videre end det. To servere må kun kunne se hinanden, hvis de har noget at tale om. Og der må kun være åbnet for lige præcist det som der er behov for.

Klavs Klavsen

I et stort netværk er det vigtigt at gå langt videre end det. To servere må kun kunne se hinanden, hvis de har noget at tale om. Og der må kun være åbnet for lige præcist det som der er behov for.


Hvilket var PRÆCIST hvad jeg beskrev.. sørg for at alle (desktops i mit eksempel) KUN kan snakke med uplink - og at de ikke er på samme netværk som det de skal snakke med (fordi så er der en noget der kan sikre der kun er åbent for det nødvendige og evt. kan lave IDS osv. imellem.

Principle of Least privilege.. på netværksniveau - hvis der ikke er behov for noget - skal det ikke være åbent. Jeg anvender selv systemkonfigurationsværktøjer til at sikre at alle hosts også er firewall'ed helt præcist - det er ganske nemt, når man bare kan lave et parameter baseret systemkonfigurationsregelsæt og så bliver det implementeret på alle servere.

HW Jensen

@Michael: Jeg har åbenbart ikke formuleret mig præcist nok.

Når jeg siger at fordelen er marginal, er det fordi det for en helhedsbetragtning er et spørsmål om at man blokerer en enkelt angrebs vektor, men alle de andre er der stadig. Desuden: jo mere komplekst netværket bliver jo større bliver risikoen for at der opstår angrebsvektorer vi ikke er bevidst om, og tiltag som det her vil øge kompleksiteten. Øget kompleksitet vil i øvrigt også øge risikoen for fejl hvilket helt klart øger risikoen for et angreb.

Min mening er selvfølgelig ikke at man skal opgive at beskytte sig. Min mening er at effektiv beskyttelse kræver at man tænker i andre baner end bare at læsse flere funktioner på netværket og tro at angriberne så bare pakker sammen. F. eks. kan man prioritere hvad det er man vil beskytte og så vælge at beskytte det prioriterede på en enkel måde som måske er besværlig men enkel og effektiv.

Michael Cederberg

Hvilket var PRÆCIST hvad jeg beskrev.. sørg for at alle (desktops i mit eksempel) KUN kan snakke med uplink - og at de ikke er på samme netværk som det de skal snakke med (fordi så er der en noget der kan sikre der kun er åbent for det nødvendige og evt. kan lave IDS osv. imellem.

Så kan det være jeg ikke forstår helt hvad du skriver. Bliver det ikke et gigantisk arbejde hvis man har et setup med 100 servere som alle samme laver noget forskelligt og som har behov for at connecte til hinanden i varierende mønstre?

Desuden: jo mere komplekst netværket bliver jo større bliver risikoen for at der opstår angrebsvektorer vi ikke er bevidst om, og tiltag som det her vil øge kompleksiteten. Øget kompleksitet vil i øvrigt også øge risikoen for fejl hvilket helt klart øger risikoen for et angreb.

I dag har mange virksomheder ingen opdeling. Alt er det samme net eller blot en opdeling i workstations og servere. Måske også et DMZ. Jeg kan ikke se hvordan en opdeling på nogen måde giver flere angrebsvektorer – selv hvis nogen vælger at angribe selve netværksinfrastrukturen, så er man bare tilbage hvor man er i dag.

Problemet med øget kompleksitet er i højere grad at det kan ramme den almindelige operation af netværket. Hvis man hæver abstraktionsniveauet når det gælder netværkskonfiguration, så bør man kunne reducere kompleksiteten. Ikke anderledes end at skiftet fra maskinkode til mere og mere højniveauprogrammeringssprog tillader os at skrive større og større programmer.

Min mening er selvfølgelig ikke at man skal opgive at beskytte sig. Min mening er at effektiv beskyttelse kræver at man tænker i andre baner end bare at læsse flere funktioner på netværket og tro at angriberne så bare pakker sammen.

Opdeling af netværket er som at sætte vægge og døre med låse på op inde i en bygning. Det giver et niveau af sikkerhed, men kan selvfølgeligt ikke stå alene. Men det kan hjælpe til at begrænse angreb til mindre dele af virksomheder. Blot det har stor værdi i sig selv. I tilfældet NotPetay, så er jeg ret sikker på at de berørte virksomheder hellere ville arbejde med problemer på 10% af virksomhedens computere end på 99% …

F. eks. kan man prioritere hvad det er man vil beskytte og så vælge at beskytte det prioriterede på en enkel måde som måske er besværlig men enkel og effektiv.

Problemet med det er bare at så skal du acceptere har du lige pludseligt computere på netværket som er under kontrol af hackere. Jeg kan ikke forestille mig nogen virksomhed acceptere den slags.

HW Jensen

@Michael:
Det er nok i høj grad et spørgsmål om perspektiv: Søger man en teknisk løsning, eller ser man problemet som et spil med tab og udbytte?

Man kan vel sige at opdelingen af netværket kan anvendes til at nedbringe kompleksiteten hvis det er der fokus ligger, og så er vi ikke uenige. Jeg har bare set så mange situationer hvor de mest banale ændringer i firewalls endte med at tage lang tid og være meget dyrt fordi det tilsyneladende var meget svært at overskue. Og den slags er i mine øjne sikkerhedsmæssigt farligt.

Povl H. Pedersen

Netværkssegmentering er det man som minimum bør starte med. Det gør det lettere at implementere regler.

Regler kan implementeres enten på netværksudstyr eller på de enkelte maskiner (lokal firewall, iptables etc), så man kun udbyder de nødvendige services til de nødvendige klientsegmenter (eller maskiner).

Det kræver intet avanceret at administrere det på maskiner, og enhver router kan også gøre det.

Erfaring viser dog, at leverandørerne ikke får dokumentret hvad de har behov for af porte, og selvom de har dokumenteret det er det ofte ufuldstændigt. Og hvis man følger leverandørens anbefalinger, og implementerer de sikkerhedstiltag som leverandøren anbefaler, så er der ofte problemer når leverandørens produkt x og y skal tale sammen.

Man kan sagtens forbedre sikkerheden rigtigt meget med segmentering og regler. Problemet er bare at software vendors ikke er helt klar endnu.

Dette er sagt af en der har haft relativ fint granuleret segmentering / intern firewalling de sidste 10-15 år. Det er ikke nyt, og konceptet har været best practice i mange mange år (mindst 20 år).

Problemet er, at best practice sjældent ses implementeret i virkeligheden, men de fleste går efter lowest common sense eller lavere, også kaldet common practice. Og de tror at common practice = best practice, og det er det IKKE.

Næste, næste, finsk er IKKE best practice. Det er worst practice, da det betyder at man ikke forholder sig til noget.

Log ind eller Opret konto for at kommentere