Datalog: Ingen it-afdeling aner, hvor mange cloud-applikationer de ansatte bruger

It-trusselsbilledet forværres af, at medarbejderne i stor stil selv køber egne cloudbaserede programmer, lyder det fra it-fagmand.

Infosecurity, København. It-chefen ser ofte kun toppen af isbjerget, når det handler om at danne sig at overblik over, hvilke programmer medarbejderne benytter sig af.

Det udgør en af de store udfordringer i dagens it-sikkerhedsmæssige trusselsbillede, fortalte datalog og chief strategy officer David Hald, Censornet, på it-sikkerhedskonferencen Infosecurity, som netop nu afvikles i Øksnehallen i København.

»Medarbejderne har pludselig en masse kontrol, som tidligere lå i hænderne på it-delingen. Det skyldes, at enhver med kreditkort kan købe adgang til super løsninger, f.eks. Dropbox,« sagde han.

Et konkret eksempel er en virksomhed, hvor man fra centralt hold mente, at man gjorde brug af 19 cloudbaserede applikationer, men ved nærmere eftersyn viste det sig, at medarbejderne havde købt over 900 forskellige løsninger.

»Der er ingen virksomheder, der ikke bliver overraskede over, hvor mange cloud-applikationer, der reelt er brug,« sagde David Hald.

De onde er langt flere end de gode

Kombineret med, at ’the bad guys’ derude ifølge David Hald er ’rigtig, rigtig skarpe’ og har en størrelse, der er 10 gange større end den samlede it-sikkerhedsbranche, er truslen til at tage og føle på.

»Vi er nødt til at uddanne vores brugere, og vi er nødt til at træne dem. Mange it-afdelinger siger, at 'det har vi prøvet, men mine brugere er de dummeste i verden'. Men der skal ske en kulturændring,« understregede David Hald og sammenlignede det med, at ingen medarbejder kunne finde på at forlade virksomheden rent fysisk uden at låse døren.

Problematikken bliver kun værre, når flodbølgen af IoT-enheder begynder at dukke op.

Indsatsen mod den stigende trussel skal ske med en matrix af sikkerhedsløsninger. Blandt andet er det muligt rent teknisk at erstatte traditionel filtrering af ens trafik i en proxy-server med en enhed, der styrer, hvornår en bruger må få direkte adgang til en cloud-applikation eller en webtjeneste. Det kan eksempelvis betyde udelukkelse af trafik fra bestemte områder af verden.

Det næste bliver dog nok at gå fra en sådan blacklistening til whitelistening, spår David Hald.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bente Hansen

Ikke at mange bruger forskellige tjenester, herunder også private som google og facebook, i arbejdstiden. Og at det er et sikkerhedsproblem.

Men det er nok også steder hvor så meget andet halter, eller det ikke er vigtigt.

Mange mindre firmaer, kommer langt ved som minimum at have backup, også i skyen. Desuden er mange af deres tjenester som regnskab, ikke længer hjemme, men ude i skyen, hvor andre forhåbentligt har styr på sikkerheden.

Det mest vigtige for dem, er at der hul igennem til nettet, edb ved dem er reelt bare tynde klienter.

Hvis man har noget rigtigt vigtigt, som dyrt medicin forskning. Så tror jeg at jeg slet (tør) ikke vil have hul ud til verden. Men kun VPN til andre afdelinger, og mail/internet via en vpn intern til igen en virtualiseret terminal.

Eller hvis vi taler om udvikling for milliarder, bruge 2 net, "smadre" USB sti, DVD, og sikkert mig at alle enheder på nettet er overvåget 24/7, også fysik. Med kamera og alarm. Samt "physiks" med log og ping til enheder.
Samt have flere led i kæden, og ikke bruge udstyr for samme land i dem alle. Desuden vil alt lukket software som Microsoft være no go.

Men mellem de 2 grøfter. Så tror jeg overvågning, log og måske også regler for udgående trafik hjælper. Skal f.eks. selv opdatere mine PC manuelt, da IP til Microsoft er blokeret. Så slipper man for tåbelige genstarter og opdateringer midt i arbejdet. Man kan også lukke for russiske, kinesiske IP, og tor exit,. Der findes gode black og hvid lister.
Så lave en positivliste, det er lidt træls i begyndelsen. Men 99,9% af de sider man normalt tilgår er hurtigt dækket ind af "standart ip".
Dermed er der også lukke for tjenester som OneDrive, Dropbox og lignende.

Resten kan man tilgå via et mobilt/trådløst net som er skilt fra nettet, her kommer man langt med en tablet.
Man kan også lave 2 net, bruge et wire til firma, og også lave et trådløse til private ting. Så kan ens bruger, anvende sin private tablet, telefon eller PC på det, også så slipper man også for en stor del af de aps, som artiklen også handler om.

Hvis man vil tale om sikkerhed, og virkeligt vil prøve at gøre noget ved det. Så kommer man til at irritere sine bruger, og sig selv, og der findes ikke software der laver og tænker for en.

Men at tro at ens bruger ikke vil forsøge at komme ude om tåbeligheder, eller ikke vil klikke på dumme ting, eller link i mail. Eller forsøge at bruge dropbox, til en større filoverførsel, fordi du ikke lige selv har fået lavet en ordentlig ftp løsning. Det vil ikke virke.
Løsningen er at det ikke er muligt at afvikle link eller programmer, eller at malware/virus slet ikke bliver leveret til brugeren. Det er administrator opgave. At tro at en mail med en advarsel om ikke at klikke på link eller installere aps og programmer vil virker, så er man ikke sin opgave voksen. *

Det er sikkert chefen selv, som tager sin børns PC med på arbejde, så den lige kan opdateres, eller han kan spille mens han får tiden til at gå. Samt beder om at få lukket op, så han også kan se russiske porno sider på sin PC. Eller laver andre tåbeligheder. Mit svar på sådan noget, er altid at sende en mail, hvor jeg skriver at han har bedt op at få lukket op for det og det, konsekvensen kan være det og det. Så lige for at være sikkert på at han vil det, så må han gerne svare på mailen, at det er i orden, og han forstår konsekvenserne.

  • 0
  • 0
Jesper Ravn

Det er vel ikke en simpel opgave, medmindre du har købt en dedikeret analyse service til det.
De fleste virksomheder, gider vel næppe betale en medarbejder for at bruge 8 timer hver dag, på at analysere/kategorisere proxy eller firewall logs, samt opsætning af rapporter og diverse alerts.
Det bliver endnu mere bøvlet, hvis virksomheden så også har salgskontorer på forskellige lokationer.

  • 0
  • 0
Jesper Ravn

Men at tro at ens bruger ikke vil forsøge at komme ude om tåbeligheder, eller ikke vil klikke på dumme ting, eller link i mail. Eller forsøge at bruge dropbox, til en større filoverførsel, fordi du ikke lige selv har fået lavet en ordentlig ftp løsning

Skygge IT opstår jo netop i virksomheden, hvis IT afdelingen ikke følger med og stadigvæk kun tilbyder løsninger som f.eks. skod FTP til deres brugere.
Jeg har også endnu til gode, at se en FTP løsning med 2 factor auth.

  • 0
  • 0
Bente Hansen

Jeg har også endnu til gode, at se en FTP løsning med 2 factor auth.


VIl nu ikke mene at man skal bruge FTP eller mail hvis noget kræver 2 factor, ligesom mail er det usikkert. Her vil jeg så mene at at ingen tjenester i skyen kan bruges, hvis ikke indholdet er krypteret inden der forlader matriklen.

Men hvis det drejer sig om billeder/Video til RMA, eller større dokumenter som ikke kan sende på grund af størrelsen, er det rigtigt godt. De fleste browser kan jo også klare et ftp link.

Kan ikke se hvad du har imod ftp, det kræver ikke ret meget teknisk indsigt at bruge. Alle har en eller anden form for klient. Der er ikke lukket for trafik på denne port. At smide indhold i et directory og det så kan tilgås af andre er da nemt. Det kan også genbruges, så hvis man ellers har lidt ordenssans, så kan andre bruger/kunder finde dukumenter uden at spørge.
Og alt efter setup, så er det 2 vejs.

  • 0
  • 0
Jesper Ravn

Kan ikke se hvad du har imod ftp, det kræver ikke ret meget teknisk indsigt at bruge. Alle har en eller anden form for klient. Der er ikke lukket for trafik på denne port. At smide indhold i et directory og det så kan tilgås af andre er da nemt. Det kan også genbruges, så hvis man ellers har lidt ordenssans, så kan andre bruger/kunder finde dukumenter uden at spørge.
Og alt efter setup, så er det 2 vejs.

Ja, men det er på ingen måde et sikkert setup.
Læg dertil, at administration af brugerstyring, passwords og folder og fil-rettigheder er håbløst, da der typisk ikke er integration til et centralt Active Directory.
Det er heller ikke nemt for brugerne, at samarbejde omkring centrale filer og dokumenter i forhold til de super smarte standard løsninger der findes dag.

  • 0
  • 0
Bente Hansen

administration af brugerstyring, passwords og folder og fil-rettigheder er håbløst, da der typisk ikke er integration til et centralt Active Directory.


Du lever da i en helt anden (MS) verden. AD er ikke nødvendigt til simpel fildeling og bruger administration. Det er netop forskellen på Linux og Windows, der hvor du ser man skal have server og bruge AD, og alt muligt andet. Det er jo indbygget som en del af OS i et nix* system.
En simpel NAS, baseret på linux har jo mere styr på fil og brugerrettigheder end en Windows server. Det eneste MS prøver at have styr på, er at hvis de har mistanke om licenserne, som hvis du har skiftet både en CPU og et grafikkort, så virker deres OS ikke ordentligt.

Så en normal desktop linux har meget mere styr på brugeradgang ind du nogensinde får i windows. Hvor du skal have speciel værktøjer, for at finde ud af hvad du endeligt har givet adgang til, eller retter ikke. Da ejerskab, brugerrettigheder, og deling, er noget som er tilføjet senere, uden at være en grundlæggende del af kernen. Og uden grundlæggende at være tænkt ind nogen steder. Det er også derfor at et link, eller en exe fil, kan lægge et OS ned.
Der er som basis ikke tænkt ret meget over sikkerheden.

Igen på en Linux Disp vil du finde 99% af det software som du bruger under pakkesystemet. Mens du i Windows store, skal være heldigt om du kan finde 1% du kan bruge til noget. Desuden er der styr på indholdet i pakker og sikkerhed i Linux , og de finder selv ud afhængigheder og opdateringer. Hvis du først har prøvet det, så forstår du også hvor meget at MS mangler, før man kan sige at de prioritere sikkerhed.

Igen MS har aldrig haft sikkerhed, men nemhed og dermed uigennemtænkte genveje, som en prioritet. Det bliver aldrig rigtigt godt, før kernen og filsystemet bliver genskrevet helt fra bunden. mens man samtidigt smider alt bagudkompatibilitet ud. Bare det at have et OS hvor en bruger kan have administratorrettigheder, uden at have en adgangskode, som standard. Viser jo lidt om hvordan MS og Windows forholder sig til bruger sikkerhed. Nemlig slet ikke. Det er mere vigtig for dem, at du logger ind med en MS konto.

  • 0
  • 0
Log ind eller Opret konto for at kommentere