Efter NotPetya: Sådan bruger du netværket til at stoppe hackerne
Netværk giver mulighed for at kommunikere, men denne kommunikation kan også være ondsindet. Det blev senest tydeliggjort i forbindelse med NotPetya-cyberangrebet den 27. juni, hvor malwaren udnyttede lokalnetværk til at sprede sig. Vel at mærke mellem fuldt opdaterede Windows-maskiner.
Når NotPetya var kommet ind på én maskine via en bagdør i opdateringsfunktionen til et ukrainsk program til skatteindberetninger, var den i stand til at stjæle rettigheder fra brugere og applikationer på Windows-maskinen og misbruge dem til at forsøge at inficere andre maskiner, den kunne se på lokalnetværket. På den måde spredte den sig fra Ukraine via VPN-forbindelser til globale virksomheders afdelinger i hele verden.
På den måde er NotPetya et perfekt skræmmeeksempel på, at opdateringer og en firewall ikke er tilstrækkeligt til at begrænse skaderne ved et angreb.
»Det er hårde odds, man er oppe imod. Det vælter ind med nye devices på virksomhedernes netværk, som tilhører medarbejdere, kunder og gæster. Samtidig kommunikerer applikationer med hinanden over netværket,« siger security lead Jan Bau fra Cisco.
Sikkerhedstiltag
Men netværket er et kommunikationsmedie. Det betyder, at der er afsendere, modtagere og et budskab, og dér kan man sætte ind med sikkerhedstiltag, som kan begrænse skaderne ved et angreb.
»Netværket er hele grundfundamentet, som mange griber helt forkert an sikkerhedsmæssigt,« siger Jan Bau.
For det første kan man dele sit netværk op i segmenter, så alle afdelinger, kontorer og funktioner ikke bare kan kommunikere direkte med hinanden indbyrdes. Men det er ikke nok at opstille firewalls mellem kontorerne, hvis man vil undgå et angreb og samtidig bevare den funktionalitet, som netværket giver.
I stedet bør man ifølge Jan Bau se på, hvordan netværket bliver brugt. Og det skal forstås meget bogstaveligt. Hvis man indsamler information om, hvem og hvad der kommunikerer med hinanden, hvordan de gør det, og hvad de kommunikerer om, så har man muligheden for at opdage et cyberangreb, som skiller sig ud fra det normale.
Intrusion Detection-systemer har i årevis været et redskab, som it-sikkerhedseksperter har peget på, både når det gælder avancerede hackerangreb, hvor hackerne udforsker netværket i månedsvis, og til blot at opdage, hvis en maskine er blevet kompromitteret og bliver misbrugt til eksempelvis DDoS-angreb.
Men disse systemer kan have den ulempe, at man måske nok får indsamlet en masse metadata fra netværket, men det kan være vanskeligt at finde frem til, hvad der er legitim trafik, og hvad der er et alvorligt angreb - og gøre det tids nok til at kunne reagere.
Roller og identiteter
En tilgang, som kan afhjælpe dét problem, kan være at bringe et andet sikkerhedsaspekt ind i ligningen, nemlig roller og identiteter.
»Hvis man har et softwaredefineret netværk, så får man også mulighed for at styre ud fra en rollebaseret tilgang, hvor for eksempel marketing og salg får hver deres profiler. Det skaber synlighed i data og forenkler styringen,« siger Jan Bau.
Her er der sket en betydelig udvikling i de tilgængelige værktøjer inden for den seneste årrække, men det forudsætter en investering i ressourcerne til at øge sikkerheden på denne front. De nye værktøjer til det softwaredefinerede netværk kan dog lette opgaven i forhold til tidligere.
»Det har været meget manuelt og ressourcetungt. Og hvis du så hele tiden får nye medarbejdere med nye devices, så skal du hele tiden opdatere policies,« siger Jan Bau.
Det er nemmere blot at tildele roller og administrere dem, end at holde styr på enkeltbrugere og IP-adresser. Man skal dog også være opmærksom på, at softwaredefineret netværk kommer med sine egne nye angrebsflader, som man skal sikre. Der er et kontrollag, som styrer netværket, og det kan potentielt være sårbart. Derfor skal man holde netværket opdateret på softwaresiden, ligesom det gælder alle andre applikationer.
Tilsvarende skal man også holde styr på rettighederne til at ændre i netværkskonfigurationerne. De sikkerhedsmæssige udfordringer er på sin vis ikke anderledes end uden det virtuelle, softwaredefinerede lag, men de ligger et andet sted og potentielt hos andre medarbejdere i it-organisationen.
Handler om synlighed
Under alle omstændigheder, så har årevis med forskellige former for it-angreb vist, at identiteter og rettigheder er helt centralt for it-sikkerheden. Det gælder både for begrænsning af rettigheder på klienterne, men også i, hvad en bruger eller en applikation kan foretage sig i det samlede system over netværket.
»Det handler om at få skabt synlighed, hvor man kan kontrollere, hvad brugere og applikationer tilgår. Den information skal samles op og analyseres, så man kan få nogle automatiserede signaler om, hvorvidt man har set et givent mønster før,« siger Jan Bau.
Målet for hackerne og malware-bagmændene er som regel at undgå at blive opdaget - i hvert fald før de har udført deres angreb. Derfor er det ikke sikkert, at illegal aktivitet kan opdages med det blotte øje i logfilerne, men kræver en mere maskinel analyse, som kan slå alarm, hvis der er mønstre, som enten skiller sig ud fra det, man normalt ville forvente, eller ligefrem ligner noget fra et kendt angreb. Tiden kan også være en faktor, hvis man skal nå at gribe ind.
»Det gælder om at forstå, hvad der foregår lige nu, men samtidig undgå falske positiver. Manuelt kan du måske se et trafikflow, men du kan ikke forstå mønstrene. Og vi må forvente, at angrebene bliver mere sofistikerede,« siger Jan Bau.
Cloud kan være en løsning
En løsning kan være at vælge én af de cloud-baserede udbydere af netværkssikkerhed, hvor man har muligheden for at udnytte, at deres overvågningssystemer ser data fra mange organisationer, og dermed også ser både flere angreb og flere falske positiver og kan rette ind.
Derudover bør man ifølge Jan Bau også vælge en firewall, hvor der kan køre både malware- og DNS-beskyttelse. Hvis man er en mindre organisation, så kan det igen være en fordel at bruge en cloud-baseret eller stærkt automatiseret løsning, så man får alarmer, man kan reagere på, eller systemet selv kan sætte noget, der ligner malware eller forsøg på at udnytte sikkerhedshuller, under observation.
Fordelen ved at flytte netværkssikkerheden over i softwarelaget er, at det bliver muligt at oprette nye netværkssegmenter og adskille interne servere fra net med eksterne forbindelse, uden at skulle investere i firewalls eller andet udstyr, men blot kan sætte det som en regel eller policy på netværket.
Det forudsætter, at man gør det på en sikker måde og holder softwaren opdateret, men hvis det til gengæld betyder, at man faktisk får indført en mere stringent adskillelse mellem forskellige dele af netværket, så kan man begrænse skaden.
Man kan således indkapsle et angreb, så hvis én afdeling eller et netværk bliver ramt, så spreder angrebet sig ikke let til resten af organisationen. Dermed er skaderne mindre, og det går hurtigere med at genetablere alt.
For it-organisationen er det væsentligt at være opmærksom på, at kompleksiteten stiger i takt med, at der både er flere kategorier af brugere og af netværk. Medarbejderen, som er til konference i udlandet og logger på hotellets wifi kan måske ikke altid bruge vpn. Tilsvarende kan det være, at dit eget trådløse netværk skal bruges både af kunder og af partnere, som begge har behov for mere adgang end en almindelig gæst, men ikke den samme udvidede adgang.
»Men uanset om du logger på trådløst eller med eller uden vpn, så er du en fysisk rolle,« siger Jan Bau.
Derfor giver det ifølge ham bedst mening at opbygge netværkssikkerheden omkring brugernes roller, snarere end at opsætte forskellige trådløse netværk til alle tænkelige scenarier.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
