Kæmpehacks sætter klassisk it-sikkerhed skakmat: »Ideen om en mur holder ikke«

Kæmpehacks sætter klassisk it-sikkerhed skakmat: »Ideen om en mur holder ikke«
Illustration: Ingeniøren.
Det bliver stadigt vigtigere at beskytte det bløde indre af et it-setup i en virksomhed. Virksomheder bør overveje, om deres it-sikkerhed er moderne nok, inden angribere overvejer det, lyder det fra eksperter.
26. marts 2021 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det rystede verden, da osmannerne tilbage i 1453 blæste hul i Konstantinopels dobbelte mure, der havde stået i 1.100 år. Med sine primitive men massive kanoner viste sultan Mehmed konger og riddere verden over, at de ikke skulle vide sig for sikre i deres borge, der ellers havde fungeret som garanti for deres magt i århundreder.

På samme måde understreger de verdensomspændende hackerangreb, der har ramt bredt og hårdt de seneste måneder, at tiden er løbet fra de ydre forsvarsværker, der engang sikrede it-systemer mod udefrakommende. Sådan lyder det fra en række it-sikkerhedseksperter, Ingeniørens it-medie Version2 har talt med.

»Hackerangreb bliver generelt mere og mere avancerede, og med supply chain-angreb som Solar­winds ryster de for alvor vores tillid til de klassiske, omkransende it-forsvarsværker. Førhen ville man med et netværk eller infrastruktur stole nogenlunde på de enheder, der er på det, og på, at det blev holdt sikkert. Man havde det hele stående i kælderen, havde sat en firewall op uden om systemet og så var der ligesom styr på det,« siger Ciscos Security Lead i Danmark Kenneth Schwartz.

Han bakkes op af lektor i it-sikkerhed på CBS Jan Lemnitzer:

»Man er nødt til at droppe det gamle mindset om, at firewall’en er nok i sig selv. Ideen om en uigennemtrængelig mur holder simpelthen ikke længere,« siger lektoren.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
16
27. marts 2021 kl. 00:48

Kunne ikke være mere enig. Der er etablerede principper (igennem 50 år).

Man skal ikke forhindre folk i at installerer apps på deres telefon, eller de værktøjer de skal benytte på deres pc. Man er nød til at arbejde ud fra PoLP (og her ikke bare tænkt i personer, men devices). Har man et "helligt" serverrum, så skal folk ikke bare komme med deres egen laptops og koble dem til.

Ideen om at den store trusel kommer ude fra, er problematisk. For det er normalt vis den sværeste vej at pennetrere en virksomhed. (På trods af at det er dem man hører mest om, da det er dem der har størst impact)

14
26. marts 2021 kl. 22:22

MS Teams?

Problemet opstår når nogen åbner et hul ind i virksomheden. Et hul der kun er beskyttet af sikkerheden i Teamviewer. Hvis de så tager credentials med hjem og bruger deres hjemme PC så er den helt galt.

11
26. marts 2021 kl. 16:02

Med omtanke, kan man faktisk få et docker-miljø hvor alt undtagen ens egne applikationer, kommer fra pakker i Ubuntu LTS, der er omfattet af deres backports garanti - hvor med sikkerhedsopdateringer bliver meget nemme at håndtere - og der aldrig hentes docker images blindt fra internettet.

Helt enig. Og mere generelt: aldrig hente binaries fra internettet blindt. Det må hverken være del af en bygge process eller en deployment process. Og hver gang man henter noget skal man overveje lødigheden.

Alas ... det er meget nemmere blot at håbe på at det går. Det er jo gået godt indtil nu ... :-(

10
26. marts 2021 kl. 14:18

Hvorfor skulle docker dog penetrere mure?

Medmindre du selvf. bare henter ting fra dockerhub (internettet) eller andre - uden at checke hvad det er ? i så fald penetrerer dine email programmer også mure - fordi folk tåbeligt dobbelt-klikker på ting de får i en mail (faktisk den mest udbredte måde til de moderne krypt-locker angreb kommer ind i dag) :)

De docker images man bruger fra dockerhub - bør man sikre sig, er GPG signeret af udgiveren (således at en kompromitering af dockerhub, ikke gør det muligt at levere et 'angrebsimage' til dig) og er de ikke det, kan man jo hjælpe udbyderen med at de bliver det - eller lave review af dem, og kopiere dem ned lokalt.. og ved opdateringer - lave en diff (af kilden - dvs. Dockerfile og filer den benytter) og build'e på eget miljø.

Når vi bruger docker, ser vi gerne at man har sit eget docker repo - og vælger sine images med omhu - og helst baserer alle man bygger selv - på en fælles base (f.ex. Ubuntu LTS) - således at man kan genbygge den base dagligt når der kommer nye sikkerhedsopdateringer, og trygt genbygge alle andre images på den opdaterede base uden at det vil have nogen negativ effekt på applikationen (fordi det netop er hvad Ubuntu LTS leverer i form af security backports).

Derudover skal man selvfølgelig være MEGET opmærksom på at man ikke henter software fra ikke-ubuntu pakker - for i såfald, skal man selv have styr på sikkerheden og opdateringen af disse.

Med omtanke, kan man faktisk få et docker-miljø hvor alt undtagen ens egne applikationer, kommer fra pakker i Ubuntu LTS, der er omfattet af deres backports garanti - hvor med sikkerhedsopdateringer bliver meget nemme at håndtere - og der aldrig hentes docker images blindt fra internettet.

8
26. marts 2021 kl. 12:46

To værktøjer som de fleste sikkert bruger eller kender til er TeamViewer og Docker.

Begge penetrerer muren .

Et hul i disse værktøjer, kan lukke en hacker ind på et ellers lukket netværk.

6
26. marts 2021 kl. 11:57

Problemet med den ydre mur er, at den IKKE findes de fleste steder. De fleste har en dør der kun kan åbne udad.

Hvis man i stedet havde sørget for at SolarWinds servere KUN kunne tale med SolarWinds, eller slet ikke med Internet, så var problemet langt langt mindre.

De fleste virksomheder fatter ikke, at en brandvæg ikke virker medmindre den kontrollerer ildens bevægelse i begge retninger.

Så en firewall SKAL have egress filtrering. En proxy server med whitelistede navne er så et supplement/alternativ hvis man ikke kan bruge faste IP adresser.

Mener at Exchange hacket er værre, for det er en enhed der er beregnet til at være på Internet, medmindre man er paranoid (Linux mail relæ imellem, og kun adgang til server via VPN).

Men hvad er værst ? Supplier der er hacket ? Eller supplier der pusher dårlig kode ud til alle kunder - Og venter 2 måneder med at informere om hullet (Microsoft) ?

5
26. marts 2021 kl. 11:37

Hurtig liste til at starte med (uden at være udtømmende)

  • Mikro opdeling er virksomhedens netværk - firewalls imellem alle services
  • Default firewall setup for en server: ingen adgang til noget; ingen adgang til serveren. Derefter lukkes op for specifikke services.
  • Ingen direkte adgang til internettet for brugere - web browsing kører på remote browsing servere i DMZ
  • Ingen direkte adgang til internettet for de fleste servere
  • 4 eyes på alt kode der kommer ind i virksomheden - også opdatering til nyeste versioner af kodebiblioteker - vurdering af kilden til kode/binaries
  • Alt hardware der har været uden for firmaets netværk anses som kompromiteret (fx. laptops til hjemmearbejde, telefoner, tablets)
  • Dokumentation og forståelse af alt kommunikation ind og ud af virksomheden. Bonus version: det samme indenfor virksomheden
  • Ingenting må have en IP adresse uden en politik for monitoring, update, retirements
4
26. marts 2021 kl. 11:06

'principle of least privilege' og 'security in depth' er ikke ligefrem NYE tanker.. og jeg plejer at anbefale at den billigste/nemmeste metode at gøre det på det interne netværk (hvor det selvfølgelig også gælder) - er ved at have automatisering af ens firewall regler på alle enheder. Noget man alligevel bør have, som en standard del af ens system-konfigurations værktøjer (jeg anvender Puppet til VM/Servere - og i kubernetes hedder det NetworkPolicies - eller f.ex. mere avancerede løsninger som Istio).

Så det er ikke så svært at kun åbne for den trafik man VED der skal bruges (og undlad at give servere internetadgang - det ER der ikke nogen grund til *1 og *2)

Og sørg så for at du får en LOG og en samlet oversigt over trafik der blokeres på det interne netværk (imellem dine servere) - for det er den meste effektive "canary in the coalmine" - om at noget er gået galt (enten server hacket, eller udvikler der skulle tilgå noget nyt de lige havde glemt at definere i firewall regel sættet).

Det er rigtig sundt at VIDE hvad ens servere snakker med - da man ofte oplever at nedetid/problemer kan skyldes eksterne afhængigheder - så dem BØR du kende og overveje nøje alligevel - og med firewall'ing på plads, sikres det at alle lag (også driftsfolk) opdager dem og at de bliver dokumenteret :)

*1 Internet adgang er kun relevant til 'repo servere' - der holder de data serverne skal bruge fra internettet.

*2 Skal enkelte have åbent for noget (find en løsning istedet for at gøre dette) - må de igennem en vej hvor en firewall der kan se på SNI headeren og blokere/tillade baseret på domænenavnet.

3
26. marts 2021 kl. 10:44

Jeg elsker virkelig sammenligningen med Konstantinopel. Mehmet IIs kanoner var måske nok primitive efter nutidig standard, men dengang var de uhyggeligt avancerede og slagkraftige. Det var virkelig kæmpekanoner. De skal i øvrigt være fremstillet af en europæer ved navn Urban, så her har man "forrædderen", der prisgiver sine egne. Tyske historikere mente en overgang, at en så skurkagtig person måtte have været dansker.

Erfaringen fra 1453 burde ikke have været nogen nyhed. Romernes Limes viste sig umulig at holde. Og lektien var ikke lært, da Tyskland og Frankrig byggede Vestvold, Atlantvold, Østvold og Maginotlinje. Danmark og Belgien var også med noget tidligere.

Selv om Vestvolden og Maginotlinjen ikke var uovervindelige for avanceret teknologi, så udfyldte de faktisk deres roller. At sinke fjenden tilstrækkeligt. Problemet var så, at man ikke rigtigt kunne gøre noget, da fjenden var "blevet sinket".

Hvis man koncentrerer sine kræfter på ét system, så kan man faktisk være nødt til at sprede dem. Og så er man sårbar.

2
26. marts 2021 kl. 09:51

Måske det ville være på tide med et opgør med monokulturen, og i stedet for at alle bruger samme operativsystem og programmer, lade det være mere splittet op.

Og så burde man bruge mange flere kræfter på at lave fælles åbne standarder for dataudveksling, som ikke tager afsæt i at en leverandør vil have ting i "standarden" som tager udgangspunkt i understøttelse af hans program - altså en meget skarp opdelen mellem program og data (som aldrig i sig selv må kunne fungere som andet).

Selvfølgelig kan alt og alle hackes/crackes, men ved at droppe monokultureren bliver det meget sværere, angreb skal være målrettede, og endnu mere vigtigt, hvis vi skal sammenligne med pandemier, smitten har meget sværere ved at sprede sig.

1
26. marts 2021 kl. 09:01

Det forundrer mig, at der ikke skrives mere om, hvorledes vi skal undgå disse angreb.

Vi har nu hørt om flere muligheder for at importere ondsindet kode i sin virksomhed. vi har hørt om Mærsks leverandør og SolarWind, men også brug af open source biblioteker kan jo være en trussel.

Umiddelbart ser jeg Source kode review, det havde man jo nok troet SolarWinds gjorde, det nye kunne være uafhængige virksomheders test og signering.