Hos Mærsk har CISO (Chief information security officer) Andy Powell ikke umiddelbart den store fidus den indbyggede sikkerhed på cloud-platformene.
Han kom ind på emnet under en præsentation på sikkerhedskonferencen Black Hat Europe, der finder sted i London i denne uge.
»Jeg stoler ikke på den indbyggede (eng. baked in) sikkerhed i cloud, og derfor wrapper vi vores cloud-tjenester i yderligere sikkerhed,« sagde han som svar på et publikum-spørgsmål i forbindelse med præsentationen.
Selve præsentationen handlede egentlig om de erfaringer, Mærsk har gjort sig som følge Not Petya-angrebet, der i 2017 sendte den danske container-gigant til tælling.
Andy Powell var ikke ansat i Mærsk på det tidspunkt, men er kommet til efterfølgende, hvor han har iværksat flere sikkerhedstiltag.
Offline backup
Blandt andet har han fokus på værdien af recovery. Altså det at kunne komme hurtigt op at køre, når det går galt. Det gør det som bekendt i de fleste organisationer før eller siden.
Hvad recovery angår, spurgte Powell ud blandt publikum, hvor mange der anvender offline-backup.
Fra hvor Version2's udsendte sad, så det ikke ud til, mange hænder røg i vejret blandt publikum på det spørgsmål.
Når offline-backup har et særligt fokus hos Mærsk, så hænger det sammen med Not Petya-angrebet.
Angrebet skete via en underleverandør i Ukraine, hvor Mærsk havde en server.
Ifølge Andy Powell var målet ikke Mærsk, men den ukrainske regering. En række virksomheder, herunder Mærsk, blev dog revet med i faldet.
Den danske virksomheds ømme punkt i den forbindelse viste sig særligt at være Active Directory, som bruges til administration af Windows-netværk. Alle Mærsks’ AD-noder, som var online, da angrebet satte ind, gik ned. Det samme gjaldt backups.
»Alle vores online backups blev taget ud af Not Petya.«
Held med strømsvigt
En enkelt node var dog - tilfældigvis - offline som følge af et strømsvigt. Serveren blev brugt som backup til at få hele virksomhedens netværk stablet på benene igen.
Episoden har tidligere været beskrevet, blandt andet her.
Det tog ni dage at få Mærsks AD stablet på benene igen via noden, der ved et tilfælde var offline.
Det mener Andy Powell ikke er godt nok.
»Enhver virksomhed bør stræbe mod at have Active Directory oppe at køre igen inden for 24 timer,« sagde han.
Under præsentationen understregede Powell desuden, at Not Petya ikke var banal cybercrime, selvom det kunne se sådan ud.
»Det var et stats-sponseret cybervåben designet til at ligne et ransomware-angreb.«
Øvrige pointer
Andy Powell fik også understreget, at han mener, synlighed og åbenhed er vigtige begreber, når der kommer til at styrke cybersikkerheden.
Eksempelvis fortalte han, at han foretrækker at vide, hvad folk har gang i af skygge it-projekter.
I forbindelse med Not Petya, viste det sig at være et stor udfordring for Mærsk at få stablet diverse skygge-it-projekter i form af Excel-makroer på benene igen.
Og så kunne Powell fortælle, at Mærsk har arbejdet med at reducere mængden af privilegeret adgang i virksomhedens systemer. Og det en bøvlet proces. Powell kaldte det »painful«.
Red team med hul i bukserne
Da publikum efter præsentationen stillede spørgsmål kom Andy Powell ind på, at han har fået »red team-capabilities« ind i virksomheden.
Et red team prøver at udfordre sikkerheden i en virksomhed ved at agere som en hacker vil gøre det.
Pointen med et red team hos Mærsk er ifølge Powell at hjælpe med at forudse kommende angreb, så virksomhedens sikkerhedsfokus ikke ender med kun at være bagudskuende.
»De er omkring 19 år gamle. De ser unge ud. Rigtigt unge. Yngre end de fleste i dette lokale,« sagde Andy Powell om sit red team.
Powell fik også sagt, at red team'et i den gamle container-virksomhed blandt andet har iturevne bukser (eng. ripped jeans). Og at de taler et sprog, han ikke forstår.
»Men de er briliant,« sagde Powell.
Han roste derefter sine red team-folk for at tænke lateralt og på måder, Powell ikke selv ville drømme om.
»Jeg er bare en fyr i et jakkesæt,« sagde Mærsks CISO, som varmt kunne anbefale andre organisationer at foretage red team-øvelser.