Mærsk-CISO: Jeg stoler ikke på den indbyggede sikkerhed i cloud

I forbindelse med en præsentation om Not Petya-angrebet, kom Mærsks' it-sikkerhedsansvarlige blandt andet ind på virksomhedens brug af red team og Cloud-sikkerhed.

Hos Mærsk har CISO (Chief information security officer) Andy Powell ikke umiddelbart den store fidus den indbyggede sikkerhed på cloud-platformene.

Han kom ind på emnet under en præsentation på sikkerhedskonferencen Black Hat Europe, der finder sted i London i denne uge.

»Jeg stoler ikke på den indbyggede (eng. baked in) sikkerhed i cloud, og derfor wrapper vi vores cloud-tjenester i yderligere sikkerhed,« sagde han som svar på et publikum-spørgsmål i forbindelse med præsentationen.

Læs også: Læren fra det store Mærsk-hackerangreb: Disse 27 punkter skal du have styr på

Selve præsentationen handlede egentlig om de erfaringer, Mærsk har gjort sig som følge Not Petya-angrebet, der i 2017 sendte den danske container-gigant til tælling.

Andy Powell var ikke ansat i Mærsk på det tidspunkt, men er kommet til efterfølgende, hvor han har iværksat flere sikkerhedstiltag.

Offline backup

Blandt andet har han fokus på værdien af recovery. Altså det at kunne komme hurtigt op at køre, når det går galt. Det gør det som bekendt i de fleste organisationer før eller siden.

Hvad recovery angår, spurgte Powell ud blandt publikum, hvor mange der anvender offline-backup.

Fra hvor Version2's udsendte sad, så det ikke ud til, mange hænder røg i vejret blandt publikum på det spørgsmål.

Når offline-backup har et særligt fokus hos Mærsk, så hænger det sammen med Not Petya-angrebet.

Angrebet skete via en underleverandør i Ukraine, hvor Mærsk havde en server.

Ifølge Andy Powell var målet ikke Mærsk, men den ukrainske regering. En række virksomheder, herunder Mærsk, blev dog revet med i faldet.

Den danske virksomheds ømme punkt i den forbindelse viste sig særligt at være Active Directory, som bruges til administration af Windows-netværk. Alle Mærsks’ AD-noder, som var online, da angrebet satte ind, gik ned. Det samme gjaldt backups.

»Alle vores online backups blev taget ud af Not Petya.«

Held med strømsvigt

En enkelt node var dog - tilfældigvis - offline som følge af et strømsvigt. Serveren blev brugt som backup til at få hele virksomhedens netværk stablet på benene igen.

Episoden har tidligere været beskrevet, blandt andet her.

Det tog ni dage at få Mærsks AD stablet på benene igen via noden, der ved et tilfælde var offline.

Det mener Andy Powell ikke er godt nok.

»Enhver virksomhed bør stræbe mod at have Active Directory oppe at køre igen inden for 24 timer,« sagde han.

Under præsentationen understregede Powell desuden, at Not Petya ikke var banal cybercrime, selvom det kunne se sådan ud.

»Det var et stats-sponseret cybervåben designet til at ligne et ransomware-angreb.«

Øvrige pointer

Andy Powell fik også understreget, at han mener, synlighed og åbenhed er vigtige begreber, når der kommer til at styrke cybersikkerheden.

Eksempelvis fortalte han, at han foretrækker at vide, hvad folk har gang i af skygge it-projekter.

I forbindelse med Not Petya, viste det sig at være et stor udfordring for Mærsk at få stablet diverse skygge-it-projekter i form af Excel-makroer på benene igen.

Og så kunne Powell fortælle, at Mærsk har arbejdet med at reducere mængden af privilegeret adgang i virksomhedens systemer. Og det en bøvlet proces. Powell kaldte det »painful«.

Red team med hul i bukserne

Da publikum efter præsentationen stillede spørgsmål kom Andy Powell ind på, at han har fået »red team-capabilities« ind i virksomheden.

Et red team prøver at udfordre sikkerheden i en virksomhed ved at agere som en hacker vil gøre det.

Pointen med et red team hos Mærsk er ifølge Powell at hjælpe med at forudse kommende angreb, så virksomhedens sikkerhedsfokus ikke ender med kun at være bagudskuende.

»De er omkring 19 år gamle. De ser unge ud. Rigtigt unge. Yngre end de fleste i dette lokale,« sagde Andy Powell om sit red team.

Powell fik også sagt, at red team'et i den gamle container-virksomhed blandt andet har iturevne bukser (eng. ripped jeans). Og at de taler et sprog, han ikke forstår.

»Men de er briliant,« sagde Powell.

Han roste derefter sine red team-folk for at tænke lateralt og på måder, Powell ikke selv ville drømme om.

»Jeg er bare en fyr i et jakkesæt,« sagde Mærsks CISO, som varmt kunne anbefale andre organisationer at foretage red team-øvelser.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Steen Poulsen

Det er utrolig at en Virksomhed som Mærsk skal være på sammenbrudtes rand før nogen gider lytte !

Gang på gang, har jeg gjort opmærksom på hvilke konsekvenser det kan få, hvis man ikke har en offline backup, taget periodisk, og spredt backup sæt på flere fysiske lokationer - svar : Det har skyen styr på ! Det er billiger og bedre - punktum!

Lige meget hvilket argument man anvender, kan intet overvinde de økonomiske fordele ved at være i skyen. - Man kan fyrre den dyre og besværlige lokale kompetence i sin virksomhed, og det er jo "eksperterne" som er ansat i skyen, hvem har større kompetence en dem ? - At lokale IT folk har indsigt i virksomheds driften - er en fordyrende og ubrugelig kompetence, og ikke mindst , fordyrende udgift, som kan spares væk ! dernæst spare man penge på indkøb af server o.s.v.
Prisen ?
Ja, den kan næsten koste virksomheden livet.

Men som CEO er det jo bare en risiko man må tage, prisen for at have intern kompetence og drift ser dårligt ud på bundlinjen.....

Håber at nogle CEO's har spidset øre - og tænker over hvad de har gang i.
Eksterne konsulenter har en fantastisk evne, de sige JA til at alt kan lade sig gøre, uanset hvor åndsvage risiciene er ved de truffet beslutningerne - Den interne IT kan godt være "besværlig" men der findes altså mange IT folk som ønsker at bevare jobbet og virksomheden, om ikke andet, for at sikre sin egen indkomst - frem for "bare" at sende en regningen, og når den er betalt, så må virksomheden sejle i sin egen sø, hvis den da ikke synker !

  • 6
  • 1
Jonas Iversen

Jeg ser intet problem i at have backup i skyen!
MEN det forudsætter at de cloud-credentials, som bruges af backup-systemet, IKKE har slette-rettigheder (så hackerne/ondsindede kode, ikke kan slette data hvis/når de få kendskab til disse credentials).
Evt. sletning af gamle backups i cloud'en må ske via en anden konto og et andet selvstændigt system. Som gerne ikke er tilsluttet virksomheden netværk.

  • 1
  • 1
Tobias Tobiasen
  • 0
  • 0
Kim Madsen

.. at sætte ræven til at vogte gæs.

Værsågod... er her en pose fyldt med alle vores goodies. Vi har godt nok sat en fin rød sløjfe på posen som du IKKE må åbne, da det jo er vores goodies, og du har i kontrakten skrevet under på at du ikke åbner sløjfen.

Så kan man prøve at putte posen med den røde sløjfe i en anden pose med en blå sløjfe, og sådan kan man fortsætte med at lave lag efter lag efter lag som et andet løg for at sikre sine data.

Alternativt kunne man sikre dem ved at virksomheden selv fysisk sidder på dem, eller i det mindste at nogen som er godkendt af LANDETS myndigheder (såfremt man har tiltro til dem) har godkendt sikkerheden hos dem.

Virkeligheden er at skytjenesterne ofte (stort set altid) har US eller asiatiske bagmænd, og at vores eget land ikke fatter en brik af hvad der er sikkert eller ej, eller i hvertfald ikke lovgiver iht til det.

Ellers ville skoler og offentlige myndigheder etc. vel ikke benytte sig af Google Docs, eller MS 365 eller Skype etc.

Der er dømt trust by proxy... trust til dem som vi alle ved er dem der er værst til at forsøge åbenlyst at ville gafle vores data.

  • 0
  • 0
Henrik Sørensen

Kære Kim,

Du skal naturligvis have lov til at mene hvad du har lyst til om diverse cloud-tjenester ... også at hade dem af et godt hjerte, hvis det er det du gør ... men hvilke fakta baserer du dig på?

.. og hvad får dig til at tro, at danske udbydere skulle være bedre? .. eller at ham du ansætter internt i din virksomhed vil være dig tro? De fleste større danske udbydere benytter offshoring - det vil sige personale fra Indien, Kina eller andre lande som ikke er hverken danske endsige europæiske ... er det så meget bedre?

Er det ikke sådan, at sikkerhed i sidste ende er et spørgsmål om tillid? ... tillid til sikkerheden i din krypteringsalgoritme og sikkerhed til de mennesker der betjener systemerne osv. osv.

Perfekt sikkerhed findes formentlig ikke, og virkeligheden er næsten altid en afvejning af fordele og ulemper ...

  • 1
  • 0
Kim Madsen

Hej Henrik,

Nu har jeg som livsfilosofi ikke at hade... af den simple årsag at det kræver tankevirksom og energi, som jeg meget hellere vil bruge på konstruktive ting. Så der skal meget til for at jeg ligefrem hader ;)

Jeg er 100% enig i dine betragtninger... hvilket jo faktisk er det jeg skriver... de fleste cloud tjenester har udenlandks baggrund, hvorfor jeg per definition aldrig ville anbefale dem til at lægge et lands informations struktur i, endsige kritiske virksomheder.

Og ja der er mange eksempler på illoyale mennesker som vil sælge sin sjæl for få håndører også i Danmark.

Men der er en talemåde, som jeg er sikker på er rigtig... godt at holde sine venner tæt, men man skal huske at holde sine (potentielle) fjender tættere. Altså det nytter ikke noget at shippe hele gøjemøjet ud af virksomheden, ud af landet, og formentlig også ud af kontinentet. Så har du med garanti absolut ingen kontrol over hvem gør hvad og hvornår, uanset hvad der står i diverse kontrakter.

Samtidig har du stadig risikoen for den indenlandske medarbejder som er illoyal. Altså lort med lort på istedet for, trods alt, kun lort... og en lort som du har en potentiel mulighed for at undgå at træde i.

Det øjeblik du digitalt lægger data (uanset de er nok så meget krypteret) udenfor huset, så er de data at regne for i spil til at blive hakket når som helst. Når først "den krypterede zip fil" er i hænderne på andre, kan de bruge al den tid de ønsker, og alle de forsøg de ønsker og alle de ressourcer de ønsker på at åbne den. Og du ved overhovedet ikke at det er sket eller i det mindste at der er nogen der forsøger.

Og der ER nogen der forsøger. Det skal bare være interessant nok. Mærsks data må absolut betragtes som værende interessante, ikke kun for konkurrenter, men absolut også i al anden efterretningsmæssig sammenhæng, da det ikke kun er frosne kyllinger, bananer og appelsiner de transporterer, men alt muligt der er af interesse for magtstrukturer i hele verden.

Jeg tror mange mennesker ofte undervurderer vigtigheden af forskellige virksomheder, simpelthen fordi man ikke nødvendigvis kan se alle brikkerne i puslespillet. Kig over højre skulder efter "din" virksomhed og de service den tilbyder eller de komponenter den laver. Kunne de ende op med (direkte eller indirekte) at være vitale for at skabe eller vedligeholde store magtstrukturer i verden?

Hvis ja, så er den virksomhed klart på listen over virksomheder som bør holde deres data for dem selv.

mvh
Kim

  • 0
  • 0
Log ind eller Opret konto for at kommentere