Rik Ferguson opliner sårbarheder: Dårlig kode, upålidelige ansatte og svag kontekst mellem firewall og anti-virus

Stol ikke på de ansatte og skab kontekst mellem sikkerheds-løsninger, lyder nogle af rådene fra Rik Ferguson.

Infosecurity. »Det eneste du ikke kan gøre med ansatte, er at stole på dem.«

Sådan sagde Rik Ferguson under sit indlæg på Infosecurity Denmark 2016, it-sikkerhedskonferencen, der løber af stablen i disse dage i Øksnehallen i København.

Han er vicepresident hos anti-malwareforetagenet TrendMicro og taler tit om diverse it-sikkerhedsrelaterede emner.

Eksemplet med brugerne havde han med som et af flere overordnede punkter i forhold til, hvorfor det går galt med it-sikkerheden.

For at underbygge sin pointe, havde Ferguson også et tal med, der lød på, at 95 pct. af alle målrettede angreb mod en organisation starter med en phishing-mail. Altså en angrebsteknik, som netop forudsætter, at en bruger klikker på et eller andet, der ikke burde have været klikket på.

Hvis den slags klikkeri skal til livs - eller i hvert fald minimeres - så er det i sidste ende et spørgsmål om awareness. Og det kræver kontinuerlig uddannelse, påpegede Ferguson.

Det vil sige, det ikke er nok at have et kursus i it-sikkerhed til de ansatte, når de starter i organisationen. Den slags skal gentages igen og igen. Eventuelt suppleret op med daglige notching tiltage som en mail, der gør opmærksom på, hvorfor to-faktor-autentifikation er en god idé.

»Det handler om at skabe en sikkerhedskultur i ens forretning,« sagde Ferguson.

Kode

Dårlig kode er som bekendt også skidt for sikkerheden.

»Der er så mange måder, hvorpå din kode kan være potentielt kompromitteret og potentielt svag,« sagde Ferguson.

Han understregede pointen med et eksempel fra den virkelige verden, hvor en administrerende direktør fortalte til offentligheden, hvordan organisationen var blevet udsat for et angreb, som det var meget svært at imødegå.

Det var »et sekventielt angreb.«

Der var tale om et angreb baseret på SQL-injection. Alt efter udtale, kan SQL på engelsk lyde lidt i retning af sekventielt, men der hører fællesskabet også op.

Og som det vil være flere Version2-læsere bekendt, så er det muligt programmeringsmæssigt at sikre sig mod SQL-injection. Altså hvor eksempelvis indtastningsfelter i et webinterface bliver misbrugt til at eksekvere forespørgsler i den bagvedliggende database.

Under kodepunktet understregede Ferguson også, at det ikke var nok at være opmærksom på den kode, organisationen selv udvikler. Opmærksomheden skal også være rettet mod den kode, der eksempelvis ligger i netværksudstyr, som kan rumme et sårbart SSL-bibliotek.

»Du bliver nødt til at finde ud af, hvad der gemmer sig under hjelmen på ting, du anskaffer dig.«

'Bundsolide' servere og skygge-it

Et andet punkt på Fergusons dagsorden var bundsolide servere eller rock solidt servers, som han kaldte dem.

Det kan nemlig ensbetydende med en server, der kører i årevis uden at blive patched og vedligeholdt på it-sikkerhedsfronten, og det kan selvsagt ende med at føre til alverdens ulykker, hvis en hacker en dag skulle finde frem til den slags.

»Du bliver nødt til at opdage dette grej.«

Og så er der hele spørgsmålet om skygge-it, som Ferguson også kom omkring, og som Version2 også har berørt for føje tid siden.

Altså driftige ansatte, der selv sætter sky-tjenester og deslige op uden om it-afdelingen med det resultat, at følsomme data pludseligt kan ende med at ligge helt uforsvarlige steder.

Den tendens er blevet værre med årene, påpegede Ferguson. Mens det i gamle dage var fremmede USB-nøgler, privat-opsatte routere og den slags, så er det i dag netop skytjenester, hvor det kan være helt umuligt for it-afdelingen at bemærke, at noget uhensigtsmæssigt er på færde.

Men i stedet for bare at brokke sig over den udvikling, bør de it-sikkerhedsansvarlige i en organisation forsøge at finde ud af, hvorfor de ansatte omgår organisationens it-løsninger, og ad den vej imødegår de ansattes behov.

Kryptering

Da dette punkt tonede frem på Fergusons præsentation påpegede han, at det vel nærmest siger sig selv, hvad pointen er her.

En håndsoprækning blandt tilhørerne på spørgsmålet om, hvor mange der - hånden på hjertet - kunne stå inde for, at alle data i deres organisation, der burde være krypterede, nu også er det, var der dog kun en enkelt blandt de mere end hundrede tilhørere, der rakte hånden op.

Lidt bedre stod det til i forhold til antallet af tilhørere, der praktiserer endpoint-kryptering (der var heller ikke mange) og endnu bedre i forhold til kryptering af mails.

Under punktet 'get real' fik Rik Ferguson også understreget vigtigheden af at identificere de mest alvorlige sårbarheder i ens organisation. Der er alligevel ikke penge til at sikre alt, så find ud af, hvad der er vigtigst at sikre, forklarede han.

I umiddelbar forlængelse af denne opfordring, fik Fursuson påpeget at compliance og sikkerhed ikke er det samme. Altså det kan sagtens lade sig gøre at være compliant, eksempelvis i forhold til håndtering af betalingskort, og samtidigt have et hamrende usikkert netværk.

»Compliance er en forpligtigelse, noget du bliver nødt til. Sikkerhed bør være noget du tilstræber (eng. an aspiration).«

Flyt fokus og få styr på kontekst

Til slut have Ferguson tre afskedssalutter og et tip. Den første salut handlede om, at mange organisationers sikkerhedsmæssige fokus ligger det forkerte sted.

Nemlig på at gøre organisationen til en borg, men fokus burde ligge på at gøre den til et fængsel.

»A hard crunchy shell, soft chewy middle,« som Ferguson beskrev det typiske - og forkerte - organistions-setup.

Det er ud fra devisen om, at alle bliver breached før eller siden, og derfor bør det it-sikkerhedsmæssige fokus ligge på at forhindre, eller i hvert fald opdage, når nogen forsøger at snige data ud af organisationen.

»De kommer ind, det bliver du nødt til at acceptere. Men hvis du kan forhindre dem i at komme ud med juvelerne, så vinder du.«

Anden afskedssalut fra Rik Ferguson handlede om vigtigheden af kontekst mellem forskellige sikkerhedsløsninger.

Det vil sige en samkøring af informationer mellem eksempelvis firewall, antivirus og system til network intrusion detection, så der opstår en kontekst, der kan give et samlet billede af, hvorvidt noget lusket er på færde.

I forhold til anti-virus, fik Ferguson også påpeget at traditionel signatur-baseret antivirus ikke forslår som eneste værn i en verden, hvor malware konstant ændrer sig. Men det er et godt filter til at sortere støjen fra med, påpegede han.

Den tredje og sidste salut handlede kort sagt om, at den it-sikkerhedsansvarlige bør være sin rolle bevidst. Samme pointe var også oppe under hoved-indlægget på den seneste Blackhat Konference i Europa.

»Du er der for at gøre det enkelt for din virksomhed at lave forretning på en sikker måde,« sagde Ferguson.

Og det vil sige, at det også er den it-sikkerhedsansvarliges opgave at få eksempelvis en bestyrelse til at forstå vigtigheden af forskellige tiltag.

»Det handler mindre om at få bestyrelsen til at tale it-sikkerhedssprog og mere om at du lærer forretningssprog,« sagde han.

Fergusons sidste slide var en anbefaling til et link med konkrete tiltag, en organisation kan give sig i kast med. En del af punkterne falder indenfor Fergusons hovedpointer.

Linket er her: www.sans.org/critical-security-controls

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Høyer

Denne sætning morer mig, da der i retssagen mod mig blev omtalt "sequel injection” flere gange.

Jeg blev dømt for at lave et "script alert" angreb - men da der var en hel række af sikkerhedshuller i løsningen prøvede Torben Wæring fra Infoba at forklare hvordan de havde (prøvet) at sikre at dette ikke kunne ske. Bla med sætningen "vi brugte en række tjenere som kun kunne gøre een ting i databasen, og dermed sikrede vi os mod sequel injection"

Log ind eller Opret konto for at kommentere