kramselund jereminsen

Kære Chef, IT-sikkerheden halter

Kære Chef

IT-sikkerheden halter.

Sådan kunne et brev eller en længere email til din chef sikkert starte. Vi kender det allesammen, noget er galt men vi har ikke rigtigt overblik over det.

Vi har ikke fået ressourcerne til at gennemgå det hele, chefen har ikke sat nogen til det, vi har allesammen travlt.

Der er også andre som har travlt - hackere har travlt med at mappe potentielle mål, potentielle ofre, estimere deres indtjening på ransomware i jeres organisation.

Nedenfor følger en lille liste over ting du måske skal tale med din chef om ... inspireret af min viden om danske virksomheder over årene.

Det er ikke en udtømmende liste, men tænkt som inspiration til at I går igang med at samle alt det dårlige. Præsenter det for ledelsen, så I kan begynde at indæmme risiko, eller måske få lov at fjerne elementer.

Bemærk at en del af disse ting kan løses ved at indføre og følge basale best practice som https://www.cisecurity.org/controls/

Start fra starten med de basale kontroller som alle burde implementere.

Jeg er også super fan af Open Source, og nej Open Source er ikke svaret på alt. Til gengæld VED jeg af OpenSSH https://en.wikipedia.org/wiki/OpenSSH har eksisteret siden midten af 1990erne og er opdateret lige siden!

OpenSSH kommer som en del af operativsystemet OpenBSD som er et operativsystem som er ideelt til netværksnære services som DHCP, DNS, NTP, m.fl. men som også er fantastisk som firewall, router, BGP speaker, logningsenhed. https://en.wikipedia.org/wiki/OpenBSD . Tilsvarende er Debian Linux fra starten af 1990erne https://en.wikipedia.org/wiki/Debian . Begge er fantastiske alternativer til mange andre enheder og dimser I kan købe til jeres netværk.

Mit råd er, ud med appliances ind med open source, opdater løbende. YMMV.

Gamle systemer knirker og skal udfases

Gamle systemer som er end-of-life er en latent risiko, hvor virksomhederne er meget sårbare. Der er formentlig åbenlyse huller, kendte sikkerhedsproblemer, manglende beskyttelse. Hvis du kører systemer som er 20 år gamle, som er installeret uden hærdning - WTF! Har jeg set det i min karriere, ja.

Har jeg selv lukket en ESXi 4.1 i 2021 som jeg brugte til nogle af mine data, måske.

Hvis I ikke sikrer jeres døde systemer bliver de overtaget, udover at der er en risiko for at de stopper med at virke på det mest uhensigtsmæssige tidspunkt.

Hvis du absolut SKAL bruge et gammel system, så sæt det bagved en firewall som kun tillader helt nødvendig traffik til og fra systemet! Det kan gøres med en PC-Engines APU2 https://pcengines.ch/apu2.htm og OpenBSD PF https://www.openbsd.org/faq/pf/ for meget få penge. Fordelene er blandt andet at der ingen licens er, så man kan tilføje sǻ mange som det giver teknisk mening.

Kludetæpper af tilfældige enheder

Hvis I har et kludetæppe af forbrugerudstyr som I prøver at bruge til produktion i netværket gør I jer selv en bjørnetjeneste. Det var måske billigere i indkøb, men igen der er ingen opdateringer efter få år.

Jeg tænker her specielt på NAS, SAN-lignende enheder. Man kunne købe X Tb billigere med en QNAP eller lignende. NB: Jeg vil ikke tale grimt som QNAP som sådan, der er mange andre som helt sikkert er lige så ringe produkter til enterprise brug. Hvis en QNAP sælger bliver meget pikeret over mine udtalelser bedes vedkommende læse denne liste før de ringer/skriver https://www.cvedetails.com/vendor/10080/Qnap.html
https://www.cvedetails.com/vulnerability-list/vendor_id-10080/Qnap.html

Der er selvfølgelig også fejl i andre produkter som eksempelvis Netapp, og disse skal ligeledes håndteres. Forskellen er dog at der typisk er bedre værktøjer til monitorering, hvor jeg oftere ser at indbrud i QNAPs slet ikke opdages!

Netapp CVEer https://www.cvedetails.com/vendor/8376/Netapp.html

Jeg vil anbefale at man udskifter enheder til andre med central styring. Minimum i moderne netværk er at alle systemer kan styres centralt. Det betyder ændringer af konfiguration, audit, og logning m.v.

Hvis man kan sikre at der kun er adgang via SSH eller tilsvarende med gode regler for authentication, authorization og accounting/logging er vi kommet længere.

Kontrol med hardware

Nu vi snakker om hardware, så er der en masse enheder på vores netværk. Ingen har rigtigt styr på hvad der findes. Det er til gengæld nemt at scanne efter enhederne. Det giver typisk anledning til at stikke spaden dybere og så finder man:

  • IPMI, ILO, DRAC -- styring af servere via netværk, ofte med standard koder eller utilstrækkelig konfiguration
  • Printere -- med alle standard indstillinger
  • VMware ESXi og lignende virtualiseringsplatform
  • SAN, NAS, iSCSI plus tilhørende infrastruktur -- igen ofte med standardindstillinger
  • UPS og batterianlæg -- gerne med SNMP version 1 community "public" eller HTTP management med brugernavn/kode admin/admin, tillykke enhver kan slukke for strømmen med en browser

Hvorfor kan alle tilgå alting?

Jeg er med på at vi stoler på medarbejdere, hvilket er fint nok i mange tilfælde. Desværre betyder det også at I stoler på alle enheder altid, hvilket vi ved er en dårlig antagelse!

Management interfaces

En stor del af ovenstående handler om adgang til styring af enheder og systemer, det som jeg typisk kalder management interfaces.

Disse er beregnet til brug af dem som konfigurerer systemer, typisk en IT-afdeling. Hvorfor tillader man så som standard at alle kan tilgå disse? Specielt VED vi jo over mange år at både Microsoft Remote Desktop, VMware ESXI interfaces, routere, switches osv. har dårlig kode og dårlige koder. Der er fundet så mange sårbarheder i disse interfaces at uden opdatering er der en forøget risiko for at nogen kan bryde ind, og samtidig er der tonsvis af eksempler på at dårlige koder ligeså har tilladt udefrakommende adgang til samme.

WTF?! Hvem tillader Microsoft Remote Desktop til kritiske servere fra internet i 2021!

  • og få så opdateret jeres netværksudstyr, bare en gang om året

Til gengæld kan disse management interfaces nås fra snart sagt alle dele af virksomheden, grundet manglende segmentering.

Segmentering af netværk

Jeg har prædiket segmentering af netværk i mange år. Det er desværre faldet i baggrunden mange steder.

Segmentering af netværk er både enkelt, opnåeligt og effektivt. For hver gang I splitter en bunke udstyr ud i et seperat netværk/VLAN formindskes risikoen. Eksempelvis kan man starte med et management netværk til netværksudstyret, et til enheder - servere og virtualisering, så er man kommet igang med det.

Til klienter giver det endda ofte mere mening og er blevet nemmere at gøre.

Mange bruger næsten udelukkende Wi-Fi til klienter og der er mulighed for at putte enhederne automatisk i seperate netværk. Det er også ofte en mulighed at begrænse hvad der kan nås som almindelig bruger og en eventuel medarbejder i IT-afdelingen.

Hell, vi bruger det sågar på BornHack til styring af netværket - hvor NOC folkene kan tilgå management interfaces, men de andre deltagere kun skal "på Internet".

Det kan lyde som et surt opstød, men ovenstående skyldes at jeg er træt af at sige de samme ting igen og igen. Jeg mener at vi i mange mange mange tilfælde har viden om sikkerhedsmekanismer som enten løser problemerne, eller som mindsker skaderne i tilfælde af sikkerhedsbrud. Det er dårlig økonomi at ignorere den viden, som vi har haft siden måske 80erne eller 90erne -- hvor firewalls blev populære.

Lydspor

Puttet til sidst, da mange sikkert er ligeglade.

Det officielle lydspor til dette indlæg er disse sange
Long Train Runnin'
https://open.spotify.com/track/4nXkbcTj3nyww1cHkw5RAP?si=816bf50bde014d33
https://www.youtube.com/watch?v=m4tJSn0QtME
og
What a Fool Believes
https://open.spotify.com/track/2yBVeksU2EtrPJbTu4ZslK?si=ab7feecd2e724885
https://www.youtube.com/watch?v=dJe1iUuAW4M

Sangene handler om kærlighed, og jeg håber I elsker IT-sikkerhed, for med de mange udfordringer er det vist kun ildsjælene der sikrer vores netværk, systemer og data.

One Love <3

Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Poul-Henning Kamp Blogger

Den allervigtigste ting chefen bør indføre er "two-man-rule": Alt hvad der foregår på administrator/root niveau skal altid have to personer tilstede.

Det er der to grunde til:

Først og fremmest stress-reduktion for medarbejderne.

Rigtig mange af de ting vi går og gør med uid==0 er katastrofale hvis vi rammer ved siden af, at have en kollega indover fanger mange dumme fejl og reducerer derfor stress-niveauet.

I andre brancer balancerer medarbejdere ikke rundt på stram linie mutters alene og det er der indlysende god grunde til.

Og ja, der er brug for at det bliver indført oppe fra, fordi IT branchen er fyldt med macho-typer der ikke kunne drømme om at indføre det selv.

Den anden årsag er at detabsolute vigtigste Snowden lærte os, er at selv i NSA har de system-administratorer der har adgang til alting, rub og stub, uden logfilerne opdager det mindste.

  • 20
  • 0
#3 Henrik Kramselund Jereminsen Blogger

Den allervigtigste er altid den sidste måde noget gik galt på, eller hackerne kom ind på. Min liste er på ingen måde fuldstændig. Fik ikke engang plads til alt fra den interne liste over "pains" jeg vedligeholder. Tænkte dog vi skal starte et sted og max 3-5 ting kan være igang samtidig.

Jeg tror vi i mange tilfælde så vidt muligt skal undgå at netop een person, med eeet sæt hænder, på eeen konsol kan smadre hele vores infrastruktur. Der er for mange cowboys med SQL adgang.

Det er som Martin bemærker nok desværre svært i praksis.

Mit bedste bud er nok at alting går via noget configuration management, og med rollback, evt. langsomt rul udover infrastrukturen - så når 5 ud af 10 noder begynder at kaste op og smide guru meditation, så kan man trække i en nødbremse.

Nogle er så heldige at have et prod system, andre har kun udvikling og test.

  • 4
  • 0
#4 Poul-Henning Kamp Blogger

Hvis det ikke er tilgængeligt på kommercielt tilgængeligt software og hardware, så er vejen lang...

Hvad i himlen får dig dog til at tro at det er noget software eller hardware skal sikre overholdt ?

Hvis organisations skrevne politik er at der altid er to mand på, når man bruger admin/root niveau privilegier, så kan medarbejderne godt finde ud af at implementere det i praksis med det existerne hardware og software.

  • 16
  • 0
#5 Morten Nissen

Hvis organisations skrevne politik er at der altid er to mand på, når man bruger admin/root niveau privilegier, så kan medarbejderne godt finde ud af at implementere det i praksis med det existerne hardware og software.

Tror du har ret i det i langt de fleste tilfælde. Men jeg tror nu alle ville være lidt mere opmærksom hvis man havde været med med sin egen del af koden til su (eller hvordan det ellers kan forgå)

  • 0
  • 0
#6 Chris Bagge

Helt enig, men hvordan gør IT-chefen i praksis det?

Man gør det, ved at begynde og gøre det, i praksis. Når man skal "rode" med den slags ting glemmer man sit "cowboy-ego" og siger til sin "håndgangne svend" "Når jeg skal gøre det her, så vil jeg godt at vi lige har to par øjne på det. Kigger du mig lige over skulderen?"

Det er også med til at sørge for noget sidemandsoplæring.

  • 16
  • 0
#7 Bjarne Nielsen

Hvis organisations skrevne politik er at der altid er to mand på, når man bruger admin/root niveau privilegier, så kan medarbejderne godt finde ud af at implementere det i praksis med det existerne hardware og software.

Tja. Det er en god start. Men regler er sjældent nok; det virker bedst, hvis man får fat i både kultur, regler og teknik.

For selv hvis det ikke bare er interne regler, men samfundsregler, så ligger det ofte tungt med at få dem overholdt, hvis ikke kultur og/eller teknik hjælper med. Jeg kender f.eks. til en slagter, som havde meget svært ved at se behovet for brynje inden han rissede sværen på sig eget maveskind en dag. Jeg har set sikkerhedskontakter (som skulle holdes inde) sat fast med strips. Og jeg har oplevet håndfaste godkendelsesregeler blive suspenderes omkring det tidspunkt, hvor chefen skulle hente børn, men en kommentar om, at "du har jo styr på tingene, og plejer at vide, hvad du gør ... og jeg skal nok tage ansvaret" (as if!).

Det handler i langt højere grad om, hvilke regler, som bliver aktivt håndhævet i dagligdagen, end hvilke som er skrevet ned. Det kommer hurtigt dørstoppere og potteplanter foran branddøre, hvis ikke der udvises jævnlig opmærksomhed.

  • 9
  • 0
#8 Peter Engskov

Det er nemt at sige, at det skal fire øjne på, når der laves noget kritisk, men det er godt nok svært, når man er ene på opgaven. Har flere gange spurgte efter en makker / backup person. Der er mange gange man har behov for at få diskuteret sine tanker. Hvad sker der den dag, man ikke længere møder op ?

  • 6
  • 0
#9 Victoria Hansen

Der findes RIGTIG mange chefer som kun forstår ét sprog: Penge

Og de afviser al form for argumentation indtil dagen hvor der sker et mærsk-incident.

Dem der burde læse dette blogindlæg, er netop dem der ikke gør det, og/eller er ligeglade.

Dem der har prædiket dette i årevis, er dem der ivrigt læser med.

Jeg har hørt mange sære undskyldninger:

Der er ikke sket noget de sidste 10 år, så hvor stor er chancen for at der sker noget de næste 10 år?

Nu bruger vi en masse tid på at implementere sikkerhed og procedurer mv. som koster en masse, og gør den daglige drift/udvikling tungere, hvad giver det på bundlinjen?

Hvis der sker noget, så er det et single event vi kommer over, imens alle disse tiltag vil være løbende udgifter for evigt.

Et cetera...

-

De fleste chefer er desværre af den slags der kun tænker på penge, og dem kommer du aldrig igennem til. Det eneste man kan gøre at at tvinge dem ved lov.

Jeg har ved selvsyn set hvilken effekt GDPR har haft; Istedet for at der bliver strammet op, og tingene bliver gjort "rigtigt", så hemmeligholder man incidents, og får tingene til at se gode ud på overfladen alt imens fundamentet er råddent.

Det er først den dag man på politisk plan, indser hvor stor og vigtig en del IT idag er for samfundet, at man begynder at stramme op. Der skal lig på bordet, gerne i form af noget der rammer alle danskere.

  • 9
  • 0
#11 Klavs Klavsen

Helt enig, men hvordan gør IT-chefen i praksis det?

Vi arbejder efter gitops princippet.. dvs. vi anvender f.ex. Puppet til alt arbejde på VM'er og fysiske servere - og ændringer på systemer, sker altså ved at vi laver et pull-request til puppet git repo - som en kollega skal review'e - hvorefter puppet automatisk ruller det (fordi det er godkendt og merget) i det tilladte tidsvindue.

Det er ihvertfald en god metode - til at hjælpe ens kollegaer med at vide hvad der foregår - og så bør man have overvågning på alle maskiner - så alle kan se når nogen har måtte skifte til root brugeren / logge ind på et system (de bør ikke være normal praksis) - det er ineffektivt og ens kollegaer er fuldstændig uden af stand til at vide hvad der er foregået (og har derfor sværere ved at hjælpe i tilfælde af problemer).

Og vi kan så faktisk også implementere automatisk test af de ting vi laver.. Man kan både rulle et "system op magen til - med samme regelsæt" - og man kan lave logiske checks - hvor man fra Puppet - får en "diff" af hvilke ressourcer ændringen giver den anledning til at justere på.. FØR man ruller en change ud på 1-100.000 + servere :)

  • 5
  • 0
#15 Klavs Klavsen

Ikke i deres øjne, der har de sparet unødvendige omkostninger væk. Der har jo ikke været brug for det (endnu).

Så starter det nok med at den der er i sådant et miljø - søger et andet arbejde. I vores branche er det rimelig nemt at finde bedre steder, hvor man ikke sidder alene uden sparring eller kollegaer - og hvor man altså godt kan tage rigtig ferie :)

  • 7
  • 0
#16 Povl H. Pedersen

Jeg antager at alle herinde med styr på basal sikkerhed også roterer/udskifter SSH keys med jævne mellemrum ? Eller er de 25 år gamle ?

Måske kan SSH keys kun vanskeligt knækkes, men de kan meget lettere stjæles, eller blive fundet.

Jeg bruger af princip unikke ssh keys per source enhed, da det så er let at fjerne adgangen for en enkelt enhed.

Men der er steder hvor man i stedet kopierer secret key rundt, det er lettere end at pille i alle destinations systemer.

Rotation af nøgler er ikke trivielt - Her mangler OSS lidt endnu. Det tyder på at der er et problem så stort at ingen har turdet løfte hjørnet af gulvtæppet endnu.

  • 1
  • 0
#17 Klavs Klavsen

Måske kan SSH keys kun vanskeligt knækkes, men de kan meget lettere stjæles, eller blive fundet.

Du bør i stedet bruge Yubikey eller lign. fysiske hardware nøgler som opbevarer en GPG nøgle på enheden som ALDRIG forlader enheden og derfor IKKE kan stjæles. Denne GPG nøgle kan bruges til at udlede en SSH nøgle - så det er din fysiske usb-enhed der giver adgang via SSH.

En yubikey kan så f.ex. sættes op så den kræver fysisk touch - før den udfører nogen som helst operation (og efter computer sleep eller at den indsættes i ny computer - har man 3 forsøg til at indtaste en pin/kode) - det hjælper også på misbrug.

  • 3
  • 0
#18 Baldur Norddahl
  • 0
  • 0
#22 Baldur Norddahl

Hvad er det du vil beskytte dig mod? og hvad er godt nok?

Alle biometri-produkter jeg har set mangler funktionalitet for at skifte fingeraftryk eller nethinde hver 3 år ?

For det første, så er det simpelthen et krav i visse sikkerhedsstandarter. Så kan vi jo synes hvad vi vil om det. Hvis man skal lave et system dertil, så må man jo have det.

For det andet, så er pointen ved tre-faktor at det gør det sværere for medarbejdere at låne eller stjæle hinandens identifikation. Eksempelvis, jeg har glemt mit kort, kan jeg ikke lige låne dit og koden er 7913 ikk? Virker ikke så godt hvis jeg også skal bruge kollegaens finger.

Falske positiver er ikke nær så stort et problem så længe der ikke er for mange falske negativer. Du skal også bruge de to andre ting (fysisk token og en kode). Fingeraftryk synes dog at være faldet i unåde for at være for nemt at snyde.

  • 0
  • 0
#23 Klavs Klavsen

For det andet, så er pointen ved tre-faktor at det gør det sværere for medarbejdere at låne eller stjæle hinandens identifikation. Eksempelvis, jeg har glemt mit kort, kan jeg ikke lige låne dit og koden er 7913 ikk? Virker ikke så godt hvis jeg også skal bruge kollegaens finger.

Når den anvendes til al adgang, signing af alle commits man laver osv. - så er den for sysadmins/udviklere - ihvertfald ikke en man låner ud - for så kan man ikke selv lave noget - plus at alt man laver, bliver gjort i kollegaens navn - og det er samtidigt enormt nemt at opdage den slags udlån hvis man gider kigge efter det.

  • 2
  • 0
#26 Claus Gårde Henriksen

God liste, Henrik. Sikkerhed = 1/belejlighed, og mindre belejlighed giver umiddelbart ikke profit, ... indtil man finder ud af, at det gør.

Jeg ville tilføje: Rullende konsistente snapshots og daglige backups som verificeres en gang imellem. Ret irriterende, hvis de nu alligevel skulle komme ind trods anstrengelserne.

  • 0
  • 0
Log ind eller Opret konto for at kommentere