Kære Chef, IT-sikkerheden halter
Kære Chef
IT-sikkerheden halter.
Sådan kunne et brev eller en længere email til din chef sikkert starte. Vi kender det allesammen, noget er galt men vi har ikke rigtigt overblik over det.
Vi har ikke fået ressourcerne til at gennemgå det hele, chefen har ikke sat nogen til det, vi har allesammen travlt.
Der er også andre som har travlt - hackere har travlt med at mappe potentielle mål, potentielle ofre, estimere deres indtjening på ransomware i jeres organisation.
Nedenfor følger en lille liste over ting du måske skal tale med din chef om ... inspireret af min viden om danske virksomheder over årene.
Det er ikke en udtømmende liste, men tænkt som inspiration til at I går igang med at samle alt det dårlige. Præsenter det for ledelsen, så I kan begynde at indæmme risiko, eller måske få lov at fjerne elementer.
Bemærk at en del af disse ting kan løses ved at indføre og følge basale best practice som https://www.cisecurity.org/controls/
Start fra starten med de basale kontroller som alle burde implementere.
Jeg er også super fan af Open Source, og nej Open Source er ikke svaret på alt. Til gengæld VED jeg af OpenSSH https://en.wikipedia.org/wiki/OpenSSH har eksisteret siden midten af 1990erne og er opdateret lige siden!
OpenSSH kommer som en del af operativsystemet OpenBSD som er et operativsystem som er ideelt til netværksnære services som DHCP, DNS, NTP, m.fl. men som også er fantastisk som firewall, router, BGP speaker, logningsenhed. https://en.wikipedia.org/wiki/OpenBSD . Tilsvarende er Debian Linux fra starten af 1990erne https://en.wikipedia.org/wiki/Debian . Begge er fantastiske alternativer til mange andre enheder og dimser I kan købe til jeres netværk.
Mit råd er, ud med appliances ind med open source, opdater løbende. YMMV.
Gamle systemer knirker og skal udfases
Gamle systemer som er end-of-life er en latent risiko, hvor virksomhederne er meget sårbare. Der er formentlig åbenlyse huller, kendte sikkerhedsproblemer, manglende beskyttelse. Hvis du kører systemer som er 20 år gamle, som er installeret uden hærdning - WTF! Har jeg set det i min karriere, ja.
Har jeg selv lukket en ESXi 4.1 i 2021 som jeg brugte til nogle af mine data, måske.
Hvis I ikke sikrer jeres døde systemer bliver de overtaget, udover at der er en risiko for at de stopper med at virke på det mest uhensigtsmæssige tidspunkt.
Hvis du absolut SKAL bruge et gammel system, så sæt det bagved en firewall som kun tillader helt nødvendig traffik til og fra systemet! Det kan gøres med en PC-Engines APU2 https://pcengines.ch/apu2.htm og OpenBSD PF https://www.openbsd.org/faq/pf/ for meget få penge. Fordelene er blandt andet at der ingen licens er, så man kan tilføje sǻ mange som det giver teknisk mening.
Kludetæpper af tilfældige enheder
Hvis I har et kludetæppe af forbrugerudstyr som I prøver at bruge til produktion i netværket gør I jer selv en bjørnetjeneste. Det var måske billigere i indkøb, men igen der er ingen opdateringer efter få år.
Jeg tænker her specielt på NAS, SAN-lignende enheder. Man kunne købe X Tb billigere med en QNAP eller lignende. NB: Jeg vil ikke tale grimt som QNAP som sådan, der er mange andre som helt sikkert er lige så ringe produkter til enterprise brug. Hvis en QNAP sælger bliver meget pikeret over mine udtalelser bedes vedkommende læse denne liste før de ringer/skriver https://www.cvedetails.com/vendor/10080/Qnap.html
https://www.cvedetails.com/vulnerability-list/vendor_id-10080/Qnap.html
Der er selvfølgelig også fejl i andre produkter som eksempelvis Netapp, og disse skal ligeledes håndteres. Forskellen er dog at der typisk er bedre værktøjer til monitorering, hvor jeg oftere ser at indbrud i QNAPs slet ikke opdages!
Netapp CVEer https://www.cvedetails.com/vendor/8376/Netapp.html
Jeg vil anbefale at man udskifter enheder til andre med central styring. Minimum i moderne netværk er at alle systemer kan styres centralt. Det betyder ændringer af konfiguration, audit, og logning m.v.
Hvis man kan sikre at der kun er adgang via SSH eller tilsvarende med gode regler for authentication, authorization og accounting/logging er vi kommet længere.
Kontrol med hardware
Nu vi snakker om hardware, så er der en masse enheder på vores netværk. Ingen har rigtigt styr på hvad der findes. Det er til gengæld nemt at scanne efter enhederne. Det giver typisk anledning til at stikke spaden dybere og så finder man:
- IPMI, ILO, DRAC -- styring af servere via netværk, ofte med standard koder eller utilstrækkelig konfiguration
- Printere -- med alle standard indstillinger
- VMware ESXi og lignende virtualiseringsplatform
- SAN, NAS, iSCSI plus tilhørende infrastruktur -- igen ofte med standardindstillinger
- UPS og batterianlæg -- gerne med SNMP version 1 community "public" eller HTTP management med brugernavn/kode admin/admin, tillykke enhver kan slukke for strømmen med en browser
Hvorfor kan alle tilgå alting?
Jeg er med på at vi stoler på medarbejdere, hvilket er fint nok i mange tilfælde. Desværre betyder det også at I stoler på alle enheder altid, hvilket vi ved er en dårlig antagelse!
Management interfaces
En stor del af ovenstående handler om adgang til styring af enheder og systemer, det som jeg typisk kalder management interfaces.
Disse er beregnet til brug af dem som konfigurerer systemer, typisk en IT-afdeling. Hvorfor tillader man så som standard at alle kan tilgå disse? Specielt VED vi jo over mange år at både Microsoft Remote Desktop, VMware ESXI interfaces, routere, switches osv. har dårlig kode og dårlige koder. Der er fundet så mange sårbarheder i disse interfaces at uden opdatering er der en forøget risiko for at nogen kan bryde ind, og samtidig er der tonsvis af eksempler på at dårlige koder ligeså har tilladt udefrakommende adgang til samme.
WTF?! Hvem tillader Microsoft Remote Desktop til kritiske servere fra internet i 2021!
- og få så opdateret jeres netværksudstyr, bare en gang om året
Til gengæld kan disse management interfaces nås fra snart sagt alle dele af virksomheden, grundet manglende segmentering.
Segmentering af netværk
Jeg har prædiket segmentering af netværk i mange år. Det er desværre faldet i baggrunden mange steder.
Segmentering af netværk er både enkelt, opnåeligt og effektivt. For hver gang I splitter en bunke udstyr ud i et seperat netværk/VLAN formindskes risikoen. Eksempelvis kan man starte med et management netværk til netværksudstyret, et til enheder - servere og virtualisering, så er man kommet igang med det.
Til klienter giver det endda ofte mere mening og er blevet nemmere at gøre.
Mange bruger næsten udelukkende Wi-Fi til klienter og der er mulighed for at putte enhederne automatisk i seperate netværk. Det er også ofte en mulighed at begrænse hvad der kan nås som almindelig bruger og en eventuel medarbejder i IT-afdelingen.
Hell, vi bruger det sågar på BornHack til styring af netværket - hvor NOC folkene kan tilgå management interfaces, men de andre deltagere kun skal "på Internet".
Det kan lyde som et surt opstød, men ovenstående skyldes at jeg er træt af at sige de samme ting igen og igen. Jeg mener at vi i mange mange mange tilfælde har viden om sikkerhedsmekanismer som enten løser problemerne, eller som mindsker skaderne i tilfælde af sikkerhedsbrud. Det er dårlig økonomi at ignorere den viden, som vi har haft siden måske 80erne eller 90erne -- hvor firewalls blev populære.
Lydspor
Puttet til sidst, da mange sikkert er ligeglade.
Det officielle lydspor til dette indlæg er disse sange
Long Train Runnin'
https://open.spotify.com/track/4nXkbcTj3nyww1cHkw5RAP?si=816bf50bde014d33
https://www.youtube.com/watch?v=m4tJSn0QtME
og
What a Fool Believes
https://open.spotify.com/track/2yBVeksU2EtrPJbTu4ZslK?si=ab7feecd2e724885
https://www.youtube.com/watch?v=dJe1iUuAW4M
Sangene handler om kærlighed, og jeg håber I elsker IT-sikkerhed, for med de mange udfordringer er det vist kun ildsjælene der sikrer vores netværk, systemer og data.
One Love <3
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
