Af chefkonsulent Steffen Ørnemark
For nyligt kunne man læse om et cyber-angreb på udenrigsministeriet
Det var angiveligt et APT, eller Advanced Persistant Threat. Denne slags angreb kommer ofte i form af vedhæftede filer som medarbejdere åbner af nysgerrighed. Blot endnu en reminder om at sikker starter mellem ørerne.
Alle efterretningstjenester og politiovervågning har behov for at få tegnet et normal billede. Det gør overvågning mere effektiv hvis man kan have fokus på ændringer i normalbillede fremfor at holde øje med alt hele tiden. Dette er også tilfældet for at kunne finde de mere avancerede typer af angreb. Altså opbyg et normalbillede!
I et it-miljø er brugerne og systemerne de vigtigste elementer i dette normalbillede
Jeg er sikker på at alle de oplysninger der skal til for at udgøre data fundamentet allerede er tilstede i de fleste organisationer. Log-filerne !!
Men det er ikke nok med bare at have log-filerne. Data skal samles og analyseres.
Jeg havde for nyligt en samtale med en meget dygtig it-sikkerhedskonsulent. Han arbejder i fast ansættelse i en stor organisation – desværre kæmpede han lidt en forgæves kamp for at kunne samkøre log-filer fra forskellige systemer. Tilsyneladende har ledelsen svært ved at se potentialet i at analysere på data på tværs. Jeg er sikker på at han ikke er ene om den kamp. Men ved APT-angreb kan det være afgørende at kunne tegne et adfærdsbillede på tværs af systemer.
Avancerede angreb kan kun afsløres hvis det samlede normalbillede kendes – dette kan der skabes overblik over ved en meget simpel samkørsel af log filerne.
Det behøver ikke være dyrt og besværligt for brugerne. Man kan derimod klart argumentere for ar log-filerne også indeholder alle de data man kan styre sin SLA’er med og man kan justere sin uddannelse og få ideer til at udvikle systemer til bedre brugervenlighed.
Det andet afgørende element er styr på brugerne. Da jeg var med til at forme Region Midtjyllands it-fundament fik vi heldigvis gennemført et sammenhængende IDM-projekt. Rigtigt implementeret IDM (eller IAM) giver både fremragende muligheder for at opbygge et normal billede af brugere på tværs af systemerne.
IDM vil blive opfattet som en gevinst for brugerne hvis man kan bruge sit login på tværs af alle sine systemer (burde være en bruger ret for alle i 2016!) – vi kan faktisk afskaffe vores klassiske login med noget mere begavet ved at bruge en god basis IDM og ganske lidt ekstra.
IDM kan nemt blive modarbejdet af projektledere med kortsynede interesser for øje – fordi det kan være lidt besværligt for PL. Men organisationens gevinster er så store at det burde opveje de små komplikationer for PL’ere.
Et lidt overset element i IDM er styring af rettigheder til alle de “brugere” i vores it-miljø som ikke er mennesker. Vi har mange maskiner og devices som kommunikere idag både med hinanden og til datasamlende systemer (sensorer m.m.). Men også mange devices som kommunikerer funktionsdata med en leverandør (printere som beder om service)
Denne type it-sikkerhed gennem idm er meget vigtig og vil være et emne for et senere indlæg.
Men jeg kom til at huske en lille historie om en glarmester der havde allieret sig med en lille gruppe lokale lømler. Nogle af disse store knægte delte løbesedler ud med tilbud fra glarmesteren – kort tid efter at andre af lømlerne smadrede nogle ruder i samme kvarter. Ganske fortagsomt – og på den forkerte side af lovgivningen. Prøv at leg med samme tanke med servicevirksomheder i it-branchen. Godt at moralen i it-servicevirksomheder er så høj at bestikkelse og denne slags snyd aldrig vil finde sted.
Tak til CFCS og FE for at offentliggøre dette angreb – det er vigtigt for vores awareness at vi får informationer om nogle af disse angreb – og awareness i dette tilfælde er altså blot det der sker mellem ørerne på os – det er her sikkerhed starter
Så øg din it-sikkerhed med det nemme – brug log-filerne aktivt!!
… og gå igang med det som er basis i enhver cybersikkerhed – IDM!
Men først og fremmest så starter sikkerhed mellem ørerne!