Går det att skydda sig mot något du inte ser?

 

Antalet företag som har blivit drabbade av dataläckage är en stigande trend.

Den ena nyheten efter den andra där du kan läsa om allt från att hela städer hålls gisslan till att du hittat en sida med över 773 miljoner epost konton blivit exponerade och miljontals lösenord exponerade.

Vill du kontrollera om du är med på denna lista kan du gå in på sidan Have I Been Pwned för att se om du är drabbad.

Sverige är inte unikt utan ganska nyligen upptäcktes att 2,7 miljoner inspelade telefonsamtal till Vårdguiden hade legat publikt på en webb server.


Hur kan du då skydda dig mot allt detta eller minska risken?

Att riktigt eliminera risken helt och hållet, är nog svårt då några av de största företagen och organisationerna i världen har blivit drabbade av dataläckage.

Vi kan minska risken och i det fall olyckan är framme kan vi begränsa skadan.


Före attacken - Frågeställningen

Du kan aldrig säkra det du inte ser.

Har du inte visibilitet på det du vill säkra kan man heller veta ifall man tex haft dataläckage.

Att säga att man har hög säkerhet och bra säkerhetspolicy är inte detsamma som att verifiera det.

Du kan inte förbättra det du inte mäter och du kan inte säkra det du inte ser.


Verifiera säkerhetspolicy

Säkerhetspolicy är något vanligt förekommande på större företag.

Man kanske har en policy som att man inte får använda telnet, då den skickar inloggningsuppgifter okrypterat. En annan policy kan vara att man bara får använda företagets interna DNS servrar.

Både dessa exempel är bra på papper, men om man inte kan verifiera detta, blir dessa policys verkningslösa.

All vet, trots säkerhetspolicyn att man inte ska ha samma lösenord på flera olika sidor. Trots det visar sig ändå en opinionsundersökning att 59% använder samma lösenord överallt.


Före attacken - Det proaktiva arbetet


Säkra applikationer

För att kunna göra en ordentlig riskanalys på en applikation, behöver man visibilitet i applikationen och alla dess systemsamband.

Man behöver se vilka protokoll som används och vilka som har åtkomst mm.

Det är först när man har denna visibilitet som man kan göra en ordentlig riskanalys, dvs som är baserat på verkligt data och inte på Visio ritningar eller gamla excel ark.

Visibilitet är fundamentalt viktig i en cybersäkerhet strategi.

Systemsamband

När man ritar upp systemsambanden med hjälp av AppResponse, så är följande kommentarer vanliga.

“Den servern borde inte vara igång, varför är den det?”

“Detta kan inte stämma, den kopplingen finns inte i mitt Visio diagram.”

Efter attacken - intrånget har skett

Det viktigaste är att förstå hur det kunde ske.

Förutsättningarna för detta är visibilitet som man bäst uppnår genom följande:

Spara all nätverkstrafik hela tiden och ha tillräckligt historik, inklusive nätverkspaket med applikationsdata.

För att verkligen kunna förstå vad som har inträffat samt göra en korrekt utredning, så behövs det nätverkspaket. Loggar kan lättare tas bort alternativt manipuleras. Medan nätverkspaket är ett mycket säkrare sätt att samla bevis.

Att kunna ha möjligheten att gå tillbaka flera veckor och se paketdatat, möjliggör en snabb och korrekt analys över det som hänt.

Man har haft ett intrång - vad nu?

Om vi utgår ifrån att man upptäckt att intrånget är någon form av malware där hackaren haft åtkomst till servern. Många malware och trojaner brukar rapportera hem till en C&C server. Denna C&C server har då kontrollen över den infekterade servern och kan göra vad man vill med den.

Den infekterade servern kan vara med i större BOT nätverk. Den kan jobba med att utvinna cryptovalutor mm.

Bland de första aktiviteterna man vill göra är att uppskatta omfattningen av skadan.

Verifiera vilka servrar som var inblandade

Var det bara en server som var inblandad? Blev flera servrar och klienter inblandade? Hur stor spridning blev det?

Plocka ut nätverksdata över hela incidenten för analys

Vanligt förekommande är att man sedan gör en säkerhetsanalys på paketdatat. Här kan man identifiera hur mycket data som har skickats och på vilka portar och andra ledtrådar.

Det värsta scenariot är att man haft ett intrång, men inte haft tillräckligt övervakning för att avgöra hur det skett eller om det kan ske igen.

Användning av en portaggregator som Gigamon passar sig väldigt bra i komplexa nätverk där man vill samla in nätverkspaket från olika segment.

Att kontinuerligt spara nätverksdata är en förutsättning för att kunna jobba proaktivt, men även identifiera vad som hänt när intrånget är ett faktum.

Kontakta oss på Rebendo så kan vi berätta hur vi kan hjälpa dig med att få visibilitet genom nätverksdata och bli proaktiv inom IT-säkerhet.

Hur ser du på IT-säkerhet och paketdata? Är det en grundförutsättning för att kunna ha en effektiv SOC eller mer än “nice to have”? Vad tycker du?

 
RebendoComment