IKT-Sikkerhet
Ulik trafikk har ulike behov. Systemer/brukere som ikke skal/trenger å snakke sammen bør ikke få mulighet til... Endre fokus fra å få lov til, til å bli beskyttet mot... De fleste spredninger er utilsiktede...
Hvilke verktøy benytter vi for å oppnå segmentering? Internt: Brannmur Vlan Fysisk kabling Eksternt: Brannmur VPN
VLAN Virtual Local Area Network Utføres med å «merke» datapakker på kabel med egne verdier for å segmentere disse Porter i switcher for utstyr tildeles ett VLAN Porter mellom switcher tildeles flere VLAN Økt fokus: Switchen er ett sikkerhetsverktøy og må driftes som det.
VLAN Tilnærmet strømanalogi: Gir mulighet til å kjøre forskjellige spenninger i samme kabel samtidig Tilsvarende teknologi: Modulasjon av flere frekvenser på samme coax kabel. TV kanaler...
Fysisk skille med flere separate nett Fordeler: enkelt i starten Bakdeler: Svært lite fleksibelt, de fleste vokser ut av dette... Kontorstøtte, Telefoni, Måler, Bryter, Driftskontroll, etc...
VLAN: Fordel:Svært fleksibelt Bakdel: Må konfigure switcher og ha støtte i switcher. (Svært gammel standard)
Eksempel på trafikkflyt
Hva skal være grunnlag for segmentering? Ingen fasit Grupper enheter som har forskjellige kommunikasjonsbehov Eksempel LAN brukere LAN Servere Telefoni Bryterstyring Måleravlesning Gjestenett Sikker sone Elevnett Lærer nett
Når vi så har segmentert trafikken Hvordan får vi da snakket sammen? Benytter en Brannmur som router/kontrollør Sterk annbefaling å separere brukere/servere Kan kreve ekstra ressurser, men høg «gevinst»
Brannmur på alle «veier inn»/grenser VPN/remote oppkobling ansatte kontor VPN/remote oppkobling montører VPN/remote oppkobling levrandører Oppringt GSM Minikraftverk Bredbåndsavdeling Ikke anbefalt løsning Ikke brannmur Utstyr rett på internett Brannmur uten riktig konfig Eksterne Brannmurer Bra løsning Siste generasjon Brannmur mellom alle nettsegmenter og på alle grenser
Ble opprinnelig etablert med rene filtre på hvem som fikk sammen. Alle maskiner på Internett hadde offentlige Internett addresser Brannmuren hadde i svært liten grad forståelse av innholdet som ble sendt igjennom
Dagens brannmurer må ha mulighet for dyp analyse av innholdet i trafikken. «Badguys» forsøker å skjule sin «nyttetrafikk» innenfor trafikk som er tillatt. Eksempel: Tillater man NTP(tidssynkronisering) fra Internett, kan man sende data ut forkledd som NTP. Trenger da att brannmuren ser att dette ikke er gyldig NTP trafikk og sperrer for kommunikasjonen.
Mellom Brukere og Servere Trengs det virkelig full tilgang til alle brukere? Beskytt brukere! (For/Fra) - Må bruke litt kroner...
Det kan være nødvendig med flere brannmurer, avhengig av kommunikasjosbehov Disse skal da være i kontroll av egen organisasjon
Det skal ikke være eksterne brannmurer plassert inn i nettet.
Utstyr rett på internett/offisiell adresse «Enkelt» siden det virker... Alle kan reise hjem tidlig... Konsekvensen: Systemet er svært sårbare/tilgjenglige Ofte systemer som ikke vedlikeholdes Klimastyring,spenningsmålere
Utstyr rett på internett/offisiell adresse En konklusjon: Slike løsninger skal ikke etableres... Plasseres bak dedikerte brannmurer eller dedikerte DMZ soner.
Oppdater program og maskinvare Installere sikkerhetoppdatering så fort som mulig Varsel fra leverandørene Varsel fra KraftCERT/NC-Spectrum
Benytt kjente løsninger Må ha mulighet for raske oppdateringer (timer ikke dager) Full daglig scanning av maskiner Sentral styring og logføring av all aktivitet
Krav til brukere Alltid scanne minnepenner/ eksterne harddisker Bevistgjøring av brukere på infeksjon: Program tar lenger tid enn normalt å starte Plutselig reduksjon i ledig minne og diskplass Mange nye filer, programer og prosesser Popups (reklame etc) Unormale restarter av maskinen Økt nettbruk/trafikk Husk Positiv forsterkning!
Benytte sky tjenester eksternt i kombinasjon med interne systemer i tillegg Ha kontroll både inngående og utgående Inngående for å beskytte eget nett Utgående for å være en god internettborger
Basic: Offsite løpende Den enkle løsningen på feks Cryptolocker... Moderne backupløsninger gir mulighet for arkivering over lang tid Dedublisering + Vurder også backup av arbeidsstasjoner Veeam Endpoint Backup Free Kan lagre mot rimlige NAS løsninger ~ 10 for 4x4TB
Bytt standardpassord/defaultpassord Ikke tildel sluttbrukere administratorrettigheter Rutiner for aktivisering og deaktivsering av konto/brukere
Man må ha løpende oversikt over hva som skjer i nettet Det meste har mulighet for å automatisk logføre hendelser Hvem skal analysere disse loggene? Hvordan skal man analysere disse? Hvordan skal det eskaleres?
«Avlytting» av trafikk for å se etter uønskede trafikkmønstre Mer komplett «avlytting» ved segmentering av brukere og servere
Gjør dokumentasjonen til en del av driften Planlegg arbeid med basis i dokumentasjon Informasjon bør i størst mulig grad høre hjemme på ett sted Eksempel: Flere nivå av skisser > ute av sync..
Gammelt nytt, men Epost må ansees som usikkert. (Postkort som blir transport av tilfeldige, og som kanskje ligger i hentekassa på postkontoret til slutt (butikken...) Ingen garanti for at bare mottaker for eposten Ingen leveringsgaranti (levere kortet til en tilfeldig på gata, som leverer videre til anna tilfeldig etc) Avsender ingen påvirkning på vei eposten går fra sender til mottaker Merking av epost som konfidensielt «trigger» lesing av uvedkomne Bevisstgjøring av bruken Bruk kryptering
Oppsummering Ingen kostnader?
1. Segmentering av nett 2. Brannmur 3. Oppdatering av software 4. Antivirus 5. Backup 6. Oppdaterte brukerkonto/passord/tilgang 7. Overvåking/driftsverktøy/log analyse 8. IDS 9. Oppdatert dokumentasjon 10. Kryptering/sertifikat
Kontakt: eva.brekka@nc-spectrum.no Telefon: 35 20 30 00 www.nc-spectrum.no