Klienter, de digitale, er til besvær. Få de ut av nettverkene. De blir en distraksjon i ditt sikkerhetsarbeid.
Ja, rent teknisk kan disse misbrukes for å gjøre skade, men hvor ofte gjør de det? Hvorfor bruke mer tid på klientsikkerhet enn på de virkelige verdiene dine?
Joda. Ransomware er en absolutt reell trussel, og man skal ha sikkerhet på klientene, men det er ikke skade på selve klienten som skaper de store overskriftene. Spredning av ransomware til ditt datasenter er det virkelig farlige.
Exchange-hendelsene på Stortinget skjedde ikke via klientene. SolarWinds Orion hendelsen skjedde ikke via klientene. Helse Sør-Øst hendelsen i 2018 skjedde ikke via klientene. Østre Toten kommune hendelsen ser heller ikke ut til å ha skjedd via klientene. Hva sier det oss? Et par ting:
- vi har ikke sikret gullet vårt godt nok
- vi må kanskje endre måten vi gjør ting på
Dette handler om Zero Trust, og beskrives i artikkelen Teknologien har skylden for sikkerhetshendelsene. Temaet om å få klientene ut av nettverket er også en del av Zero Trust. Faktisk en veldig viktig del. Tillit er en sårbarhet. Tillit til klientene, de digitale, er en sårbarhet. Få de ut av nettverket.
Få klientene ut av nettverket
I en hektisk hverdag, er det lurt å kvitte seg med distraksjoner. En av disse er klientene. Få de ut av nettverket. Fjern de fra ditt interne nettverk. Fjern den unødvendige kompleksiteten og økte risikoen ved å ha en kontorløsning og hjemmekontorløsning, som er to forskjellige løsninger, som kanskje oppleves forskjellig, og som sikkerhetsmessig er uheldige. Alt skriveriet om at økt hjemmekontor under korona har økt risikoen, er også et tegn på at vi må tenke litt annerledes. Tradisjonelt er klienter på «innsiden», og basert på det, antar man at alt er sikkert, både fra et klient og verdi ståsted. Alvorlig. Man antar at alle enheter på et intern nettverk er snille, og basert på enhetens IP- adresse gir tilgang, uten å vite hvem eller hva som prøver å aksessere tjenesten, dataene, applikasjonen eller serveren.
Bytt ut hjemmekontor med klientløsning
Fjern konseptet om kontornett og hjemmekontorløsning. Etabler en klientløsning, som er ment for å sikre klienter, alltid, uansett hvor de er, og gi en sikker og kontrollert tilgang, uansett hvor du måtte befinne deg. Om du sitter fysisk på kontoret, hjemmekontoret, er på ferie, på hytta eller i eksternt møte, er din digitale enhet alltid en risiko. Du kan, og skal, aldri stole på den enheten. Derfor skal du alltid verifisere deg med to-faktor autentisering før du gis tillatelse til å aksessere noen som helst funksjon, verdi eller tjeneste. For det er du som person som skal gjøre en jobb, som oftest, og ikke din PC eller IP-adresse. Derfor er det veldig viktig å verifisere at det faktisk er deg. Dette høres ut som en klientløsning, som jeg også har sagt at det er, men det handler egentlig om en løsning som er der for å enda bedre sikre tjenestene og funksjonene dine. Verdiene dine. Det handler om å redusere angrepsflaten. Just in time. Least Privilege. Zero Trust.
Ransomware
Hva har dette å si på ransomware? Veldig mye. Du kan fortsatt få ransomware på klientene, men spredningen til servere vil være vanskelig å få til. Behandle klientene som usikre, alltid. Behandle klientene som om de er på et usikkert nettverk (Les internett), for det er de alltid. Da fjerner du en distraksjon i ditt sikkerhetsarbeid. Da blir ditt sikkerhetsarbeid enklere og sikkerheten bedre. For at ransomware da skal bli en overskriftssak, må noen få denne skadevaren på innsiden til serverne dine via en annen vei enn via klientene, og da snakker vi en helt annen story, som er beskrevet i en annen artikkel, som omhandler Zero Trust, segmentering, god tilgangskontroll basert på Kiplings metode, som bidrar til best mulig visibilitet, best kontroll, minst angrepsflate og dermed best sikkerhet.
NAC
Så hvor er Network Access Control (NAC) i disse anbefalingene? Man kontrollerer tilgang til et nettverk. Hvorfor er dette viktig? Jo, fordi man har en policy som tillater nettverk tilgang til tjenester og verdier. Men dette har vi jo snakket om at tilhører fortiden. Vi ønsker nå å gi tilgang til brukere, og ikke enheter eller IP-adresser. NAC tilhører nå fortiden. Bruk gjerne NAC for IoT og annet spesialutstyr, og så sendes alt annet utstyr til et usikkert nettverk, inkludert alle klientene. Enda en distraksjon fjernet. Enklere oppsett. Mindre kompleksitet. Bedre sikkerhet.
Konklusjon
Etabler en klientløsning, for alle klienter, uansett hvor de måtte befinne seg. Verifiser alle klienter med MFA før tilgang, alltid. Bruk for eksempel en Always On VPN løsning, som vil adressere dette, samt at det vil bidra til økt sikkerhet for klientene, alltid. Med dette etableres gode barrierer for god tilgangskontroll basert på Kiplings metode, som en viktig parameter for best mulig sikre dine verdier, i tråd med Zero Trust.
