Å surfe på VG er ikke typisk farlig. Du gjør det helt sikkert daglig fra PCen din. Å surfe på VG fra serveren din, er isolert sett gjerne heller ikke farlig, men er det nødvendig? Kan du surfe på VG fra dine mest kritiske servere, kan de samme serverne mest sannsynlig også gjøre akkurat det de kriminelle aktørene vil at de skal gjøre mot internett, som f.eks å åpne en bakdør for et permanent fotfeste i ditt datasenter.
En suksessfull hendelse er avhengig av en kjede med hendelser. Dette er bl.a beskrevet i CyberKillChain av Lockheed Martin. Punkt 6 i denne listen er «Command and Control», også beskrevet som C&C og C2. Dette er åpning og benyttelse/utnyttelse av en bakdør. Dette er ofte bare beskrevet som en fotnote, som en del av en bisetning, i de alle fleste artikler.
Er Command and Control bare nevnt, uten mer informasjon, fordi dette er en gråsone å adressere for mange? Er det slik fordi dette ikke inngår i kompetansen til de som skriver artiklene? Er det nærmest ignorert og akseptert, fordi man anser det som vanskelig å angripe? Er det dyttet til siden fordi det ikke er like avansert og sexy som selve malwaren som har kode og gjør mye kult? Er det ignorert fordi de som skriver artikler om avansert skadevare ikke har nok kompetanse på nettverksikkerhet? Jeg er usikker.
Poenget mitt med denne artikkelen, er å synliggjøre, enda en gang, at dette er enkelt å adressere, og dermed knekke kjeden av hendelser aktørene trenger å gjøre suksess med for å gjøre total suksess.
Se video hvordan adressere VG-testen.
Sarpsborg kommune har tatt VG-testen
Gøran Tømte har tatt en prat med Yngve Jensen i Sarpsborg kommune som har tatt VG-testen. Se video
Det er primært to verdener for sikkerhet mot slike hendelser: endepunktsikkerhet og nettverkssikkerhet
Endepunktsikkerhet - å sikre endepunktet, i denne sammenheng serveren, er viktig. Det er mange ting man kan og bør gjøre, som bl.a. å følge Center for Internet Security (CIS) sine anbefalinger. På toppen av dette er det vanlig å ha en aktiv endepunktsikkerhet, i form av Antivirus, eller en moderne variant av denne. Allikevel skjer suksessfulle hendelser. Hvorfor? Antivirus, eller mer moderne teknologi, har en «default allow» funksjon. Det vil si at om den ikke finner noe skadelig, vil trafikken tillates. Løsningen har til hensikt å stoppe skadelig aktivitet. Dette kan man gjerne kalle en negativ approach, uten at det på den måten er negativt, bare at løsningen er bygd for å sperre uønskede ting. Endepunktsikring innehar typisk ikke tilgangskontroll.
Nettverkssikkerhet - gjerne en brannmur. En brannmurs primære oppgave er å tillate trafikk. En ny brannmur uten konfigurasjon har en policy som sperrer all trafikk. Derfra er brannmurens oppgave å tillate kommunikasjon basert på policyer. Dette er altså en positiv approach, ved at man tar kontroll på hva som skal tillates. Tilgangskontroll. Dette blir med andre ord helt motsatt av tradisjonell endepunktsikkerhet. Slik har det vært siden pakkefiltrering og deretter brannmuren kom på 80-tallet. Og det er her man kan gjøre en forskjell med Command and Control. Det er her man kan ta kontroll med hva en server skal få lov til å gjøre mot internett. Gjør man ikke denne jobben skikkelig, og tillater all kommunikasjon utgående mot internett, er motorveien for skurkene åpen. Problemet er kanskje at dette er «vanlig», og derfor enkelt, og kanskje derfor bare nevnes i en bisetning i artikler.
Så! Vi er i 2021. Vi har i mange år levd med sikkerhetshendelser, som bl.a. utnytter denne åpne døren, uten å gi den stort fokus. Det er på tida å ta tak i dette for å redusere angrepsflaten. Hva skal din domenekontroller gjøre på internett? Finn ut av det, risikovurder det, og tillat bare det. Gjør det samme for de mest kritiske tjenestene.
Ta kontakt med oss for å få synlighet på hva dine servere gjør mot internett og deretter starte prosessen med tilgangskontroll for dine mest kritiske verdier.
Les også artikkelen IP vs FQDN vs URL
