IT-säkerhet är tyvärr fortfarande ett område där framför allt organisationernas ledande beslutsfattare saknar tillräckliga kunskaper och hellre överlåter (knuffar) säkerhetsfrågorna nedåt i organisationen. För att slutligen landa hos IT-avdelningen som ofta i praktiken består av ett litet team på en till några få personer.
Vi har därför i detta blogginlägg skapat en avskalad “IT-säkerhetsmanual” där vi kort redogör för de 9 viktigaste stegen som behövs för att bygga upp en kompetent IT-säkerhet i organisationen.
De 9 stegen utgör själva grunden i IT-säkerhetsarbetet och är de samma oavsett organisationens storlek. Skillnaden i storlek avgör i stället teknikval, behövd säkerhetsnivå samt storleken på budgeten för säkerhetsarbetet.
De 9 stegen är inte någon komplett manual utan skall endast ses som en introduktion. Alla organisationer har sina unika behov och krav och bör bygga upp sin IT-säkerhet enligt dessa.
Blogginlägget vänder sig främst till beslutsfattare men bör också vara intressant för dig som vill veta mer om hur en heltäckande IT-säkerhet byggs upp på rätt sätt.
Vi har lång erfarenhet av detta och hjälper gärna till där det behövs, ta kontakt för en diskussion om hur vi kan hjälpa just dig och din organisation!
1. Säkerhetspolicyer och -rutiner
Policyer och rutiner är hörnstenarna i IT-styrning och -strategi. Detta innebär bland annat att skapa en organisationsmodell som passar verksamhetens övergripande mål, att definiera processer för hantering av IT-frågor på kort och lång sikt samt att kontinuerlig följa upp att IT-organisationen levererar rätt kvalitet på rätt sätt.
Genom att skapa och dokumentera solida policyer och procedurer får organisationen en heltäckande och sammanhållande IT- och säkerhetsritning för IT-miljön, infrastruktur, underhåll, hantering, åtgärdande av problem och utveckling. Detta dokument förbereder också miljön för att fungera inom alla ramar och uppfylla efterlevnadskrav.
IT-chefen, ofta en Chief Information Officer (CIO), är ytterst ansvarig för IT-styrningen och är också den som tar fram alla policyer och rutiner i samråd med samtliga berörda. Som sedan förankras i och godkännas av organisationens högsta ledning. Detta är ett omfattande arbete som ofta bedrivs som ett projekt med stöd av externa konsulter.
Policyer och rutiner skall följa en föränderlig verksamhet och vardag och bör revideras regelbundet.
2. Gateway-säkerhet
God gateway-säkerhet (Security Gateway, Data Guard, Information Exchange Gateway) är avgörande för att hålla obehöriga utanför den interna IT-miljön. Det finns idag en uppsjö av olika gateways och brandväggar med olika funktionalitet. De faktiska behoven, inte ihärdiga säljare, skall avgöra vilken gateway och brandvägg som fungerar bäst för organisationens IT-miljö.
Tex en IT-miljö med hög genomströmning till ett stort nätverk med ett stort antal interna IP-adresser kan behöva en NGFW (Next Generation Firewall) som bara kör ett fåtal tjänster lokalt och reserverar majoriteten av sina resurser för ingående-utgående trafik. I en IT-miljö som kräver en mycket hög säkerhetsnivå men har begränsad extern bandbredd är kanske en UTM (Unified Threat Management) brandvägg som kör ett stort antal tjänster ett bättre alternativ.
Oavsett lösning kommer den att kräva betydande resurser för att upprätthålla tjänster som DPI (djup paketinspektion), DLP (förebyggande av dataförlust), gateway-antivirus, webbfiltrering, e-postfiltrering och andra avancerade säkerhetstjänster.
Också här bör man ta extern experthjälp vid valet av lösning och även vid implementationen av denna. Organisationens IT-avdelning bör samtidigt få en så ingående utbildning i lösningen att de sedan självständigt kan hantera denna.
3. Slutpunktssäkerhet (EDR)
EDR (Endpoint Detection and Response) är ett extra skydd utöver den lokala brandväggen i datorer, servers, mobiler, IoT och annan motsvarande utrustning som använder hot-intelligensflöden i realtid för att aktivt ta bort skadlig programvara baserat på heuristiska data. Det finns också lösningar som använder analys av användarens beteende. En EDR-lösning skall alltså vara mer än ett traditionellt antivirus- och anti-malwareskydd.
4. Identitets- och åtkomsthantering (IAM, MFA)
Identitets- och åtkomsthantering IAM (Identity and Access Management) är en IT-disciplin med programvarulösningar som hanterar åtkomsträttigheter till känsliga företagsresurser såsom databaser, appar, system, enheter och fysiska resurser som byggnader och rum.
IAM har 2 huvudsakliga områden;
- Identiteshantering där man skapar, tilldelar och administrerar användares identiteter under användarens hela livscykel i en organisation.
- Åtkomsthantering där man definierar, tilldelar, hanterar och administrerar åtkomsträttigheter av organisationens resurser samt autentiserar användare när de utnyttjar resurserna.
Dessa tjänster sträcker sig från Active Directory och LDAP (Lightweight Directory Access Protocol), Cloud LDAP och autentiseringstjänster som tex AWS IAM-tjänster, Microsoft Azure Active Directory-tjänster och Google Directory-tjänster. Det finns idag mängder av IAM-tjänster att välja mellan, IT-miljön skall bestämma vilken typ av IAM-tjänster som ska användas.
En viktig del av IAM är MFA (Multi Factor Authentication). Här gäller att MFA-lösningen (steg 2 i inloggningen) i sig är säker och är åtskild från inloggningen med användarnamn och lösenord (steg 1 i inloggningen). Tex bör MFA-systemet inte sända engångskoder via SMS då SMS-system i sig är osäkra då SMS skickas i klartext.
IAM och MFA är förmodligen de viktigaste aspekterna av din säkerhetslösning eftersom de inte bara kontrollerar ingångsautentisering från WAN, utan också validerar och autentiserar interna användare som begär åtkomst till olika resurser.
Zero Trust-säkerhet är en relativt ny säkerhetsmodell som kort beskrivet innebär att ingen är betrodd som standard, varken inifrån eller utanför nätverket, och att verifiering krävs av samtliga (människor, enheter och tjänster) som försöker få tillgång till resurser på nätverket. Zero Trust blir allt viktigare i takt med att externa molntjänster bäddas in i den interna IT-miljön och när det gäller att skydda extern access vid tex distansarbete.
VIKTIGT! Zero Trust får allt större popularitet och det finns en växande uppsjö av mjukvara och tjänster som felaktigt anges som “Zero Trust”. Men Zero Trust är ett ramverk innehållande många olika anpassade lösningar.
5. Mobilt skydd, fjärråtkomst och virtuella privata nätverk (VPN)
Mobila enheter är idag vanliga på arbetsplatsen och skapar en litet annorlunda situation än i de traditionella nätverken för säkerhetspersonalen som har till uppgift att säkra IT-miljöerna.
En av de viktigaste åtgärderna är MDM (mobil enhetshantering) som implementerar trådlösa nätverk som förhindrar enheter från att ansluta till nätverket om de inte klarar autentisering och skanning för att säkerställa att den mobila enheten uppfyller de förinställda kraven. Tex tillåter många inte några tredje parts nedladdningar utanför den föreskrivna tillverkarens butik. MDM ser också till att antivirus och anti-malware är installerat och uppdaterat samt att de mobila operativsystemen och apparna uppdateras.
Många EDR-lösningar har fö specialversioner som passar de flesta mobila operativsystemen.
Fjärråtkomst via VPN (Virtual Private Network) möjliggör anslutning till organisationens nätverk och IT-tillgångar men lämnar samtidigt, fel implementerat, ett fönster vidöppet för angriparna att smyga sig in genom.
VARNING! En ofta använd fjärråtkomstlösning sedan gammalt är att implementera enkla VPN-anslutningar till brandväggen eller gateway-routern som, med ett enkelt handslag och en GRE-tunnel till alla fjärrändpunkter för att skicka trafik genom de öppna VPN-portarna, ger access rakt in i din IT-miljö. Detta är riskabelt och rekommenderas inte!
En bättre lösning är att brandväggen eller gateway-routern hanterar VPN-tunnlar som leder till en speciell VPN-koncentrator. Som sedan hanterar VPN-anslutningar som skapas med IPSec (med AES256 eller högre kryptering över TLS) i stället för GRE.
IPSec-anslutningar är tyvärr komplicerade att implementera med mycket arbete inblandat eftersom de bygger på säkerhetscertifikat. Men detta extra arbete är viktigt för att skapa säkert handslag och anslutning mellan de två enheterna. Anlita gärna en extern expert för implementeringen och utbilda IT-personalen i hanteringen.
Moderna alternativ till VPN som tex SSH-tunnlar (Secure Shell), SD-WAN (Software-Defined Wide Area Network) och SASE (Secure Access Service Edge) används dock i allt högre grad pga svagheterna i VPN där tex användningen av Zero Trust blir komplicerad.
6. Trådlöst nätverkssäkerhet
Det finns många aspekter av WiFi-säkerhet men de viktigaste är:
- Använd alltid WAP2 eller WAP3 med AES256-kryptering.
- Använd långa lösenord (minst 12 tecken) som innehåller slumpmässiga(!) tecken, siffror och bokstäver. Använd inte en mening som lösenord i sammanhang där många skall använda samma lösenord.
- Ange en unik SSID och använd samma till alla användna band. Olika SSID kan användas för access med olika behörigheter men bör då ha egna accesspunkter.
- Använd separat gäst-WiFi med obligatorisk autentisering (släpp aldrig in en gäst i produktions WiFi-nätet!) och begränsad åtkomst. Detta kommer att förhindra/avskräcka spoofing av gästnätverket och ger möjlighet att samla in information om varje tillgång som ansluter.
– Andra saker att titta på är autentiseringstyper; 802.1x, Active Directory, LDAP, AAA-tjänster är några av de mer populära autentiseringstyperna. - Regelbunden scanning efter skadliga accesspunkter (Rogue AP Detection). En “Rogue AP” är en trådlös accesspunkt som sprider interna SSID men för ett annat nätverk. Genom denna hackningsteknik kan de skadliga accesspunkterna komma åt klienters data, vilket hotar nätverkssäkerheten.
- Uppdatera mjukvaran i samtliga accesspunkter! Detta glöms tyvärr ofta bort med följden att allvarliga säkerhetshål inte korrigeras och tex kan utnyttjas för överlasningsattacker (DDoS) mm.
7. Säkerhetskopiering och återställning (BDR)
Säkerhetskopierings- och återställningstjänster, BDR (Backup and Disaster Recovery), är viktiga för att en organisations incidentplanering ska kunna hållas igång i händelse av en större katastrof.
Oavsett om man väljer att sköta BDR internt eller köpa in den som en extern tjänst måste man alltid se till att vald BDR-strategi och -lösning möter organisationens behov till 100%.
Glöm inte bort att BDR skall finnas för alla externa tjänster! Här gäller även att säkerställa att man alltid har full egen tillgång till eget data. Tex genom möjligheten att ladda ned backuper eller själv kan ta backup med eget BDR system. Många molnleverantörer, tex Microsoft 365, erbjuder idag backup via 3-part till extern lagring vilket kan ge ett extra skydd mot tex ransomware attacker.
SLA (Service Level Agreement) för BDR skall alltid, oavsett om det är en intern eller extern leverantör (av BDR eller tex molntjänster), ha minst 99,999% tillförlitlighet.
BDR skall hanteras i ett separat system utanför den vanliga produktionsmiljön, gärna i en annan datahall/-rum med speciell access, och naturligtvis ha ett särskilt fokus när det gäller underhåll. Återställning skall testas regelbundet i en egen miljö helt avskild från produktionsmiljön.
8. Miljösynlighet
Ett bra SIEM-system (Security Information and Event Management) förser säkerhetsteamet med detaljerad nätverks- och tillgångssynlighet, aggregering och analys av alla loggfiler i miljön, möjligheten att organisera och söka i loggfilerna på ett organiserat sätt samt möjliggör forensik (kriminaltekniska undersökningsmetoder) vid behov.
De flesta SIEM-systemen tillhandahåller mycket detaljerade funktioner och kräver en mycket hög nivå av tekniska färdigheter för att distribuera, konfigurera och underhålla. Anlita gärna extern hjälp initialt med detta och glöm inte utbildningen av säkerhetsteamet.
9. Utbildning och fortbildning
Utvecklingen inom IT och digitalisering sker i ett mycket högt tempo med ständigt nya kunskapskrav även hos “den vanliga användaren”. Säkerhetsmässigt skapar detta ett stort problem då de allra flesta säkerhetsincidenterna uppstår genom användarfel, misstag och direkta angrepp från tom egna medarbetare.
Utbildningsnivån hos samtliga medarbetare i organisationen måste alltså motsvara deras uppgifter och ansvar i den dagliga verksamheten. Utbildning och regelbunden fortbildning är alltså en viktig investering i säkerhet. Här gäller även att den högsta ledningen får en adekvat säkerhetsutbildning så att man förstår den delen av verksamheten och kan fatta rätt belut!
VIKTIGT! Organisationens säkerhet är inte längre en fråga för IT-avdelningen utan skall utgå från de högsta beslutsfattarna där en skall vara ansvarig IT-säkerhetschef.
