Månad: januari 2021

31 januari, 2021

Show Notes för #109 – Hur arbetet blir proaktivt

Här sitter jag framför (eller är det bakom?) mikrofonen alldeles innan vi startar inspelningen.

Avsnittet: #109 – Hur arbetet blir proaktivt
Inspelat: 2021-01-29 (publicerat 2021-01-31)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Lyssna på avsnittet

Att fundera på medan du lyssnar

Man skulle faktiskt kunna säga att detta avsnitt är en fortsättning på det om Insider-hoten, då det diskuterar på en mer konceptuell nivå hur problemen kan lösa genom att uppnå ett proaktivt beteende istället för att reagera i ren panik som vanligt.

Vi kommer tillbaka till ämnena ”skapa en säkerhetskultur” och ”kunna upptäcka hot”. Men denna gång hör det till en mycket bredare blick över hur ett företag eller organisation ska kunna försvara sig.

Så… Proaktivitet kan väldigt enkelt ses som två beteenden:

  • Nostradamus-läget, där man försöker förutspå attacker.
  • Reagera-snabbt-läget, där man reagerar på indikatorer på att något på gång innan attacken egentligt börjar lyckas. Denna Proaktivitet är dock även en form av reaktivitet, dock inte på fullbordat faktum. Tänk dig mer som att gå till doktorn för att få veta om det där konstiga födelsemärket är farligt eller inte.

Förresten, en triljon är en etta med 18 nollor efter sig. Alltså 10¹⁸. Nu vet du mer en vad jag gjorde när jag spelade in avsnittet.

Din verktygslåda

… Och här är Mattias, redo att programleda.

Threat hunting

”Pentestning med silkesvantarna på” eller kanske ”etisk hackning med vapnen säkrade”. Man tittar på miljön som en hackare och försöker förstå hur långt en sådan skulle kunna ta sig om det vore på riktigt. Detta är något de flesta i IT-säkerhetsbranschen gjort när de går igenom det som ska installeras. Men här sker det mer systematiskt och man går då igenom allting steg för steg.

En kund skulle kunna be konsulten gå igenom miljön och svara på hur långt en Ransomware-attack skulle kunna gå.

Ethisk hacking (Pentester)

Kan en konsult bryta sig in? Och hur långt kommer denne? Ibland kanske man inte kan ta sig hela vägen, men dock göra miljön otillgänglig eller radera information. Kanske är ett total övertagande i sig inte heller det värsta som kan hända, utan det är när organisationens data kopieras av hackarna och därför läcks. Detta är ganska garanterat att ske som en effekt av ett totalt övertagande, men det behöver inte gå så långt för att känsligt data ska bli tillgängligt för hackarna. Så även mindre attacker som inte ”når hela vägen” kan vara förödande. Många attacker mot klienter bygger faktiskt på att INTE ta över systemet, eftersom data kan nås av den användaren som är inloggad och då kan även hackaren göra det. På det sättet är det lättare att inte skapa larm i övervakningen men fortfarande få tillgång till datat. Case in point ”Living of the land” där man använder program och funktioner som redan finns på datorn och oftast nöjer sig med att köra dem med den inloggade användarens rättigheter.

Så ett pentest är nödvändigt för att kunna stänga alla vägar som går att hitta. Jag säger att med tillräckligt med tid, kan en pentestare ”ta sig in”. Detta borde kanske klargöras lite. ”Ta sig in” är ordmässigt ett totalt övertagande, men jag vill faktiskt även inkludera att man läcker data, gör systemet otillgängligt eller kan ändra data utan rättigheter i detta begrepp.

Pentestaren bryter sig in och dokumenterar hur detta gick till.

Bygga en säkerhetskultur

En repetition från avsnittet om Insiders men ”kulturskapande” är överlägset att bara utbilda folk som sedan glömmer allt. Skapa en medvetenhet där alla kollektivt minns, skyddar och förutsäger attacker. Grupptryck har en negativ klang, som det väl förtjänar, men att använda det för att skapa ett ”På den här arbetsplatsen gör vi inte såhär”-tänkande kan istället tvinga fram ett säkerhetsmedvetet beteende.

DISA (digital informationssäkerhetsutbildning för alla)

Så hur börjar man bygga denna kultur? Prova DISA – en sentida variant av ECDL, men fokuserande på säkert beteende istället för att lära ut hur man använder sin dator (vilket idag är ganska överspelat).

MSB ligger bakom DISA, som har en mycket bra ”frågesport”-funktion där du kan testa hur du beter dig i riktiga situationer. Det är hygglig trivialt, men inte så mycket menat att lära folk självklarheter som att faktiskt se till att dessa tankar finns fräscht i minnet.

En mycket användbar strategi för alla typer av organisationer som inte har egna motsvarigheter.

Omvärldsbevakning

Två saker: du måste veta vad som händer i det stora och du måste veta vad som händer nära dig. När dig är både i din bransch, ditt fysiska område, med dina konkurrenter och hur attacker och försvar utvecklas.

Definition av ”omvärlden”: (substantiv) INTE DU!

Det vill säga allt du inte har direkt kontroll över. Larvig definition? Definitivt inte. Tänk på detta när du bygger din proaktiva säkerhet.

Här är de bitarna vi inte visste vad vi skulle göra något med…

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

”Frågesport” a’ la DISA:
https://webbutbildning.msb.se/utb/DISA/

En inledning tilll Proaktivt försvar:
https://blog.morphisec.com/what-is-proactive-cyber-defense

Olika taktiker för detta:
https://www.entrustsolutions.com/2020/11/13/proactive-vs-reactive-cyber-security/

Jag ger inte mycket för denna artikel. Det refererar till en undersökning som finns på en Casino-site:
https://chiefexecutive.net/almost-90-cyber-attacks-caused-human-error-behavior/

Homer Simpson vet hur det är med statistik (Vilket jag ironiskt nog felciterar i avsnittet):
https://www.youtube.com/watch?v=sm7ArKlzHSM

Simpsons paradox har inget att göra med Homer, men är ett läskigt bevis på hur man kan misslyckas med att tolka statistik:
https://www.youtube.com/watch/ebEkn-BiW5k

Hur definierar man omvärldsbevakning?
https://www.informationssakerhet.se/metodstodet/analysera/#omv%C3%A4rldsanalys

24 januari, 2021

Show Notes för #108 – De sju dödssynderna och säkerhet

Djävelen behöver inte göra ont att titta på … Men att råka ut för, är en helt annan sak.

Avsnittet: 108 – De sju dödssynderna och säkerhet
Inspelat: 2021-01-22 (publicerat 2021-01-24)
Deltagare: Erik Zalitis, och Mattias Jadesköld

När man börjar med att citera Ingemar Bergmans det sjunde inseglet, har man satt tonen. Så är det bara, men nu har den milstolpen swishat förbi och vad annat kan vi göra än att fortsätta vägen framåt och hoppas på det bästa?

Idén var svår att genomföra, eftersom religiösa texter inte särskilt ofta handlar om IT-säkerhet. Skulle t.ex. syndafloden vara guds DDOS-attack?

1. Högmod

Komplexitet – Samma tillverkare av alla delar i systemet.

Enskilda komponenter får för mycket makt.

2. Girighet

Slarv med säkerhetsarbetet och att ekonomi före säkerhet
Man får ofta det man betalar för.

Mattias tycker situationen blivit bättre i detta område, medan Erik ställer sig undrande även om han håller med om att säkerhet är lättare att motivera idag än förut. Och sen är ”det är billigt” inte längre ett så bra argument heller när man ska sälja en säkerhetslösning.

”Det finns ingen budget för säkerhet…. Fast helt plötsligt gör det det” (dvs efter att systemet blivit hackat)

Sheep security… Eller hur var det nu?

3. Vällust

Kära inte ner dig i en produkt! Det finns många förmodligen andra som passar bättre och som är billigare. Utgå från behovet istället för att välja den där produkten du såg på en mässa eller alltid har kört.

4. Avund

Viktigt att titta på sin egen förmåga och sin organisations resurser. Vad behöver vi för skydd? Hur fungerar det bäst för vår organisation?

5. Frosseri

Här är ett beteende. Kan se det på föreläsningar och i forum. Man vill raljera, beskriva hur dåligt andra hanterat saker utan att komma med lösningar. En slags överdriven njutning.

Man vill gärna slänga upp PPT-slides med FBI-artiklar och sånt som är ”coolt” men egentligen inte relevant.

6. Vrede

Den synden som jag ser minst av i säkerhetsbranschen. Men inget bra verktyg att ta till. Tänker på UFC-bossen som vrålar till de som streamar olagligt UFC. Det blir ju mer en ögonöppnare.

Om man ska översätta det så är det smart att göra som Addtech. Beskriv vad som hänt. Häng inte ut attackerarna (de får bara publicitet och kanske än mer blodad tand att attackera) och arbeta strukturerat.

7. Lättja

Säkerhetsarbetet utvecklas inte och kan inte skydda mot nyare attacker som dyker upp (Ingen omvärldsbevakning. Detta är inte slarv per se.

Eller att man inte kan upptäcka att attacker händer. Eller vad som kopplas in, eller vad som händer med enheter som slutar fungera korrekt, eller anomalier.

Saker konfigureras fel på grund av diverse anledningar.

Lösningen för de flesta problemen: TÄNK – TÄNK FÖRE. Detta är troligen en dygd (Vi måste ta detta i ett uppkommande avsnitt!)

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

17 januari, 2021

Show Notes för #107 – Adjö kära gamla Flash

Avsnittet: #107 – Adjö kära gamla Flash
Inspelat: 2021-01-15 (publicerat 2021-01-17)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

Goodbye flash:
https://www.youtube.com/watch?v=EBPH6O68UY4

10 januari, 2021

Show Notes för #106 – Hotet inifrån

Ok, allesammans, här är Lisa-Kalle, vår nya ekonomichef. Hen har av egen vilja bett att få intervjua er alla för att få veta mer om ert jobb och vad ni har för privata intressen. Hen är hygglig, men gillar sin Stetsonhatt och sin trenchcoat. För att inte kränka hens känslor och visa en inkluderande företagskultur ska vi givetvis vara öppna för hens klädval och att hen gillar att gå runt med en blomma med någon glaspryl i mitten på i kavajslaget.

Avsnittet: #106 – Hotet inifrån
Inspelat: 2021-01-09 (publicerat 2021-01-10)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Vi kan ju inte låta bli att nämna ”Dr Strangelove” denna gång heller. Scenen då Sovjets president springer runt i USAs krigsrum och fotograferar hemliga dokument med en mikrokamera är hejdlöst rolig och kan räknas som någon form av insiderbrott… trots att han är outsider… Kanske man kan se honom som en konsult inplockad i ett nödläge, eller så ska man inte tänka så mycket sådant där i en svart humor-baserad film.

Så vilka tre (alltid tre-tal!) insiders finns det?

  • Den gör fel och skickar ut data eller gör skada.
  • Den som är lurad av någon annan och gör saker utan att förstå konsekvenserna.
  • Den som är illvillig och vill göra skada, tjäna pengar eller hjälpa någon på utsidan.

Det är lätt att alltid tänka på den illojale medarbetaren när man pratar insiders, men det är att förenkla det hela uppenbarligen. Men svårigheten är att den som gör misstag och den som blir lurad av någon (i viss mån) kan stoppas relativt effektivt. Den som är lurad och guidas av en van cyberbrottsling eller den som själv slår sig in på cyberbrottets banan är så pass svåra att stoppa att det kan vara rent av omöjligt att hindra detta.

Mattias drar sedan följande exempel på insiderbrott:

  • Microsofts databas läckte ut på grund av anställdas oaktsamhet. (2019)
  • General Electric-anställda stal affärshemligheter för att få en affärsfördel.

Det är två olika händelser men de är båda exempel på hur denna typ av problem trots att förutsättningarna skiljer sig radikalt.

Lösningen är att satsa på att:

  • Hindra läckage med DLP-lösningar.
  • Införa mikrosegmentering.
  • Skapa en kultur där man ser till att folk inte accepterar slarv med säkerheten eller att man gör saker som kan vara brottsligt.
  • Se till att ha en livs-cykelhantering där man kontinuerligt ser över rättigheterna när användare byter arbetsuppgifter eller avdelningar.
  • Se till att konton skyndsammast tas bort eller kanske bättre, deaktiveras när någon slutar eller tar tjänstledigt.
  • Se till att övervaka system- och nätverkshändelser som tyder på olämpligt beteende även för de med godkända rättigheter.
  • ”Least privilege” – bara ge användarna exakt de rättigheter de ska ha.
  • ”Separation of duties” – se till att kritiska handgrepp kräver att minst två personer är närvarande för att kunna utföras. Var av dem ska då ensamma inte kunna utföra uppgiften.
  • ”Forced vacation” – Tvinga de med höga behörigheter att ta semester för att hindra dem från att ensamma kunna driva en plan för att utföra olagliga handlingar mot sin organisation. Under deras semester kommer en annan person ta över och är då sannolik att upptäcka irregulariteter. Detta skyddar också mot misstag om folk blir trötta och ofokuserade med tiden.
  • Förankra policies och krav på sänkta behörigheter med ledningsgruppen då detta ger IT-avdelningen den kraft som krävs för att kunna genomföra dessa. Utan ledningsgruppen påskrift kan användarna motsätta sig att acceptera striktare policies.

Errata

  • Erik berättar om Terry Childs som höll San Franciscos fibernätverk gisslan att detta var möjligt för att de inte tog ifrån honom rättigheterna när han fick sluta. Det är i stort sätt vad som hände, fast han satte faktiskt igång att låsa andra ute på grund av att han kom i bråk med sina medarbetare om en policy för att lämna ut lösenord. Och detta skedde INNAN han fick sparken. Det var alltså mer av att han hade för mycket rättigheter snarare än att de inte hade fungerande livscykelhantering. En liten korrigering, men ändå viktig att göra.

Länkar

Fängelse för att han låste administratörerna i San Fransiscos nätverk ute för denna Terry Childs:
https://www.govtech.com/security/Former-San-Francisco-Network-Admin-Terry.html

Anders Sandberg pratar om att skapa en säkerhetskultur och hantera informationssäkerhet i verkligheten.
https://www.itsakerhetspodden.se/podcast/9-kommer-vi-ha-hemligheter-i-framtiden/

Vi pratar om attacken mot AddTech, som visserligen inte var ett insiderbrott, men visar på problemet med lateral förflyttning:
https://www.itsakerhetspodden.se/podcast/71-attacken-mot-addtech/

Det må ha varit över 20 år sedan, men Love letter visar på faran med att inte begränsa användares rättigheter:
https://www.itsakerhetspodden.se/podcast/65karleksbrevfranfilippinerna/

Informationsläckage, som är vanlig effekt av insiderbrott är ett ämne i sig:
https://www.itsakerhetspodden.se/podcast/63-informationslackage/

Mikrosegmentering och Zero-trust network hör ihop:
https://www.itsakerhetspodden.se/podcast/8-zero-trust-networks/

Scroll to top