Vårt delingshjørne
7. november 2019
Det er stor etterspørsel i jobbmarkedet etter personer med kompetanse innen informasjonssikkerhet.
Kampen om talentene er knallhard.
Det er derimot ingen mangel på mer eller mindre gode råd, når det kommer til informasjonssikkerhet. Ofte kan det virke som om rådene spriker og det blir vanskelig å vite hvilke råd man skal følge.
Så hvordan skal du egentlig navigere i denne «jungelen» av synsing?
I ukas bloggpost gir Anders Lund tips om hvordan å navigere i jungelsen av sikkerhetssynsing.
Med fare for å skyte meg selv i foten, har jeg under forsøkt å gi 6 tips du kan ta med deg på veien videre. Jeg har forsøkt å ikke fokusere for mye på et spesifikt tema, men heller dekke bredden fra strategi til tekniske tiltak.
"JEG OPPLEVER AT MANGE FÅR MYE UT AV DISSE RÅDENE, SELV OM DE KANSKJE KAN VIRKE LITT ENKLE"
Noen vil sikkert mene at rådene er opplagte, men jeg opplever at mange får mye ut av disse rådene, selv om de kanskje kan virke litt enkle.
1. Sett deg inn i bakgrunnen for rådet
Med dette mener jeg at du må finne ut i hvilken kontekst rådet er gitt. Et råd gitt for teknisk sikring av web applikasjoner, er ikke nødvendigvis riktig for alle web applikasjoner eller for sikring av infrastruktur. Kanskje er rådet formulert på en sånn måte at det også virker som et strategisk råd, som du kan bruke på tvers av forretningen.
Noen ganger kan det gå skikkelig galt.
La meg gi et eksempel: Passord. Det menes mye og mangt om passord. Noen vil kutte de helt ut, eller si at 2-faktor autentisering er helt nødvendig alle steder hvor passordinnlogging benyttes.
På innlogging til bedriftens Office365-løsning eller cloud-plattform, så er jeg helt enig. Benytt 2-faktor, en god passord-policy og kanskje også andre mekanismer for å sikre deg.
Men hva om du har en nettside som viser helsestatus for de ulike systemene du har internt, og det er alt applikasjonen gjør?
"MED FARE FOR Å KASTE STEIN I GLASSHUS, TENK GODT OVER HVEM DU FÅR RÅDET FRA"
Hva om du i tillegg allerede har etablert whitelisting av IP-er slik at du kun når systemet fra det interne kontornettet eller til og med kun fra Citrix-løsningen din, og du i tillegg kanskje bare har 5 personer som har bruker i systemet. Skal du da bruke tid på å etablere 2-faktor? Jeg vet at jeg ville prioritert penger og ressurser andre steder. Og bare for å ha sagt det, så er jeg enig med dem som mener at SSO vil være det beste her hvis det er mulig.
2. Sjekk hvem som gir deg rådet
Med fare for å kaste stein i glasshus, tenk godt over hvem du får rådet fra. Det er viktig. Veldig mange av de som gir velmente råd (så også jeg!) har en agenda.
Mange av oss er konsulenter eller salgsansvarlige, som fremsnakker løsninger og metoder som gir oss mulighet til å selge produkter eller konsulenttimer. Mange har gode løsninger, og mange selger flotte produkter.
Noen av spørsmålene du burde stille deg er:
Er rådene tilpasset deg og din bedrift?
Vil rådene fungere som tiltenkt i ditt nettverk eller med dine systemer?
Vil leverandøren være villig til å gjøre spesialtilpassinger for deg, og hvor mye vil det koste?
Hvis leverandøren ikke gjør tilpasninger, hvor mye krever det å lage de selv?
"I DAGENS MARKED, ER DET VIKTIG Å HUSKE AT IT-UTSETTING IKKE FULLSTENDIG FJERNER BEHOVET FOR INTERN KOMPETANSE"
Jeg har ikke tall på hvor mange ganger jeg har sett en bedrift kjøpe et system som fra utsiden ser veldig bra ut, men som viser seg å ikke levere i nærheten av det bedriften håpte på.
Enten det er funksjonalitet de ikke kan ta i bruk, systemer de ikke kan integrere med eller at systemet enkelt og greit ikke er skalerbart til det volumet bedriften trenger.
Dette leder meg til neste råd:
3. Lytt til fagfolk og ta deg tid til å definere kravene
I dagens marked, hvor mange setter ut drift av både klient-PCer og servere, så er det viktig å huske at IT-utsetting ikke fullstendig fjerner behovet for intern kompetanse.
Jeg tror grunnen til at mange innkjøpte systemer ikke lever opp til forventningene, ligger i en kombinasjon av mangel på kompetanse og mangel på bruk av tid til å definere hvilke krav du faktisk har til systemet.
Hvis du derimot har nok kompetanse og ressurser internt til å gjøre denne jobben skikkelig, ja da tror jeg også du vil lykkes bedre med å finne det produktet som kan løse dine problemer.
4. Legg en helhetlig strategi
Banalt, ikke sant? Jo, at du trenger en helhetlig strategi er kanskje et banalt råd. Samtidig er det vanskelig å lage den.
Veldig vanskelig.
Det finnes mange nok som ikke er i nærheten av å ha en skikkelig og helhetlig strategi innen informasjonssikkerhet, hvor alt for mye baserer seg på hva den enkelte gjør. I den andre enden av «strategi-skalaen» har du de bedriftene som har en strategi- og policy-bok like tykk som en 15 studiepoengs pensumbok.
Det finnes en prosess for alt, skrevet på et så formelt og vanskelig språk, at selv den beste jurist kan tenke seg en powernap før han er ferdig.
"...MEN DET GÅR FAKTISK AN Å GJØRE PROSESSENE BÅDE ENKLE OG BRUKERVENNLIGE UTEN AT DU MISTER KONTROLL OG STYRING AV DEN GRUNN"
Så hvis du skal lage eller oppdatere, strategien din, sørg for at du tar inn over deg at andre skal jobbe med og etter den. For hvis det er en ting som kjennetegner de som jobber med teknisk IT, så er det at de elsker brukervennlighet og kjappe løsninger. Mens de hater formelle, tunge prosesser som gjør en enkel oppgave tidkrevende.
Nå skal det sies at jeg er en tilhenger av god kontroll, rutiner og gode prosesser, men det går faktisk an å gjøre prosessene både enkle og brukervennlige uten at du mister kontroll og styring av den grunn.
5. Benytt kjente og åpne standarder
Når du skal sikre systemene dine, sørg for å benytte deg av kjente og åpne standarder. Eksempler på gode kilder er: OWASP (eksempelvis OWASP ASVS), CIS Benchmarks, og i noe mindre grad SANS blogger.
Det finnes også en hel rekke andre kilder som jeg ikke går nærmere inn på her.
Poenget mitt er bare dette:
"VILLE DU LATT NABOEN DIN LOGGE PÅ DIN NETTBANK FOR Å BETALE REGNINGENE DINE?"
Når du benytter et konsulentfirma eller produktselskap, sørg for å utfordre dem på hvorvidt sikkerhetstesten følger OWASP ASVS, eller om serverne blir satt opp i henhold til CIS sine benchmarks. Så får du kanskje til svar at de isteden benytter en annen standard, som sikkert er like god. Men da har du i hvert fall noe du kan måle dem mot.
6. Ikke stol på «naboen»
Ville du latt naboen din logge på din nettbank for å betale regningene dine? Høres kanskje praktisk ut å slippe å ordne med regningene selv, men ville du gjort det?
Ikke jeg heller.
"ALT FOR MANGE BEDRIFTER TROR ALT ER I ORDEN SÅ LENGE DE HAR ENDEPUNKTSIKRING"
For selv om jeg har hatt en enormt god nabo gjennom hele oppveksten, er det fortsatt enkelte ting jeg ønsker å ha kontroll over selv.
Hvorfor skal det være annerledes internt i nettverket ditt? Alt for mange bedrifter tror alt er i orden så lenge de har endepunktsikring. De tror at så lenge de har kontroll på web-applikasjonene og andre systemer som er eksponert på internett, ja da er alt i skjønneste orden.
Men nå skal jeg fortelle deg en ting: Veldig mange vet ikke hva de har stående på internett engang, og om de har det, så har de i hvert fall ikke kontroll på alt sikkerhetsmessig.
I tillegg vet vi at menneskelige feil skjer. Sånn er det bare. Vi gjør feil, alle sammen. Så før eller siden vil etter all sannsynlighet et av systemene dine på internett ha en feil.
Derfor skal du ha som mål å alltid behandle all systemene dine som om de står på internett, og la alle systemene de snakker med behandles som ondsinnede. Det vil gi deg defense-in-depth.
Så får du heller leve med at du ikke alltid når det målet. Den dagen du trenger det, kommer du til å være glad for alle systemene hvor du har lykkes med det.
"OG TIL DEG SOM TRODDE DU SKULLE FÅ EN 6-PUNKTSLISTE TIL GARANTERT SIKKERHET, DEN FINNES IKKE"
La meg gi en analogi som avslutning på rådet: Fortidens borger hadde ikke bare vollgraver som forsvar, de hadde borgvegger også. Fordi før eller siden kom noen seg over den vollgrava.
Forhåpentlig har jeg gitt deg noen råd du kan benytte fremover, slik at du kan navigere litt lettere i sikkerhetsjungelen. Og til deg som trodde du skulle få en 6-punktsliste til garantert sikkerhet, den finnes ikke.
Hvis du nå har lest helt hit, ja da skal du også få vite en av mine baktanker med dette innlegget: Fredag 22. november, holder jeg foredrag om OWASP top 10 og gir konkrete tips til hvordan du kan forsvare web applikasjonene dine mot disse angrepene. Og da har jeg lyst på så mange tilhørere som mulig, fordi det rett og slett er moro.
Hvis du har et råd du mener burde vært tatt med her, tar jeg gjerne diskusjonen etter foredraget!