Crypto-lockervirus, intrång hos myndigheter och stora bolag, enormt stora distribuerade denial of service-attacker (DDOS), botnät, Spectre, Meltdown och nya EU-direktiv (GDPR) är bara några av anledningarna att it-säkerhet är hetare än någonsin. Vi ser för kanske första gången någonsin en trend där it-säkerhet faktiskt är något som diskuteras på ledningsnivå och inte bara bland tekniker. Anledningen?
Svaret på det är enkelt; pengar. Det kostar pengar när produktionen står still. Det kostar pengar att återställa system. Det finns nu också lagar som reglerar viten vid bristande it-säkerhet. Därför är nu it-säkerhet hetare än någonsin.
Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler
Vad kan du göra för att öka säkerheten och därmed också tillgängligheten i din it-miljö? Här är åtta saker du ska tänka på:
- Skriv någon form av policy oavsett hur omfattande den är. Beskriv vilka system som är viktiga. Vad kommunicerar med systemen? Vad händer om ett virus sprider sig där? Vad händer om någon tar över en server? Gradera risken för olika typer av hot och hur ni går vidare om det skulle inträffa. Finns det en backup att gå tillbaka till?
- Uppdatera din mjukvara. Hos systemadministratörer finns det en större vana vid att patcha system än vad det finns hos de som jobbar med nätverk. Det beror till viss del på att uppgradera en brandvägg eller router påverkar troligen långt fler än att uppgradera en server, men det är ingen ursäkt för att inte göra det. Det är framförallt viktigt att uppgradera de enheter som kan nås från internet såsom brandväggar. Det kommer relativt ofta varningar från leverantörerna om svagheter i koden och det är viktigare att åtgärda detta än att ha en så hög uptime som möjligt.
- Skydda dina klienter med mjukvara på klienten. Det finns ingen brandvägg som kan skydda till 100 procent mot hot, och framförallt gör användare saker som är olämpliga såsom att klicka på farliga länkar, ladda ner olämplig mjukvara och så vidare. Ett vanligt antivirus räcker inte längre utan det behövs en mjukvara som kan blockera hot på nätverksnivå så att datorer inte blir del av ett botnät eller laddar ner ett crypto locker-virus.
- Segmentera nätverket. Många företag har någon form av produktion oavsett om det är industriproduktion eller något annat. Det är störst risk att kontorsanvändare får in skräp i sina datorer och finns det inget som separerar kontorsanvändarna från produktionen så kommer skräpet garanterat att sprida sig vidare i nätverket. Nätet kan segmenteras med virtuella LAN (VLAN), virtual routing and forwarding instanser (VRF) och så klart med brandväggar.
- Använd olika datorer för kontor och produktion. De datorer som används för produktion skall användas till just det och inte till att läsa e-post, surfa på nätet och så vidare. Då ökar risken betydligt att produktionsdatorer får in skräp och att produktionen då kan stoppas. Om en användare har behov av att både jobba administrativt och med produktion bör två olika datorer användas, eller åtminstone att på logisk nivå separera med till exempel virtualisering så att två olika instanser används för de olika behoven.
- Ta backup. Någon gång inträffar det att en dator har blivit ägd eller har fått virus. Eller så har den blivit låst och data är inte längre tillgängligt. Då är det enda som kan rädda upp situationen att det finns en backup. Självklart ska det gå att läsa tillbaka den också. Det hjälper inte att den finns om det inte går att läsa in den.
- Spara loggar. Loggar i form av syslog och andra logformat är väldigt användbart för att se när till exempel någon försökt attackera servrar eller nätverksinfrastruktur. Se till att systemen som skickar loggar har korrekt tid - annars det blir väldigt svårt att se när något har inträffat. Det är viktigt att följa upp loggarna. Oftast behövs det ett verktyg för att hantera detta då det ofta blir stora mängder information. Men det är bättre att ha loggar även om de bara ligger på en maskin utan särskilda verktyg än inga loggar alls.
- Förstå dina trafikmönster. I till exempel fallet med Equifax där många amerikaners privata information kom på vift kunde enorma mängder data exfiltreras under en längre tid utan att man förstod att det pågick ett intrång. Varför är dina WAN-länkar plötsligt mer belastade än tidigare? Är det normalt att det kommer så mycket trafik från det här segmentet? Varför är det någon som loggar in på mina servrar mitt i natten? Är det normalt? Varför är det från en rysk IP-adress när vi endast har svenska anställda? Om man inte vet vad som är normalt så vet man inte heller vad som är onormalt. Genom att ha en baseline och övervaka sina trafikmönster kan man i ett tidigare skede förstå när en attack är nära förestående eller i värsta fall pågående.
Det kommer hela tiden nya hot och därför måste policyn uppdateras och nya riskbedömningar göras. Om du gör de här åtta sakerna kommer du att vara betydligt bättre skyddad än tidigare oavsett vilka nya hot som uppstår. Lycka till med säkerhetsarbetet!
Befattning: Senior network architect
Företag: Conscia Netsafe
Linkedin: Daniel Dib
E-post: daniel.dib@netsafe.se
Expertområden: Nätverksdesign och säkerhet
Certifieringar: Cisco Certified Design Expert, certifierad nätverkskonsult
Bakgrund: Kvalificerad erfarenhet från flera områden, såväl myndigheter, operatörer, kommuner och storföretagsmiljöer. Specialist på att bygga nätverk med snabb konvergens eller multicast-transport.