Mikrosegmentering – hvorfor er det en god idé for din forretning

Den gennemsnitlige omkostning ved et Cyber angreb, der fører til databreach, er nu opgjort til 4,24 Mio $. (Kilde: IBM: Cost of Data breach Report 2021)

… og omkostningen er stigende. Alle er potentielle ofre, og hackerne bliver stadig mere kreative. Lyder det som en starten på en digital dommedagsfilm, som har kørt i samme rille de seneste år, så har du ret. Men der er al mulig grund til at tage det seriøst rent sikkerhedsmæssigt og forretningsmæssigt. Samme energi som virksomheder bruger på at beskytte deres produktions- og leveranceapparat, bør de lægge i deres digitale sikkerhed, for konsekvenserne er kan være lige så voldsomme.

Så hvor bør man starte? Og hvad er det egentligt, man vil beskytte?

guldKronjuvelerne = De vigtige systemer, programmer og dets data.

Helt grundlæggende bør sikkerhed starte indefra og ud og ikke omvendt. Mange starter desværre med beskyttelse udefra ved at beskytte den samlede perimeter, og ofte ydes der ikke meget bedre beskyttelse end døren her nedenfor. Det minimerer ikke risikoen specielt meget, hvis nogen vil ind. Selv hvis døren er låst.

Dør

Så lad os starte indefra med kronjuvelerne.

Lad os starte med at sætte en solid dør lige foran juvelerne med øget adgangskontrol, så kun dem der skal ind gennem døren kan komme ind. De vil være under konstant opsyn, og indtil de er kommet gennem døren, kan de ikke se, hvad der er bag døren.

I sikkerhedssprog kalder vi det at segmentere vores ’kronjuveler’ fra resten af netværket og indføre adgangskontrol og inspektion, så kun dem der har kode/adgangskort kan komme ind gennem døren og videre ind i boksen. Det løser dog ikke hele problemet, men giver klart en øget sikkerhed med adgangskontrol og scanning af al trafik ind og ud af bankboksen.

Bankboks

Men er der en dag nogle, der lykkes med at bryde boksdøren op eller har stjålet et adgangskort, så skal vi sørge for, at de møder den næste forhindring:

Pengeboks

En yderligere opdeling, hvor de nu kun har adgang til den boks eller de bokse, de specifikt har nøgler til.

I sikkerhedstermer vil vi kalde det mikrosegmentering af datacentret, hvor hvert enkelt program og dets data har fået sin egen boks bag den store boksdør, hvilket gør det meget besværligt at kommer til alle værdierne på en gang, og tiden, der bruges på at forsøge, gør det tidskrævende og øger risikoen for at blive opdaget.

Mikrosegmenterings tilgangen understøttes IT-mæssigt af anbefalede sikkerhedsrammeværker, hvor netop databeskyttelse og adgangskontrol vurderes som højt prioriterede kontroller modsat den traditionelle perimeter firewall. Derudover bygger også Zero Trust strategien på samme principper.

Det hele handler om bedst mulig risikominimering. Med ovennævnte tilgang til kronjuvelerne vil man kunne opnå den største enkelte risikominimering med en bedste praksis implementering på over 42% (Kilde: IBM: Cost of Data breach Report 2021.)

Med en samlet gennemsnitlig risiko på 4,24 mio $ betyder det en minimering på 1,8 mio $, hvis man implementerer datacenterbeskyttelse med segmentering af datacentret samt mikrosegmentering inde i datacentret. Så det kan faktisk være en god forretning at implementere ekstra beskyttelse.

Dette sikrer samtidigt en god compliance med anerkendte sikkerhedsrammer incl. compliance kravene til beskyttelsesforanstaltninger i GDPR, hvilket mange har overset.

Nogle vil måske tænke ”Er det ikke dyrt?”, ”kan det spille sammen med de løsninger, vi allerede har?” og ”bliver det ikke bare mere besværligt”?

Til det første spørgsmål vil modsvaret være, hvad er dyrt?. Så længe løsningen leverer en betydelig kvantificerbar merværdi i forhold til omkostningen er det vel ikke dyrt, men en forretningsmæssigt god investering.

Til det andet spørgsmål er svaret ja, det vil det kunne

Til det sidste spørgsmål er svaret muligvis – det kommer an på implementeringen. Det kan gøres besværligt, men det kan bestemt også gøres nemt. Det afhænger i høj grad af kundens situation, og den kontekst det skal implementeres i. Formålet er netop, at gøre det meget besværligt for angriberne at bevæge sig rundt som bruger, og komme ind alle de steder som brugeren kan komme ind – og endnu værre alle de steder som administratoren kan komme ind.

Noter: 1 Kilde: IBM: Cost of Data breach Report 2021