Det har vært vanskelig å unngå overskriftene om den siste tidens IT-angrep, og IT-sikkerhet er derfor topp prioritet hos de fleste selskaper. Men hvor og hvordan kommer du i gang? Det er selvfølgelig flere svar på dette enkle spørsmålet, men generelt bør du fokusere på disse fire spesifikke områdene:
- Kontrollrammeverk for IT-sikkerhet
- Zero Trust
- Menneskesentrisk sikkerhet
- Managed Detection & Response
Kontrollrammeverk for IT-sikkerhet
Jeg vet at begrepet «beste praksis» har blitt brukt og misbrukt de siste par årene, men når det kommer til IT-sikkerhet, hvorfor ikke lære av andre som har implementert IT-sikkerhetskontroller? Kontroller er ikke bare teknologi, men som oftest en kombinasjonen av mennesker, prosesser og teknologi. Jeg snakker ikke om compliance – du trenger ikke å bli sertifisert til en spesifikk standard, men hvorfor ikke ta det beste fra gjeldende standarder og bruke det i ditt eget IT-sikkerhetsregime?
Det finnes mange forskjellige IT-sikkerhetsstandarder og -rammeverk, og den mest kjente er ISO27000-serien, The NIST Cyber Security Framework (NIST CSF) og Center for Internet Security Controls (CIS20). ISO 27000-serien er en velkjent standard, men ikke fritt tilgjengelig, så du må betale for å få tilgang til listen over kontroller. De to sistnevnte er fritt tilgjengelig på internett, så du kan bare gå og laste dem ned. Personlig liker jeg NIST CSF fordi den gir oss en omfattende beskrivelse av 5 faser: Identitet, Beskytt, Oppdag, Responder og Gjenopprett. Det gir en klar forståelse av hele syklusen av kontroller.
Den er imidlertid relativt vanskelig å komme i gang med, og du kan slite med å identifisere hvilke kontroller du skal begynne med. Her kommer CIS20 deg til unnsetning. CIS20 gir 20 cybersikkerhetskontroller i en prioritert rekkefølge. De første 6 kontrollene er de grunnleggende kontrollene (grunnleggende cyberhygiene) som gir 80 % av all dekningen du trenger – eller 80–85 % risikoreduksjon. Det er ikke dermed sagt at de resterende 14 kontrollene ikke er nødvendige, men du kommer langt med å implementere de første 6 kontrollene.
Min anbefaling vil være å starte med en IT-sikkerhetsvurdering. Hvilke kontroller og hva slags beskyttelse har du i dag og hvor vil du hen i fremtiden (gap-analyse)? Du kan gjøre dette veldig avansert eller holde det enkelt uten å bruke for mange ressurser. Jeg tror den viktige delen er å identifisere hvilke kontroller du mangler i henhold til gjeldende beste praksis. Du kan bli overrasket.
Zero Trust
Brannmuren kan beskytte oss, men den gir sjelden 100 % beskyttelse. Vi har brukere som jobber hjemmefra, fra kafeer og flyplasser – de ansatte er mobile. Ideen om å ha sentral sikkerhetskontroll på plass ved hovedkvarteret er derfor også død.
Du må ha sikkerhet langt nærmere enhetene og slutte å stole på nettverksplassering som eneste parameter for å gi tilgang til ressursene. Du bør kreve autorisasjon og autentisering for hver tilgangsforespørsel, uavhengig av hvor forespørselen kommer fra. Du bør sørge for at bare de riktige brukerne og de riktige enhetene har tilgang. Og du bør utvide tilnærmingen slik at den også støtter en moderne bedrift med BYOD, sky-apper og hybridmiljøer.
Jeg mener at dette innebærer tre ulike fokusområder:
- Arbeidsstyrke – bare de riktige brukerne og de sikre enhetene har tilgang til apper
- Arbeidsbelastninger – sikre alle tilkoblinger i apper, på tvers av multiskyer
- Arbeidsplass – sikre alle brukere og enhetstilkoblinger på tvers av nettverket ditt.
Det er langt fra en enkel oppgave, men du kan starte reisen mot zero trust ved å fokusere på disse tre områdene når du designer ditt nye IT-miljø. Selv når vi har sikret brukeren, enheten, tilkoblingen o.s.v. bør du fortsette å gjøre en full inspeksjon på pakkenivå for å oppdage ondsinnede nyttelaster i legitim og sikret trafikk. Det er essensen av Zero Trust – Stol aldri på noe eller noen.
Menneskesentriks sikkerhet
Som oftest har IT-sikkerhetsfolket fokus på den tekniske infrastrukturen, mens angriperne har fokus på menneskene i organisasjonen. De går etter VIP-folkene i organisasjonen fordi de som oftest også har bredest tilgang på ressurser. Ofte bruker trusselaktører social engineering og ikke nødvendigvis sårbarheter i infrastrukturen – det vil si at det er sårbarheten i menneskene våre kontra sårbarheten til infrastrukturen.
Hackerne angriper for eksempel finansdirektøren for å gjøre pengeoverføringer, IT-administratorene for å få full kontroll over selskapets Microsoft-infrastruktur etc. Den anbefalte tilnærmingen til dette er å fokusere mer på å forbedre e-postsikkerheten din, da e-post er den primære trusselvektoren. Det andre trinnet er å forbedre synligheten: hvem er de viktigste personene i din organisasjon når det kommer til kompromittering via e-post? Disse brukerne bør ha mer sikkerhetsopplæring enn den vanlige brukeren i organisasjonen din, og du bør overvåke deres generelle fremgang for å sikre at risikoen for e-postforfalskning/phishing/BEC reduseres.
I tillegg til å beskytte e-posten som angrepsflate nummer 1, må du også se på hvor folk jobber, akseptere at den tradisjonelle perimeteret går i oppløsning og at du må herde perimteteren rundt mennesker og forbedre mulighetene for å beskytte ansatte – uansett hvor de jobber og hva de kobler til (ref Zero Trust).
Mens du jobber med å forbedre dette bør du også fokusere på å beskytte dataene dine ved hjelp av DLP.
Managed Detection & Response (MDR)
Jeg har skrevet noen blogger om dette emnet før (HER og HER), men poenget mitt er fortsatt relevant. Du må slutte å investere i forebyggende teknologi, fordi disse blir mindre effektive. Hvis en ny brannmur faktisk hadde stoppet alle de nyeste angrepene, ville vi ikke ha hørt om dem.
Organisasjonen din må investere i deteksjon og respons for å identifisere om du har en hacker i nettverket ditt. Det handler ikke lenger om «om du blir hacket, men når», og statistikken støtter oss her. Tiden fra en inntrenger kommer inn, til denne blir identifisert i en gjennomsnittlig organisasjons nettverk, er fortsatt på over 200 dager og gjennomsnittskostnaden på utbedring ligger fortsatt på over 3 millioner EUR.
Hvorfor managed deteksjon og respons (MDR)?
«Managed-delen» er viktig fordi:
- Organisasjonen din vil mest sannsynlig ha problemer med å rekruttere og holde på menneskene med den riktige kompetansen, på grunn av den enorme mangelen på dyktige IT-sikkerhetsfolk.
- Kostnaden for å drifte «SOC» internt vil normalt være 3-4 ganger dyrere enn å kjøpe tjenesten eksternt, på grunn av investeringer i mennesker, teknologi og prosesser.
- Tiden for implementering av managed deteksjons- og responstjeneste i organisasjonen din er som oftest langt lavere enn implementering av din egen tjeneste. Etter min mening sammenligner vi uker/måneder med år. Hvis ledelsen krever deteksjons- og responsevner, er MDR veien å gå.
Vær også oppmerksom på at CIS20 kontroll #6, som er en del av de grunnleggende kontrollene, faktisk omhandler analyse og overvåking av revisjonslogger, sterkt relatert til deteksjon og respons.
Jeg håper dette har inspirert deg til å starte eller fortsette din cybersikkerhetsreise. Vil du vite hvordan vi i Conscia kan hjelpe deg?