Många verksamheter i Europa har svårt att på allvar höja sin IT-säkerhet. De flesta av verksamheterna känner till alla IT-säkerhetsincidenter som händer nu och de flesta styrelser har också IT-säkerhet som högsta prioritet på sin agenda. Men var och hur börjar man sina säkerhetshöjande åtgärder inom IT?
Generellt tycker jag att kunden bör fokusera sina säkerhetshöjande åtgärder på fyra specifika områden:
- Ramverk med kontroller av cybersäkerheten
- Zero Trust
- Användarfokuserad säkerhet
- Managed Detection & Response
Ramverk med kontroller av cybersäkerheten
Jag vet att termen ”Best practice” har missbrukats en del, men när det gäller cybersäkerhet, varför inte lära av andra som har implementerat säkerhetskontroller? Och kontroller är inte bara teknik utan oftast en kombination av människor, process och teknik.
Jag pratar inte om Compliance. Du behöver inte bli certifierad enligt en standard – men varför inte ta det bästa från nuvarande standarder och tillämpa det på ditt eget säkerhetssystem?
Det finns många olika cybersäkerhetsstandarder och ramverk och de mest kända är ISO27000-serien, NIST Cyber Security Framework (NIST CSF) och Center for Internet Security Controls (CIS20).
- ISO 27000-serien är en välkänd standard men inte fritt tillgänglig, så du måste betala för att få tillgång till listan över kontroller. De två senare är fritt tillgängliga på internet så att du bara kan ladda ner dem.
- Jag gillar NIST CSF eftersom den ger oss en bra beskrivning av fem faser: Identitet, Skydda, Upptäcka, Reagera och Återställa. Det ger en tydlig förståelse för hela kontrollcykeln. Men det är svårt att komma igång med, man kan exempelvis ha svårt att identifiera vilka kontroller man vill börja med.
- Detta löser CIS20. CIS20 tillhandahåller 20 (snart dessutom komprimerat till 18) cybersäkerhetskontroller i en prioriterad ordning. De första sex kontrollerna är de grundläggande (grundläggande cyberhygien) som ger 80% av all skydd du behöver – eller 80-85% riskminskning. Man kan därmed inte säga att de resterande 14 kontrollerna inte krävs, men du kommer långt bara genom att implementera de första sex kontrollerna (som finns beskrivna här).
Så min rekommendation blir att börja med en säkerhetsbedömning. Vilken typ av kontroller och skydd har du idag och vilka ytterligare säkerhetshöjande åtgärder vill du vidta? (Gap Analysis). Du kan göra detta mycket avancerat eller hålla det enkelt (KISS) utan att spendera för många resurser. Jag tror att den viktiga delen är att identifiera vilka kontroller du saknar enligt Best practice 2021. Du kanske blir förvånad.
Zero Trust
Perimetertänket är dött. Brandväggen kan skydda oss, men det ger sällan ett hundraprocentigt skydd. I princip alla har användare som arbetar hemifrån, från kaféer och flygplatser och de är totalt mobila. Så tanken på att ha centrala säkerhetskontroller på plats vid högkvarteret är också död.
Vi måste ha säkerhet mycket närmare de faktiska tillgångarna och sluta lita på nätverksplatsen som den enda parametern för access till resurserna. Vi bör börja kräva auktorisering och autentisering för varje åtkomstbegäran, oavsett var begäran kommer ifrån. Vi bör se till att endast rätt användare och rätt enheter har åtkomst. Och vi bör utöka vår strategi, så den stöder också ett modernt företag med BYOD, molnappar och hybridmiljöer.
Vi tror att detta innebär tre olika fokusområden:
- Workforce – endast rätt användare och säkra enheter har åtkomst till applikationer
- Workload – säkra alla anslutningar inom appar, över flera moln
- Workplace – säkra alla användare och enhetsanslutningar i ditt nätverk.
Uppgiften är långt ifrån enkel, men du kan börja resan mot Zero Trust genom att fokusera på dessa tre områden när du utformar din nya IT-miljö.
Och även när vi har säkrat användaren, enheten, anslutningen etc. fortsätter vi att göra en fullständig inspektion på paketnivå för att upptäcka skadliga payloads i legitim och säker trafik. Det är kärnan i Zero Trust – Ta inget för givet. Läs mer om Zero Trust och se vårt webinar här.
Säkerhetshöjande åtgärder för användarna
Jag känner till Solarwinds-hacket och Exchange-hacket (Hafnium) men oftast har vi som försvarare fokus på den tekniska infrastrukturen – medan angriparna har fokus på människorna. De följer VIP-personerna i verksamheten eftersom de oftast också har störst tillgång till resurser.
Ofta använder angripare inledningsvis Social Engineering och inte nödvändigtvis sårbarheter i infrastrukturen. Hackarna attackerar CFO för att göra pengaröverföringar, attackerar IT-administratörerna för att få full kontroll över Microsofts infrastruktur etc.
Den första av våra säkerhetshöjande åtgärder är här att förbättra din e-postsäkerhet. E-post är den primära hotvektorn. Det andra steget är att förbättra din visibilitet. Vilka är de viktigaste personerna i din organisation när det gäller att intrång via e-post? Dessa användare bör ha mer utbildning och högre säkerhetsmedvetenhet än den normala användaren i din verksamhet och du bör övervaka deras övergripande framsteg för att säkerställa att risken för förfalskning av e-post / nätfiske / BEC minskas (läs mer här och här).
Förutom att skydda e-postmeddelandet som attackyta nummer ett måste vi också vidta andra säkerhetshöjande åtgärder. Vi se på var människor arbetar, acceptera att den traditionella perimetern löses upp och härda perimetern runt användarna och förbättra kapaciteten för att skydda anställda var de än arbetar och vad de än ansluter (ser du kopplingen till Zero Trust?)
Och medan du arbetar med att förbättra detta bör du också fokusera på att skydda dina data med hjälp av DLP, Data Loss Prevention.
Managed Detection & Response (MDR)
Jag har skrivit några bloggar om detta ämne tidigare (här och här) men poängen är fortfarande relevant. Du måste sluta investera i förebyggande teknik eftersom marginalnyttan av denna minskar. Om en ny brandvägg var lösningen på alla nutida hack / incidenter hade vi inte sett dem.
Detection & Response är förmågan din organisation behöver investera i för att identifiera om du har en hacker i ditt nätverk. Det är inte längre en fråga om du blir hackad utan när och statistiken stöder oss här. Genomsnittet är fortfarande mer än 200 dagar innan en inkräktare identifieras i en genomsnittlig verksamhets nätverk och den genomsnittliga kostnaden för sanering är fortfarande över 3 miljoner euro för en genomsnittlig verksamhet.
Så varför Managed Detection & Response (MDR). Den driftade/managerade delen är viktig eftersom:
- Din organisation kommer sannolikt att ha problem med att rekrytera personer med rätt kompetens och behålla dem på grund av den enorma bristen på begåvat cybersäkerhetsfolk.
- Kostnaden för att driva ett Security Operations Center ”SOC” internt blir normalt 3-4 gånger dyrare på grund av investeringar i människor, teknik och processer jämfört med en outsourcad tjänst. Så detekterings- och svarsförmågan bör enligt min mening vara strategisk för organisationen innan den har denna förmåga internt.
- Tiden för att implementera en Managed Detection & Response-tjänst i din verksamhet är oftast mycket lägre än motsvarande tid för att implementera din egen tjänst. Nu jämför vi veckor / månader med år. Så om ledningen kräver detekterings- och svarsfunktioner NU är MDR vägen att gå.
Tänk också på att CIS20-kontroll nr 6, som är en del av de grundläggande kontrollerna, faktiskt är analys och övervakning av granskningsloggar, mycket relaterade till Detection & Response.
Jag hoppas att detta har gett dig inspiration till säkerhetshöjande åtgärder inom IT!