Angrepsflate

Angrepsflate er alle veier inn som en trusselaktør kan bruke for å skaffe seg uautorisert tilgang til virksomhetens IT systemer. Enkelt sagt er det alle hull i sikkerheten en angriper kan utnytte.

Tre basis kategorier

Angrepsflate kan deles inn i tre basis kategorier:

Digital angrepsflate er alle IT systemer som er tilknyttet internett og som kan nås fra internett

Fysisk angrepsflate er alt IT utstyret som kan nås fysisk

Menneskelig angrepsflate er manipulerende teknikker som phishing og lignende taktikker for å lure brukere til utlevere informasjon som kan gi tilgang

Kartleggingsprosess

For å redusere angrepsflaten må man først og fremst ha oversikt over alle enheter og systemer man har. Det gjelder alle systemer som kan nås fra internett og alle enheter som er utenfor virksomhetens brannmur. Det kan være både onprem, skymiljøer og SaaS tjenester. F.eks. webservere, e-post i skyen og klienter (brukere’s laptop).

Disse kan deles inn i tre kategorier;

1. De man vet om
2. De man ikke vet om
3. De som ikke skal være der

Her starter selvfølgelig noe av utfordringen. Finnes det enheter i virksomheten som man ikke kjenner til, eller som slett ikke tilhører virksomheten, eller systemer man ikke visste hadde internett tilkobling. Disse enhetene og systemene er det svært viktig å finne, men de kan være vanskelig å finne. Enheter og systemer man ikke vet om er umulig å sikre.

Arbeidet starter med en kartlegging. I denne fasen skal man avdekke og dokumentere kjente, ukjente og ulovlige enheter og systemer. Her må man bruke forskjellige typer verktøy for å finne aktive hoster, åpne porter, sårbarheter osv. Denne delen av prosessen kan med fordel i stor grad automatiseres. Da kan man f.eks. bruke skanner verktøy. Noen verktøy er egnet for å skanne kjente IP adresser og domener. Mens andre verktøy er bedre til å skanne etter ukjente ting som kan ha en tilknytning til virksomheten. Her må man finne et sett med verktøy som egner seg til det miljøet man har i sin virksomhet.

Neste fase er å gjennomgå sikkerheten på alle enheter og systemer man har kartlagt i første fase. Her skal man finne ut om sikkerheten er tilstrekkelig, om enheter og systemer slett ikke trenger eller ikke er sikre nok til å være eksponert mot internett. Etter analyse av hvert system og enhet vil man ha en plan for det videre arbeidet.

Neste fase er å fjerne alt som ikke må være eksponert, eller som ikke er sikkert nok til å være eksponert. Det betyr f.eks. stenge tilgang og porter fra internett og slå av funksjonalitet som ikke trengs eller som er utdatert.

Siste fase er å implementere forbedringer i sikkerheten på systemer og enheter. Dette betyr i mange tilfeller å ta i bruk sikkerhetsfunksjonalitet som ikke er slått på, og å øke sikkerheten med bedre konfigurasjon av eksisterende sikkerhetsfunksjonalitet.

Figur 1 viser en enkel fremstilling av prosessen for å redusere og forbedre sikkerheten gjennom fokus på angrepsflate. Denne prosessen er ikke en engangsjobb. Som mye annet sikkerhetsarbeid er dette en kontinuerlig prosess.

Eliminer og herd

Her er noen eksempler på hva som kan fjernes for å redusere angrepsflaten. Første prioritet er selvfølgelig at alle eksponerte systemer er oppdatert til siste versjon med siste sikkerhetspatcher. Kan ikke systemet oppdateres av forskjellige årsaker (f.eks. OT løsninger), kan det heller ikke eksponeres mot internett. Da må man finne alternative sikre løsninger for tilgang til systemet.

En del eksponerte systemer med webtilgang har ofte funksjonalitet som er utdatert. Det kan f.eks. være støtte for SSL2 og SSL3, eller eldre versjoner av TLS. Slå av støtte for alle utdaterte funksjoner.

Når det gjelder åpne porter mot systemer, sørg for at kun porter som er i bruk er åpne i brannmuren. Bruk av brannmur regler med Any i portfeltet er ganske vanlig, men må ikke brukes.

Herding av systemer er antagelig den mest omfattende delen av arbeidet. Spesielt for SaaS tjenester som e-post er det svært viktig at man tar i bruk alle moderne sikkerhetsfunksjoner og at disse er optimalt konfigurert. Eksempler på dette er SPF, DKIM og DMARC som må være slått på.

En annen viktig prosess er å ha ett styringsverktøy for endepunkter, først og fremst klienter, men også for servere. Onboarder man alle virksomhetens klienter i ett system som både kan konfigurere og logge, så har man ett godt grunnlag for å oppdage ukjente enheter, holde enheter oppdatert og ikke minst fange uønskede hendelser på enheter som er eksponert. Tidlig deteksjon av mistenkelig aktivitet på enheter er svært viktig for å redusere skadeomfang ved hendelser.

For å være robust mot menneskelig angrep er det også vesentlig at brukerne får tilstrekkelig opplæring. Bla. i hvordan trussel aktører bruker manipulasjon for å få brukere til å gi fra seg brukernavn, passord og annen sensitiv informasjon. Brukerne må ha denne kunnskapen for å klare oppdage og unngå dette.

Beredskapsplan

Uansett hvor godt man er sikret vil man som regel alltid ha en angrepsflate hvor uønskede hendelser oppstår. Det er derfor viktig at man etablerer en evne til å oppdage uønsket aktivitet på systemer og i nettverk. Den beste måten å gjøre dette på er å samle inn og analysere logger. F.eks. med en SIEM løsning. Da får man innsyn i hva som skjer på enheter og systemer. Og man får muligheten til å gå tilbake i logger for å finne angrepsvektor slik at tidligere ukjente sikkerhetshull kan fjernes.

Videre må man være i stand til å respondere på hendelsene. Backup, beredskapsplaner og øvelser er sentrale elementer i hendelseshåndtering.

Oppsummering

Arbeid med å redusere risiko for digitale angrep trenger ikke være komplisert. Det viktigste er å komme i gang med et regelmessig arbeid, og så vil man bli bedre til dette etter hvert. I avsnittet om herding av systemer er det kun noen veldig få eksempler på herding av systemer som er nevnt. Det er en rekke andre systemer som også må herdes regelmessig.

Ta gjerne kontakt med ECIT  for å få hjelp til å komme i gang med prosessen. Vi kan også hjelpe din virksomhet logginnsamling, analyse (SIEM), beredskapsplaner osv.