För att bli proaktiva i säkerhetsarbetet och få riktig effekt, behöver organisationer ta nästa steg och införa konkreta kontroller som gör praktisk skillnad, och använda metoder som gör att man får fingret på tråden kring vad som händer i IT-miljöer både i molnet och i de egna datahallarna.
De senaste åren har mycket fokus lagts på att adressera risk mot IT-system och dess data genom olika standarder och regelverk, tyvärr ofta med magert resultat vad gäller verklig motståndskraft mot angrepp och skadlig kod. Det visar sig alltför ofta att företag och organisationer ändå blir hackade, och att policies och riktlinjer blivit papperstigrar eller kringgås, eller inte utrycks tillräckligt väl i kravarbetet kopplat till sourcingavtal.
Statistiken talar sitt tydliga språk:
- 205 dagar* är mediantiden det tar innan ett intrång upptäcks.
- 69%* av drabbade organisationer fick reda på intrånget från en extern källa.
- I 99,9%** av fallen 2014 där ett angrepp utnyttjat en sårbarhet, var sårbarheten publikt känd i mer än ett år, och i 71% av fallen hade uppdateringen funnits tillgänglig för installation i mer än ett år.
- 23%** av användare öppnar phishing meddelanden, och 11 % klickar på bifogade filer.
*Mandiant Threat Report M-Trends 2015
** Verizon 2015 Data Breach Investigations Report
Det är därför dags att börja ställa frågor som:
- Hur många minuter tar det att identifiera en obehörig enhet på nätverket?
- Vad är den procentuella andelen system med en säkerhetskonfiguration som inte stämmer överens med konfigurationsstandarden?
- Hur många timmar tar det i snitt från det att en uppdatering släppts till att den installerats på system?
- Hur många minuter tar det att identifiera icke planerade (inom ramarna för change-processen) konfigurationsförändringar på nätverksenheter?
För att börja kunna svara på den här sortens frågor krävs en annan nivå av kontroll på IT-miljön. Denna nivå av kontroll blir också ännu mer intressant med tanke på kraven i EUs kommande dataskyddsförordning, där det bl.a pratas om 2% vite av koncernens omsättning vid bristande skydd av personuppgifter.
En lämplig modell att utgå från är SANS critical security controls. Det är en lista på 20 konkreta kontroller som gör verklig skillnad för att hindra eller försvåra den sortens angrepp vi ser mot företag idag. Alla de kontroller som tas upp mappar dessutom utmärkt mot ISO 27002. Poängen är att börja med dessa kontroller, för att sedan ta tag i de övriga delarna i ISO-ramverket. Självklart skall kontrollerna och deras uppföljning med i de avtal som skrivs med driftleverantörer.
Jag kommer framöver skriva mer utförligt om de olika säkerhetskontrollerna och hur de kan implementeras och följas upp, men här kommer en kort sammanfattning över de fem delkontroller som klassats som viktigast.
Kritiska Säkerhetskontroller
Genom tydligt mätbara kontroller kan vi följa upp i ledningssystem (LIS), och äntligen nå hela vägen i Plan Do Check Act.
Inventera och hantera tillåten och otillåten mjukvara
Vitlista vilka applikationer som får köra om möjligt, inventera installerade applikationer på servrar och klienter och agera på anomalier. Automatisera applikationsdistribution.
Användandet av standardiserade, härdade systemkonfigurationer
Använd härdade systemavbildningar (golden images) till klienter och servrar och monitorera otillåtna förändringar.
Uppdatera applikationsmjukvara
Skanna kontinuerligt system efter sårbarheter i applikationer, och uppdatera dessa kort efter en släppt uppdatering. För applikationer som inte kan uppdateras, bör dessa kompletteras med extra skydd.
Uppdatera OS-mjukvara
Skanna kontinuerligt system efter sårbarheter, och uppdatera operativsystem kort efter en släppt uppdatering. För system som inte kan uppdateras, bör dessa kompletteras med extra skydd.
Minskat antal användare med administrativa privilegier
Minimera antalet administrativa behörigheter, och inventera dessa på system och applikationer. Använd multifaktor-autentisering (för all sorts inloggning inkl. fjärracess) och säkerställ att administratörer har ett separat konto för vardagligt bruk.
Har ni några frågor kopplat till SANS Critical Security Controls och hur man implementerar dessa så är ni välkomna att höra av er till oss på Addlevel. Vi har bl.a en fasttrack hos Labcenter om kravarbete där säkerhetskontrollerna är en del i agendan, liksom en workshop i strategisk informationssäkerhet.
Se bilden i större format (klicka på bilden nedan):
Med vänliga hälsningar,
Mårten Thomasson
The post Tjugo säkerhetskontroller att implementera för att få verklig effekt i säkerhetsarbetet. appeared first on Addlevel.