Säkerhetspolicy

Varje dag läser vi i tidningarna om ständigt återkommande attacker mot vår IT-infrastruktur. Ord som hackers, virus, spam och belastningsattacker blir allt vanligare i dagens IT-samhälle. Några exempel:

  • En mask har invaderat det interna nätverket och sprider sig blixtsnabbt från dator till dator. Infekterade datorer börjar fylla nätet med trafik för att smitta så många andra datorer som möjligt. Efter några sekunder är infrastrukturen så hårt belastad att alla legitima applikationer har slutat att fungera.
  • En hacker har skickat ett e-postmeddelande med en bilaga till en av våra anställda. Den anställdes maskin beter sig till synes helt normalt, men i bakgrunden samlar trojanen – som fanns dold i bilagan – information från datorn och kopierar filerna till en server på Internet.
  • En missnöjd anställd är på väg att säga upp sig. Först vill han dock ta med sig användbar information till sin nästa arbetsgivare. I det tysta installerar han en ”sniffer” på sin dator för att försöka fånga upp lösenord på nätverket. Med hjälp av ett av dessa lösenord kan han sedan ta sig in på exempelvis en filserver han normalt inte har access till.
  • En utpressare hotar ett webbaserat företag – som är helt beroende av sin webbplats. Om man inte betalar kommer tusentals zombies (hackade maskiner som fjärrstyrs av utpressaren) att börja generera en så hög last mot webbplatsen, att de legitima kunderna stängs ute.

Hur hanteras de riskerna?

Att upprätta en säkerhetsplan är ett viktigt steg för alla företag som vill på ett metodiskt sätt skydda sitt nätverk. I en säkerhetsplan bör man först definiera vilka risker man löper och är villig att löpa. I säkerhetsplanen bestämmer man sedan den process som ska användas för att hantera riskerna. En effektiv metod att beskriva den löpande säkerhetsprocessen är det s.k. säkerhetshjulet.

Bild 1: Säkerhetshjulet

Allt cirklar kring säkerhetspolicyn där man noga har definierat risksituationen:

  • Vilka risker kan vi ta?
  • Vilka risker vill vi minimera?
  • Vad ska vara tillåtet?
  • Etc.

Hur kan nätverket säkras?

  • Man säkrar nätverket med tillgängliga verktyg som t.ex. brandväggar, antivirusskydd och system för engångslösenord, men även med nätverksutrustning.
  • Man övervakar systemet kontinuerligt, identifierar eventuella avvikelser och sätter vid behov in motåtgärder.
  • Man testar systemet regelbundet och då även ansvarig personal för att testa hur snabbt man upptäcker en attack. Tester sker ofta med hjälp av externa konsulter, men även med automatiserade analysverktyg.
  • Man hanterar systemet och utvecklar det efterhand i funktion av riskförändringar.

Skalsäkerhet eller internsäkerhet?

Under mitten av 1990-talet var brandväggen företagens centrala verktyg för att säkra IT-systemen. Likt byggandet av en traditionell försvarsmur placerade man en brandvägg mellan det interna nätet och Internet för att stoppa hackers från att nå in i det interna nätverket.

Bild 2: Skalsäkerhet

Även om brandväggen fortfarande är ett mycket funktionellt verktyg för att höja säkerheten, har allt fler företag insett att denna typ av skalsäkerhet inte är tillräcklig. Och några av anledningarna till detta är:

  • Ökad mobilitet. En bärbar – och oskyddad – dator, som ena dagen var uppkopplad mot Internet på en kafeteria utanför företaget, kan nästa dag kopplas upp på företagets interna nätverk.
  • Sofistikerade attacker. Många av dagens attacker från hackare och virus gömmer sig i applikationer – t.ex. webb och e-post – som brandväggen tillåter.
  • Dynamiska relationer. När ett företag utökar samarbete med andra företag och gör fusioner, partnerskap och nya affärsrelationer gör det interna nätet alltmer komplext.

När brandväggen inte räcker till för att trygga infrastrukturen, ligger lösningen istället i en ny syn på de interna komponenterna i nätverket. Att etablera ett betydligt mer robust och djupgående försvar än ett skalsäkerhet är egentligen inte komplicerat. Lösningen ligger i att utnyttja säkerhetsfunktionerna i nätverksutrustningen innanför brandväggen. Att använda redan befintliga funktioner är dessutom mycket kostnadseffektivt. Utrustning som routrar, switchar och accesspunkter finns redan på plats och förmodligen övervakas de redan av övervakningssystemen. Att addera säkerhetsfunktioner till existerande utrustning minimerar både kapital- och driftskostnader.

Kontrollera användarna och deras datorer

Säkerheten måste vara lika hög oavsett om man kommer åt till det lokala nätverket via Internet eller via lokalt inloggning. I ett säkrat nätverk ska användare identifieras och användarnas behörigheter begränsas. Förutom att användarna identifieras bör säkerhetsnivån på deras datorer fastställas så att varje dator har ett uppdaterat antivirusprogram i gång

Låt mig illustrera med några praktiska exempel varför sådana kontroller bör prioriteras:

  • Åsa tillhör personalavdelningen. Hennes dator har de senaste antivirusuppdateringarna och de rekommenderade
    ”Hotfixarna” från Microsoft. Därför ska hon ha full åtkomst till Internet, men även till gemensamma servrar och till
    personalavdelningens lönesystem.
  • Ylva är säljchef och borde ha tillgång till såväl Internet som filservern med säljavdelningens offerter. Men eftersom hon
    inte har uppdaterat sitt antivirusprogram efter semestern har hennes dator satts i karantän. Den får endast tillgång till en
    server från vilken hon kan ladda ned de senaste uppdateringarna. När uppdateringarna är installerade återfår hon
    automatiskt sina rättigheter.
  • Ulf är konsult och har inte tillgång till det interna nätet. Däremot får han komma åt Internet och han tillåts också koppla upp sig med VPN mot sitt företag.

För att kunna erbjuda dessa och ytterligare en mängd säkerhetsfunktioner behövs ett säkerhetssystem. Till exempel Cisco Network Admission Control (Cisco NAC), en arkitektur som ingår i Ciscos nätverksutrustning (routrar, switchar, trådlösa accesspunkter) och som även fungerar med produkter från flera andra leverantörer, t.ex. antivirusprogram från Trend Micro, Mcafee och Symantec samt en rad andra leverantörer.

Bild 3: Cisco Network Admission Control

Cisco NAC kräver att alla maskiner som ansluter sig till ett nätverk har en tillräcklig säkerhetsnivå. Kraven varierar beroende på verksamheten. Antivirusprogram med aktuella uppdateringar installerade och en personlig brandvägg är dock ett baskrav.

Men även det bästa virusskydd kan svikta vid en s.k. Day Zero-attack – en attack som inträffar innan virusskydd eller uppdatering finns tillgängliga. För att stoppa Day Zero-attacker har Cisco utvecklat Cisco Security Agent (CSA) som, istället för att utgå från kända signaturer, använder avancerad beteendeanalys för att identifiera och stoppa nya attacker.

I CSA finns hundratals beteenderegler fördefinierade, men dessa kan naturligtvis modifieras och nya, egna regler kan adderas. Så här kan reglerna se ut:

  • Ett program som laddats ned från nätet öppnar upp sessioner mot flera andra maskiner. Detta skulle kunna vara ett datorvirus och stoppas därför.
  • En webbläsare vill plötsligt modifiera en viktig systemfil – förmodligen beroende på ett säkerhetshål i webbläsaren. Detta stoppas eftersom beteendet inte är normalt.
  • En webbserverprocess börjar skriva filer i stället för att läsa dem. Detta stoppas då det är ett onormalt beteende för en webbserver som tyder på att den har blivit angripen.