Knekte "Cyber-Security ben" er ofte de sterkeste

Ved Gøran Tømte, CISO i Data Equipment

De fleste er kjent med at ben i kroppen som har vært knekt, og så grodd igjen, er sterkere enn de som aldri har vært så uheldige. 

Det samme mener jeg gjelder for Cyber-Security. Noen mister tillit til firmaer som har vært utsatt for en sikkerhetshendelse. Det kan absolutt være grunn til det, men dersom ledelsen våkner, tar tak, endrer policy og rutiner, og er ydmyke, kan resultatet bli det motsatte.

Se holdningen til Maersk. Der har det skjedd enormt mye, spesielt med tanke på fokus fra ledelsen. Ser man på Helse Sør-Øst hendelsen, så har mye skjedd hos Sykehuspartner siden januar 2018. De siste i vinden er Norsk Hydro. Jeg er 100% sikker på at de kommer styrket ut av hendelsen.

 

NorCERT_600

 

Ser vi på Digi-artikkelen fra Sikkerhetskonferansen 2019, hvor Håkon Bergsjø, leder for NorCERT blir intervjuet, så snakker de også om Norsk Hydro hendelsen. I intervjuet har de flere gode poenger, men jeg velger å fokusere på følgende:
 
  • Det vi pleier å si, er at hvis du har hatt en sak, så vet du hva du har. Det er alle dere andre som ikke vet hva dere har av aktører inne i nettene deres. Hydro har i alle fall fått ryddet opp, sa NorCERT-sjefen.
  • Ikke trekk ut strømmen! Behold roen! Dette har stort sett foregått i flere hundre dager. Det er ikke slik at det skjedde den ettermiddagen du fikk vite om dette. Dette er ettermiddag nummer 300, fortsatte han.
  • Dersom du ikke har logger, så er det veldig vanskelig å hjelpe dere. Et av hovedbudskapene er, invester i logger. Og dere som driver med policy angående deling, innsyn, og så videre. Dere må gi de som jobber med saken det de trenger.


 

Hvorfor er logging så viktig? 

Visibilitet -> Kontroll -> Sikkerhet.
I den rekkefølgen. Ser man ikke, kan man ikke kontrollere. Kan man ikke kontrollere, kan man heller ikke oppnå sikkerhet. Ser man ikke, kan man heller ikke generere logger. Og logger er viktig. 

Loggene er viktig for operasjon, drift, hendelseshåndtering mm. Skulle man f.eks ha mistanke om at et eller annet er på ferde, vil loggene være det første man ser i. Har man ikke logger, vil det være vanskelig å vite. Da kan man først begynne med å få på plass logger i det øyeblikket man starter feilsøking, og dermed «håpe» noe skjer igjen. Husk en viktig ting.


 

Skadelige hendelser skjer i tillatt trafikk

Skadelige hendelser skjer i tillatt trafikk, så det er derfor viktig å logge alt. Mange logger alt som er sperret, noe som gir mening fra et operasjonelt ståsted, mens tillatt trafikk ofte ikke logges i full grad, for å spare ressurser. Det er da viktig å være klar over ulempene med dette.


 

Zero Trust og logging

Zero Trust er en strategi. Den baserer seg på at du allerede er kompromittert, og må tenke sikkerhet fra innsiden og ut. Den sier du må lage mikroperimetere, for sikker tilgangskontroll. Den sier «Never trust, always verify». Den sier «log all traffic». Les mer her
 

 

Nasjonal sikkehetsmyndighet og logging

Nasjonal sikkerhetsmyndighet har skrevet en egen artikkel om logging:  Logging - Du må vite hva som skjer og hva som har skjedd

Nasjonal Sikkerhetsmyndighet omtaler logger i sine «Grunnprinsipper for IKT-sikkerhet» og her står logging nevnt flere ganger, for alt fra klienter, servere til nettverk.

2.10. Etabler hensiktsmessig logging  

  • Samle og administrere logger for hendelser som kan bidra til å oppdage, forstå, eller gjenopprette etter et angrep.
  • Hvorfor er dette viktig? Hendelser bør registreres slik at sikkerhetsbrudd kan detekteres så tidlig som mulig, om ikke forhindres. Ved sikkerhetsbrudd kan logger bidra til at skadens karakter og omfang kan identifiseres og skaden utbedres. Manglende eller feilaktig konfigurering av logger og logganalyse vil kunne medføre at angripere uoppdaget kan skjule sin NSM GRUNNPRINSIPPER FOR IKT-SIKKERHET 34 GRUNNPRINSIPPER FOR IKT-SIKKERHET Beskytte tilstedeværelse, skadevare og aktiviteter i virksomhetens IKT-systemer. Logger vil også bidra til å kartlegge skadeomfanget av et angrep, tidslinje for angrepet, og vil danne grunnlag for eventuelle rettslige forfølgelser. 

 

NSM grunnprinsipper


 

CIS CSC

CIS, Center for Internet Security, har utviklet flere relevante verktøy og veiledninger for generell og helhetlig sikkerhet, og de er også opptatt av viktigheten med logging.
 
  • 1.3: Use DHCP Logging to Update Asset Inventory
  • 6.2: Activate Audit Logging
  • 6.3: Enable Detailed Logging
  • 8.6: Centralize Anti-Malware Logging
  • 8.7: Enable DNS Query Logging
  • 8.8: Enable Command-Line Audit Logging
  • 9.5: Implement Application Firewalls - Place application firewalls in front of any critical servers to verify and validate the traffic going to the server. Any unauthorized traffic should be blocked and logged.
  • 14.9: Enforce Detail Logging for Access or Changes to Sensitive Data
  • 6.12: Monitor Attempts to Access Deactivated Accounts - Monitor attempts to access deactivated accounts through audit logging.


 

Palo Alto Networks Cortex

NSM sier det i Digi. NSM sier det i sine Grunnprinsipper for IKT-sikkerhet. CIS sier det i sine CSC: Logg. Logg alt. Skap synlighet. Først da kan man gjøre en forskjell. Dette gjelder på endepunktet, i nettverket og i skyen. Samle deretter alle loggene på et sted slik at man ved hjelp av verktøy kan gjøre korrelering og dypere analyse. 

Palo Alto Network Cortex, med Data Lake og XDR, er et slikt verktøy. Cortex tar ikke bare imot all data fra nevnte sikkerhetsmekanismer, men benytter også maskinlæring for analyse, som igjen vil bidra til å oppdage hendelser raskt. Veldig raskt. Og ikke bare oppdager man skadelige hendelser, men også mistenkelige hendelser basert på adferdsanalyse. Alt dette er automatisert for minst mulig personlig inngripen, slik at alle selskaper uansett størrelse og kompetanse kan starte opp med loggingsanalyse på en enkel måte. 


 

Hvor mye logging skal man ha?

Så mye man har råd til sier ekspertene. NSM gir et eksempel på en aktør som har vært i nettet i 300 dager. I Marriott-hendelsen gikk det 4 år. Vi venter alle i spenning på detaljer i Norsk Hydro saken, spesielt på informasjon om hvor lenge aktørene var i nettverket før de trykket på knappen. Dette burde samtidig gi svar på hvordan de kom seg inn, samt hvordan de beveget seg for å oppnå suksess. Dette krever logger tilbake i tid. Som et minimum må man ha logging i 180 dager. 


Bilde 1_585

Slik vil bildet se ut fra et logginnhentingsbilde. Alle enheter. Alle lokasjoner. Man får alt samlet, et sted for mest mulig viten og læring.


 

Bilde 2_585

Og med alle dataene samlet et sted, og ved hjelp av store mengder maskinkraft for maskinlæring og analyse, vil man raskt og enkelt få opp et bilde av hendelsesforløpet. Vi snakker om et arbeid som kan ta fra timer til uker, gjøres nå på sekunder.

 

 

Bilde 3-585

Og på grunn av plattformkonseptet til Palo Alto Networks, er alt koblet sammen, slik at man kan gjøre automatiserte endringer.


 

Min anbefaling til alle er å ta til seg anbefalingene fra NSM og CIS, pluss de aller fleste andre som jobber med IKT-sikkerhet. Først og fremst få kontroll på loggene, men også benytt loggene til noe fornuftig og ikke bare la de ligge passive. 

 

 

Gøran Tømte_200

 

 

 

 

Gøran Tømte, CISO, Data Equipment

 

Nøkkelord: CISO, CIO, logging, sikkerhet, cyber security, SOC, IR, Incident Response, hendelseshåndtering, beredskap, analyse, sikkerhetsanalyse, innbrudd, datalekkasje, løsepengevirus, NSM, strategi, sikkerhetsstrategi, policy, sikkerhetspolicy, styringssystem, kontroll, sikkerhetstjeneste, Security as a service, MSSP, compliance, ISO 27001 ISO 27002, 

Ønsker du å bli kontaktet?