Jeg ved godt, at mange nok stejler: Men for it-sikkerhedens skyld bør du altså benytte mere end én pc

Klumme: I min optik er det eneste rigtigt værn mod bestemte it-angreb at implementere en to-pc-løsning eller en-flere-pc-løsning. Jeg ved godt, at mange nok stejler, fordi de ikke gider slæbe rundt på flere pc’er. Men det giver altså god mening at have flere fysiske pc’er.

Når jeg vurderer sikkerheden i virksomheder, støder jeg ofte på en sårbarhed, som jeg ikke mener, at der tages højde for i diverse compliance-rammeværk eller af virksomhederne selv, nemlig at den samme pc ofte benyttes til håndteringen af forskellige sikkerhedsmæssige opgaver.

Dette er dog noget, som hackerne ved og udnytter.

Det klassiske eksempel er, at udviklere både benytter samme pc til dagligdagsopgaver som kalender, intranet samt e-mail, som de benytter til udviklingsopgaver.

Her kan man let forestille sig, at der kan introduceres svagheder på pc’en - eksempelvis i forbindelse med test af forskellige browserversioner eller anden gammel software.

Et andet godt eksempel er, at administratorer benytter samme pc til almene opgaver og administrative opgaver.

Mere end én pc til en medarbejder
Især i særligt beskyttede SCADA/ICS-netværk vil det være fordelagtigt at benytte en løsning, som indebærer mere end én pc for medarbejderne.

Der kan nemlig overføres malware eller andet til SCADA/ICS-netværket via medarbejderens pc, som også benyttes til mail og browsing på internettet.

Inden længe træder EU's nye persondataforordningen i kraft. Hvor mange virksomheder har så tænkt over, at kun særligt hærdede pc’er bør håndtere persondata?

Hvor mange lader teenageren benytte deres pc derhjemme om aftenen til at lave lektier på eller andet?

Tænk på følgende angrebsscenarie
Lad os tage udgangspunkt i beskyttelse af persondata. Det er jo oppe for tiden.

Vi har valgt at flytte persondata til et særligt beskyttet netværk.

Nu er jeg jo nok en del farvet af Windows-miljøer, så derfor bygger følgende angrebsscenarie netop på et Windows-miljø.

Vi har valgt at implementere to netværk. Det ene er et netværk, som vi benytter til almindelige dagligdags-opgaver. Lad os kalde det for ”Almindeligt kontornetværk”.

For at implementere en fornuftig form for sikkerhed i forhold til persondataforordningen, vælger vi at implementere et andet netværk, hvis formål er at håndtere persondata. Det kalder vi for ”Persondata-netværk”.

For at gøre det simpelt, arbejder vi med en enkelt bruger kaldet Maria. Maria arbejder med persondata og skal derfor kunne tilgå ”Persondata-netværk”.

Opdeling i to netværk
Lad os forestille os, at hackeren foretager et angreb mod det almindelige kontornetværk, og at angrebet lykkes.

Nu har hackeren så kompromitteret det almindelige kontornetværk, i dette eksempel som ”domain admin”.

Hackeren har kompromitteret det første netværk
Lad os forestille os, at det nu er muligt for hackeren at kompromittere Marias pc, da denne er en del af det almindelige kontornetværk.

Dette er langt fra utænkeligt. Dette angreb er et, jeg har udført flere gange i forbindelse med penetrationstest.

Hackeren har kompromitteret Marias pc
Da Marias pc er kompromitteret og også benyttes til persondatanetværket, vil det være muligt at benytte Marias adgang til dette netværk til at kompromittere det.

Det kan gøres ved at vente til, at Maria tilgår det sikre netværk. Herved kan brugernavn og password opsnappes ved hjælp af eksempelvis en keylogger.

Hackeren har nu kompromitteret vores sikre netværk
Svagheden ved at benytte en enkelt pc, er, at man kobler sikkerheden i mellem de to zoner sammen.

Altså, hvis den ene zone kompromitteres, er det let for en angriber at kompromittere den næste zone.

Man kan som virksomhed have opbygget et rigtigt sikkert og velkonfigureret miljø, men den sikkerhed falder derved til jorden eller til det sikkerhedsniveau, som er på de øvrige miljøer.

Mitigerende tiltag
I min optik er det eneste rigtigt værn mod et angreb som dette at implementere en to-pc-løsning eller en-flere-pc-løsning.

Så længe vi benytter den samme pc til flere opgaver, hvor sikkerheden bør differentieres, giver det god mening at have flere fysiske pc’er.

Jeg ved godt, at der er mange, som stejler, og som ikke gider at slæbe rundt på flere pc’er.

Der er også andre løsninger, som kan implementeres, men som ikke giver samme sikkerhedsniveau.

Det er ofte op til en meget tung politisk beslutning i virksomheden, om en sådan løsning skal implementeres, og det kan være svært at overtale beslutningstagerne og brugerne.

Jeg har dog altid i kraft af min rolle som penetrationstester slæbt rundt på minimum to pc’er. Ja, nogle gange endda op til fire pc’er.

Det er ekstra sjovt i lufthavnen, når man smider den ene pc efter den anden op på båndet..

I dag vejer enkelte pc’er altså ikke særlig meget, og de er heller ikke så omkostningsfulde, så det er altså ret let at håndtere.

Man kan også benytte virtualisering. Risikoen er dog, at en zero-day-sårbarhed kan åbne op for, at der kan hoppes fra en virtuel maskine til hosten. Der er set lignende sårbarheder tidligere.

Hvis man alligevel beslutter at benytte virtualisering, er det væsentligt at huske, at det er hosten, som skal benyttes til det mest sikre, idet en kompromittering af hosten også vil føre til en kompromittering af den virtuelle maskine.

Der kan også implementeres to-faktor-autorisation til det sikre miljø. Det vil dog være muligt for hackeren at benytte den session, som benyttes til miljøet.

Det er også muligt for hackeren at installere keylogger, tage skærmdumps og kopiere clipboard fra den kompromitterede pc, når den benyttes i det sikre miljø.

Fordele
En af de helt store fordele ved at benytte to pc’er er, at den pc, som i vores eksempel benyttes til persondata, kan hærdes på den helt rigtige måde.

Den behøves ikke at være sat op til mail, kalender og andet. Der behøves måske slet ikke at være internetadgang fra denne pc. Det er derfor muligt at sikre den helt optimalt.

Selvfølgelig kan vi jo som sikkerhedsfolk godt tænke os at have uendelige ressourcer til at implementere sikkerhed for, men det skal baseres på en fornuftig risikovurdering.

Jeg håber, at dette klummeindlæg skaber opmærksomhed om dette problem.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.





Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Live fra Retten i Glostrup (afsluttet): Retten vurderer: Må Computerworld fortsætte liveblog eller ej?
Live fra Retten i Glostrup: Vi er tilbage i retten til Atea-sagens tredjesidste dag inden jul. Følg med i sagen her live og hør om, hvorvidt en rejse til USA var ren ferie på skatteydernes penge eller ej.
CIO
Efter masser af luksusbilag i Atea-bestikkelsesretssagen: Tiltalte it-topfolk fastholder uskyld - vil frifindes
Efter 18 retsdage med timelange afhøringer af de tiltalte og tonsvis af bilag står sagen stadig åben. "Hvis der er kommet noget frem her under sagen, så er det noget, der taler for vores påstand om frifindelse," mener forsvarer Michael Skjødt.
Comon
Ny topmobilprocessor afsløret: Her er de fire ting, du skal vide om Snapdragon 845
Qualcomm har præsenteret sin Snapdragon 845-chipsæt, som vil være at finde i mange af næste års bedste Android-telefoner. Her er alt, hvad du skal vide om chippen
Job & Karriere
Dansk it-virksomhed indførte fire-dages arbejdsuge: I dag er sygefraværet rekord-lavt og direktøren har tabt sig 13 kilo
Interview: Great Place To Work kategori-vinderen IIH Nordic har indført en fire-dages arbejdsuge og taget et opgør med forstyrrende storrums-kontorer og en frustrerende mailkultur. I dag er medarbejderne gladere end nogensinde før.
White paper
Er du klar til EU´s nye persondataforordning? ... her er de gode råd om, hvordan du bedst griber det an
Den nye persondataforordning, der træder i kraft 25. maj 2018, har ganske stor indflydelse på den måde, som mange virksomheder driver forretning på. Hvordan håndterer og beskytter virksomheden kundernes personlige data, så alle kunders valg bliver respekteret og beskyttet? Den nye forordning gælder uanset hvor virksomheden sender data til, uanset hvor data lagres, og uanset hvordan data håndteres. Læs dette whitepaper og få hjælp til at forberede virksomheden på den nye persondataforordning (GDPR). Få også et overblik over persondataforordningen og alle de nødvendige svar til at komme igang med processen.