Af Klavs Thaarup, Senior Security Consultant, Orange Cyberdefense Danmark.
Der vil altid være risiko for sårbarheder i vores firewalls. Men hvis et netværk opdeles i segmenter, nytter det ikke meget at komme forbi de ydre forsvarsværker.
Et typisk dansk virksomhedsnetværk er primært beskyttet af en firewall. Dvs. at der er indsat en sikkerhedskontrol af den nord/syd-gående datatrafik til og fra internettet. Det er forholdsvis simpelt, for her er trafikkens retning let at forudsige.
Anderledes ser det ud med øst/vest-trafikken inde i selve netværket. Da den er langt mere kompleks, er det både vanskeligt og tidskrævende at implementere og administrere de rette sikkerhedskontroller. Så her er sikkerheden typisk meget lav, og for en dygtig hacker, der har udnyttet en sårbarhed i firewall'en, er der tale om et decideret tag-selv-bord.
Langt de fleste virksomhedsnetværk i Danmark befinder sig stadig på dette niveau. Det er en af hovedårsagerne til de mange succesfulde ransomware-angreb, vi ser i øjeblikket.
Løsning: Del netværket op i "brandsikre rum"
En af de mest effektive metoder til at indføre sikkerhedskontrol af øst/vest-trafik er at segmentere netværket. Det kan sammenlignes med at opdele en bygning i adskilte, brandsikrede rum. Hvis en hacker trænger ind, er der således kun adgang til ét rum – altså blot en lille del af netværket.
Men segmentering nytter kun, hvis det gøres, uden at administrationsbyrden og reaktionstiden på angreb bliver tung og langsom. For de it-kriminelle opererer hurtigt og agilt, når de angriber. Det skal forsvaret afspejle. Så længe det hæmmes af at være stramt bundet til selve infrastrukturen og tunge change management-processer, har de it-kriminelle en åbenlys taktisk fordel.
Bryd koblingen mellem sikkerhed og infrastruktur
"Software defined microsegmentation" er en ny teknologi, der kan implementeres helt uafhængigt af den underliggende infrastruktur. Her klassificeres alle servere og udstyres med en eller flere labels baseret på miljø, applikation eller rolle. Fx om der er tale om en test- eller produktionsserver, en database, en webserver, en API-gateway etc. En label kan også beskrive OS, cloud region, compliance level mv.
Det har den meget store fordel, at man administrativt afkobler sig fra netværks fysiske kompleksitet og utallige IP-adresser. Det er også ligegyldigt, hvordan netværket er bygget op, da sikkerhedskontrollen af øst/vest-trafikken baseres på forretningsmæssige roller frem for fysiske placeringer i infrastrukturen. En anden vigtig pointe er, at klassificering af store netværk i dag kan udføres langt hurtigere end for blot få år siden. Hvad der før tog år, kan nu gøres på måneder.
Alt kan styres med få policies
Når alt er klassificeret og udstyret med de rette labels, kan man med få, enkle policies styre al trafik i netværket. Fx: "Ingen testserver må kommunikere med produktionsservere" eller "Kun disse medarbejdere må tilgå økonomisystemet." Så lidt som 10 - 20 enkle og dynamiske policies kan styre alt, fordi de hver især kan omfatte tusindvis af servere.
Selv store sikkerhedsændringer kan gennemføres så let som at ændre eller skrive en ny policy uden nedetid og uden behov for at ændre policy, når servere flyttes rundt i netværket. På grund af disse fordele har både Forrester og Gartner gennem flere år anbefalet mikrosegmentering som en del af begrebet zero trust.
Lad os lukke hullet i våbenkapløbet
Som pressedækningen tydeligt viser, har de it-kriminelle vundet terræn og skabt en milliardforretning på ransomware. Jo længere tid danske virksomheder vælger kun at beskytte deres netværk med et ydre forsvar – jo mere ulige bliver kampen. Mikrosegmentering har potentialet til at vende den udvikling på hovedet. Derfor er det vores klare anbefaling er, at alle danske virksomheder hurtigst muligt øger deres viden på dette område.
Læs mere om, hvordan din virksomhed kan beskytte sig mod ransomware her
For yderligere information, kontakt venligst:
sales@dk.orangecyberdefense.com
Eller følg os på Linkedin
