Af Guido Gerrits, Regional Director, Access Management solutions for Benelux & Nordics hos Thales
Cyberkriminelle spiller stadig oftere en hovedrolle i streamingserier og film. Men tit må IT-sikkerhedsspecialister tage sig til hovedet over Hollywoods skildring af, hvordan et angreb foregår.
På film fremstilles cyberkriminalitet ofte som en øvelse i at bryde koder og knække systemer – og sådan er det naturligvis også nogle gange. Men i realiteten foregår fire ud af fem cyberangreb ved, at cyberkriminelle narrer en bruger til at udlevere adgangsgivende informationer, hvorefter de har let adgang til at gå ind på det pågældende system.
Eller som nogle udtrykker det: “Hackers don't break in – they log in.”
”Din logonside er jo eksponeret for hele verden”
Thales er en franskejet koncern med over 81.000 ansatte i 68 lande. Heraf er godt 15.000 beskæftiget med IT-sikkerhed, og en stor del af den aktuelle udfordring er at styrke sikkerheden i kundernes infrastruktur. Den er ofte en hybrid mellem applikationer og services i public cloud, private cloud og on-premise baserede systemer. Dertil entrerer de fleste kunder med talrige udbydere i skyen, men overser de sikkerhedsudfordringer, der følger med clouddrift.
Her har man bemærket, at ganske mange virksomheder stadig har en forestilling om, at applikationer og data automatisk bliver mere sikre, blot de ligger i skyen.
Og cloududbyderne er ganske rigtigt gode til at håndtere plastformsikkerhed, fysisk sikkerhed og driftsstabilitet. Men kunden har selv et stort ansvar for brugersikkerheden. Særligt fordi det jo er muligt at logge ind på en cloudapplikation fra en hvilken som helst browser – uanset om man befinder sig på kontoret eller et vilkårligt sted i verden. Den enkelte virksomheds logonside er reelt eksponeret for hele verden og ikke gemt væk bag firewall og hardwaresikkerhed.
Del ansvaret op for cloudservice og sikkerhed
Derfor er det afgørende at arbejde målrettet med zero trust-security. Det indebærer blandt andet, at man konstant kontrollerer – eller som minimum sandsynliggør udenfor enhver rimelig tvivl – at alle logins på cloudtjenesten er berettiget.
Man bør derfor ikke stole på, at brugeren altid er den, vedkommende siger, at hun eller han er. Uanset om her er tale om topchefen, IT-specialisten, den eksterne konsulent, en ansat fra bogholderiet eller en helt femte.
Blandt de vigtigste elementer er såkaldt shared responsibility. Her tager cloududbyderen ansvar for platform og infrastruktur, mens man som kunde selv sikrer brugeradgangen, eventuelt med hjælp fra en 3. part. Bruger man eksempelvis Microsofts cloudplatform – herunder Office 365, Dynamics 365 og Azure – bør man ikke samtidig styre adgangskontrol via Microsoft Authenticator.
Her gælder princippet om, at man aldrig bør lægge alle sine æg i samme kurv, da det øger organisationens sårbarhed i uacceptabel grad. Derfor bør man altid skille applikations- og sikkerhedsansvar ad. Også hvis man anvender cloudsystemer fra eksempelvis Amazon, Google, Salesforce eller en helt fjerde cloududbyder.
Omstændighederne bør afgøre om du får adgang eller ej
Samtidig bør man arbejde målrettet med conditional access management. Det indebærer blandt andet, at man arbejder målrettet med sikkerhedsroller til brugerne som funktion af, hvor omfattende privilegier og følsomme datamængder, de har adgang til.
I udgangspunktet bør alle som selvfølge arbejde med to-faktorbaseret sikkerhed. Brugernavn og password bør aldrig være eneste adgangsgivende faktor, men skal som minimum suppleres af eksempelvis en app.
Men har en bruger adgang til en privilegeret adminkonto, til finansielle informationer eller udviklingsdata, er det afgørende at hæve sikkerhedsniveauet yderligere. Eksempelvis ved at udstyre de pågældende med en token eller krypteret adgangskort.
Dertil kommer en mindst lige så vigtig forholdsregel – og det er primært her, at ordet conditional kommer i spil. Nemlig at udnytte mulighederne for at vælge og anvende adgangsgivende platforme, der kun giver adgang fra eksempelvis bestemte geografiske lokationer eller regioner. Eller ved at nægte adgang, hvis brugeren urealistisk hurtigt skifter lokation.
Forsøger en bruger eksempelvis at logge ind fra først Aalborg og fem minutter efter fra Hamborg, så bør systemet nægte brugeren adgang. Også selv om både kode og security token ellers er i orden.
Den slags forholdsregler kan tage mange cyberangreb i opløbet. Så det bør man sikre at ens sikkerhedsinfrastruktur kan håndteresamt, at det virker på tværs af hele løsningsporteføljen. Samtidig er det et godt eksempel på, hvordan conditional access management kombineret med shared responsibility fungerer i praksis. Nemlig ved, at man som virksomhed tager et aktivt medansvar for brugersikkerheden og ved at gøre sikkerheden intelligent.
