10 januari, 2021

Show Notes för #106 – Hotet inifrån

Ok, allesammans, här är Lisa-Kalle, vår nya ekonomichef. Hen har av egen vilja bett att få intervjua er alla för att få veta mer om ert jobb och vad ni har för privata intressen. Hen är hygglig, men gillar sin Stetsonhatt och sin trenchcoat. För att inte kränka hens känslor och visa en inkluderande företagskultur ska vi givetvis vara öppna för hens klädval och att hen gillar att gå runt med en blomma med någon glaspryl i mitten på i kavajslaget.

Avsnittet: #106 – Hotet inifrån
Inspelat: 2021-01-09 (publicerat 2021-01-10)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Vi kan ju inte låta bli att nämna ”Dr Strangelove” denna gång heller. Scenen då Sovjets president springer runt i USAs krigsrum och fotograferar hemliga dokument med en mikrokamera är hejdlöst rolig och kan räknas som någon form av insiderbrott… trots att han är outsider… Kanske man kan se honom som en konsult inplockad i ett nödläge, eller så ska man inte tänka så mycket sådant där i en svart humor-baserad film.

Så vilka tre (alltid tre-tal!) insiders finns det?

  • Den gör fel och skickar ut data eller gör skada.
  • Den som är lurad av någon annan och gör saker utan att förstå konsekvenserna.
  • Den som är illvillig och vill göra skada, tjäna pengar eller hjälpa någon på utsidan.

Det är lätt att alltid tänka på den illojale medarbetaren när man pratar insiders, men det är att förenkla det hela uppenbarligen. Men svårigheten är att den som gör misstag och den som blir lurad av någon (i viss mån) kan stoppas relativt effektivt. Den som är lurad och guidas av en van cyberbrottsling eller den som själv slår sig in på cyberbrottets banan är så pass svåra att stoppa att det kan vara rent av omöjligt att hindra detta.

Mattias drar sedan följande exempel på insiderbrott:

  • Microsofts databas läckte ut på grund av anställdas oaktsamhet. (2019)
  • General Electric-anställda stal affärshemligheter för att få en affärsfördel.

Det är två olika händelser men de är båda exempel på hur denna typ av problem trots att förutsättningarna skiljer sig radikalt.

Lösningen är att satsa på att:

  • Hindra läckage med DLP-lösningar.
  • Införa mikrosegmentering.
  • Skapa en kultur där man ser till att folk inte accepterar slarv med säkerheten eller att man gör saker som kan vara brottsligt.
  • Se till att ha en livs-cykelhantering där man kontinuerligt ser över rättigheterna när användare byter arbetsuppgifter eller avdelningar.
  • Se till att konton skyndsammast tas bort eller kanske bättre, deaktiveras när någon slutar eller tar tjänstledigt.
  • Se till att övervaka system- och nätverkshändelser som tyder på olämpligt beteende även för de med godkända rättigheter.
  • ”Least privilege” – bara ge användarna exakt de rättigheter de ska ha.
  • ”Separation of duties” – se till att kritiska handgrepp kräver att minst två personer är närvarande för att kunna utföras. Var av dem ska då ensamma inte kunna utföra uppgiften.
  • ”Forced vacation” – Tvinga de med höga behörigheter att ta semester för att hindra dem från att ensamma kunna driva en plan för att utföra olagliga handlingar mot sin organisation. Under deras semester kommer en annan person ta över och är då sannolik att upptäcka irregulariteter. Detta skyddar också mot misstag om folk blir trötta och ofokuserade med tiden.
  • Förankra policies och krav på sänkta behörigheter med ledningsgruppen då detta ger IT-avdelningen den kraft som krävs för att kunna genomföra dessa. Utan ledningsgruppen påskrift kan användarna motsätta sig att acceptera striktare policies.

Errata

  • Erik berättar om Terry Childs som höll San Franciscos fibernätverk gisslan att detta var möjligt för att de inte tog ifrån honom rättigheterna när han fick sluta. Det är i stort sätt vad som hände, fast han satte faktiskt igång att låsa andra ute på grund av att han kom i bråk med sina medarbetare om en policy för att lämna ut lösenord. Och detta skedde INNAN han fick sparken. Det var alltså mer av att han hade för mycket rättigheter snarare än att de inte hade fungerande livscykelhantering. En liten korrigering, men ändå viktig att göra.

Länkar

Fängelse för att han låste administratörerna i San Fransiscos nätverk ute för denna Terry Childs:
https://www.govtech.com/security/Former-San-Francisco-Network-Admin-Terry.html

Anders Sandberg pratar om att skapa en säkerhetskultur och hantera informationssäkerhet i verkligheten.
https://www.itsakerhetspodden.se/podcast/9-kommer-vi-ha-hemligheter-i-framtiden/

Vi pratar om attacken mot AddTech, som visserligen inte var ett insiderbrott, men visar på problemet med lateral förflyttning:
https://www.itsakerhetspodden.se/podcast/71-attacken-mot-addtech/

Det må ha varit över 20 år sedan, men Love letter visar på faran med att inte begränsa användares rättigheter:
https://www.itsakerhetspodden.se/podcast/65karleksbrevfranfilippinerna/

Informationsläckage, som är vanlig effekt av insiderbrott är ett ämne i sig:
https://www.itsakerhetspodden.se/podcast/63-informationslackage/

Mikrosegmentering och Zero-trust network hör ihop:
https://www.itsakerhetspodden.se/podcast/8-zero-trust-networks/

Kommentera

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.

Scroll to top