Avsnittet: #109 – Hur arbetet blir proaktivt
Inspelat: 2021-01-29 (publicerat 2021-01-31)
Deltagare: Erik Zalitis, och Mattias Jadesköld
Lyssna på avsnittet
Att fundera på medan du lyssnar
Man skulle faktiskt kunna säga att detta avsnitt är en fortsättning på det om Insider-hoten, då det diskuterar på en mer konceptuell nivå hur problemen kan lösa genom att uppnå ett proaktivt beteende istället för att reagera i ren panik som vanligt.
Vi kommer tillbaka till ämnena ”skapa en säkerhetskultur” och ”kunna upptäcka hot”. Men denna gång hör det till en mycket bredare blick över hur ett företag eller organisation ska kunna försvara sig.
Så… Proaktivitet kan väldigt enkelt ses som två beteenden:
- Nostradamus-läget, där man försöker förutspå attacker.
- Reagera-snabbt-läget, där man reagerar på indikatorer på att något på gång innan attacken egentligt börjar lyckas. Denna Proaktivitet är dock även en form av reaktivitet, dock inte på fullbordat faktum. Tänk dig mer som att gå till doktorn för att få veta om det där konstiga födelsemärket är farligt eller inte.
Förresten, en triljon är en etta med 18 nollor efter sig. Alltså 10¹⁸. Nu vet du mer en vad jag gjorde när jag spelade in avsnittet.
Din verktygslåda
Threat hunting
”Pentestning med silkesvantarna på” eller kanske ”etisk hackning med vapnen säkrade”. Man tittar på miljön som en hackare och försöker förstå hur långt en sådan skulle kunna ta sig om det vore på riktigt. Detta är något de flesta i IT-säkerhetsbranschen gjort när de går igenom det som ska installeras. Men här sker det mer systematiskt och man går då igenom allting steg för steg.
En kund skulle kunna be konsulten gå igenom miljön och svara på hur långt en Ransomware-attack skulle kunna gå.
Ethisk hacking (Pentester)
Kan en konsult bryta sig in? Och hur långt kommer denne? Ibland kanske man inte kan ta sig hela vägen, men dock göra miljön otillgänglig eller radera information. Kanske är ett total övertagande i sig inte heller det värsta som kan hända, utan det är när organisationens data kopieras av hackarna och därför läcks. Detta är ganska garanterat att ske som en effekt av ett totalt övertagande, men det behöver inte gå så långt för att känsligt data ska bli tillgängligt för hackarna. Så även mindre attacker som inte ”når hela vägen” kan vara förödande. Många attacker mot klienter bygger faktiskt på att INTE ta över systemet, eftersom data kan nås av den användaren som är inloggad och då kan även hackaren göra det. På det sättet är det lättare att inte skapa larm i övervakningen men fortfarande få tillgång till datat. Case in point ”Living of the land” där man använder program och funktioner som redan finns på datorn och oftast nöjer sig med att köra dem med den inloggade användarens rättigheter.
Så ett pentest är nödvändigt för att kunna stänga alla vägar som går att hitta. Jag säger att med tillräckligt med tid, kan en pentestare ”ta sig in”. Detta borde kanske klargöras lite. ”Ta sig in” är ordmässigt ett totalt övertagande, men jag vill faktiskt även inkludera att man läcker data, gör systemet otillgängligt eller kan ändra data utan rättigheter i detta begrepp.
Pentestaren bryter sig in och dokumenterar hur detta gick till.
Bygga en säkerhetskultur
En repetition från avsnittet om Insiders men ”kulturskapande” är överlägset att bara utbilda folk som sedan glömmer allt. Skapa en medvetenhet där alla kollektivt minns, skyddar och förutsäger attacker. Grupptryck har en negativ klang, som det väl förtjänar, men att använda det för att skapa ett ”På den här arbetsplatsen gör vi inte såhär”-tänkande kan istället tvinga fram ett säkerhetsmedvetet beteende.
DISA (digital informationssäkerhetsutbildning för alla)
Så hur börjar man bygga denna kultur? Prova DISA – en sentida variant av ECDL, men fokuserande på säkert beteende istället för att lära ut hur man använder sin dator (vilket idag är ganska överspelat).
MSB ligger bakom DISA, som har en mycket bra ”frågesport”-funktion där du kan testa hur du beter dig i riktiga situationer. Det är hygglig trivialt, men inte så mycket menat att lära folk självklarheter som att faktiskt se till att dessa tankar finns fräscht i minnet.
En mycket användbar strategi för alla typer av organisationer som inte har egna motsvarigheter.
Omvärldsbevakning
Två saker: du måste veta vad som händer i det stora och du måste veta vad som händer nära dig. När dig är både i din bransch, ditt fysiska område, med dina konkurrenter och hur attacker och försvar utvecklas.
Definition av ”omvärlden”: (substantiv) INTE DU!
Det vill säga allt du inte har direkt kontroll över. Larvig definition? Definitivt inte. Tänk på detta när du bygger din proaktiva säkerhet.
Errata
- Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.
Länkar
”Frågesport” a’ la DISA:
https://webbutbildning.msb.se/utb/DISA/
En inledning tilll Proaktivt försvar:
https://blog.morphisec.com/what-is-proactive-cyber-defense
Olika taktiker för detta:
https://www.entrustsolutions.com/2020/11/13/proactive-vs-reactive-cyber-security/
Jag ger inte mycket för denna artikel. Det refererar till en undersökning som finns på en Casino-site:
https://chiefexecutive.net/almost-90-cyber-attacks-caused-human-error-behavior/
Homer Simpson vet hur det är med statistik (Vilket jag ironiskt nog felciterar i avsnittet):
https://www.youtube.com/watch?v=sm7ArKlzHSM
Simpsons paradox har inget att göra med Homer, men är ett läskigt bevis på hur man kan misslyckas med att tolka statistik:
https://www.youtube.com/watch/ebEkn-BiW5k
Hur definierar man omvärldsbevakning?
https://www.informationssakerhet.se/metodstodet/analysera/#omv%C3%A4rldsanalys