Mer enn antivirus og Tar du ikke it-sikkerheten alvorlig, kan det få svært store konsekvenser for virksomheten din. Etablering av gode sikkerhetsmekanismer er kostbart og tidkrevende, men til gjengjeld er gevinstene store. Stikkordet er struktur. Kontakt i Steria: Anders Lindgren – al@steria.no
Marcus Murray er en av verdens fremste eksperter på it-sikkerhet, og Sveriges eneste MVP – Most Valued Professional – innenfor dette fagområdet. Daglig ser han hvilke sikkerhetsproblemer virksomheter sliter med, og han vet hva løsningen er. Dessverre finnes det ingen snarveier til god sikkerhet.
Nytt trUSSElbilDE – Hva er utfordringene når det gjelder it-sikkerhet i dag? – Trusselbildet har forandret seg radikalt de siste årene. Det som var en god sikkerhetsdesign for noen år siden, kan være helt feil med dagens utfordringer. Dessuten er it som teknologi fortsatt i kraftig utvikling, og de plattformene som var moderne for noen få år siden, savner som regel de sikkerhetsmekanismene som kreves i dag. Derfor er det svært viktig å ha en moderne it-infrastruktur. Ifølge Murray er den største utfordringen for mange virksomheter at it-miljøet har vokst på en ustrukturert måte over lang tid. Det består av gamle systemer og en rekke ulike plattformer, og opp gjennom årene er det laget integrasjoner på kryss og tvers mellom disse. – Det som startet som et lite, oversiktlig miljø, har blitt til en kompleks materie. Det blir dermed vanskelig å ha kontroll over alle komponentene og sammenhengen mellom dem. I mitt arbeid har jeg i noen tilfeller møtt virksomheter som har vært utsatt for innbrudd gjennom flere år, uten at det har blitt oppdaget. Inntrengerne har da hatt full kontroll over nettverket og har hatt tilang til alle data i alle systemer.
tA EN HElSESjEkk – Hvor skal vi begynne? – Det første skrittet for å oppnå bedre sikkerhet er å gjøre en omfattende helsesjekk. Det innebærer at du må se på hele systemparken din: hvor mange systemer har du, og hvilke avhengigheter finnes mellom dem? Resultatet 2
www.steria.no
av sjekken skal være en prioritert tiltaksliste for hvordan du skal komme frem til en bra sikkerhetsløsning. Murray presiserer at det på dette stadiet er viktig å tenke seg om. – Mange investerer nemlig feil, og bruker store beløp på å kjøpe en «boks» som skal fikse problemene. Men it-sikkerhet handler ikke bare om produkter som antivirus og
effektivt. Trojanere er anonyme og vanskelig å spore, og mange it-miljøer mangler logging på hva som skjer på klientene. Når de har kommet inn, er det den nevnte kompleksiteten som er problemet. De mange integrasjonspunktene mellom systemene blir utnyttet for å få tilgang til serverne. – En annen angrepstaktikk er å ta kontroll over systemadministratorens pc. Da kan
– Hackere benytter ofte mindre avanserte angrepsmåter enn dem du forsøker å beskytte deg mot. brannmurer. Effektiv sikkerhet handler om å ha orden og struktur i it-miljøet. Du må bygge et strukturert og håndterbart it-miljø med moderne plattformer. Det vil gi deg svært gode muligheter til å møte sikkerhetsutfordringene i dag og i morgen. – Det er også avgjørende at både systemadministratorer og vanlige brukere vet hvordan de skal benytte og beskytte systemene på best mulig måte. Heldigvis er det en mye større bevissthet rundt sikkerhetstrusler i dag enn for kort tid siden. Nå har temaet en prioritert plass på ledelsens agenda, og it-ansvarlige har lettere for å få dedikert midler og ressurser, slik at de kan skape en velfungerende it-sikkerhet.
EffEktiVE trOjANErE – Hvordan går hackere frem for å få tilgang til virksomhetens it-systemer? – Det er viktig å være klar over at hackere ofte benytter mindre avanserte angrepsmåter enn dem du forsøker å beskytte deg mot. Det første steget til en hacker er som regel å ta seg inn til det interne nettverket ved å bryte seg gjennom brannmuren. Dette gjøres for eksempel ved bruk av trojanere, som er enkelt og
hackerne se hvordan han logger seg på systemet, og kan ta kontroll over serverne på den måten.
Dårlig SikkErHEt HjEMME – grensene mellom jobb og privatliv er i ferd med å viskes ut, og stadig flere jobber hjemmefra – eller fra hytta for den saks skyld. Hvilke følger får det for it-sikkerheten på arbeidsplassene? – På grunn av dårlige sikkerhetssystemer i private hjem er det ofte lettere for en hacker å bryte seg inn i en hjemme-pc enn i en jobb-pc. Hvis pc-en da er koblet opp til arbeidsplassens systemer via VPN, har hackeren fått en bakdør inn til it-systemene i virksomheten. Murray slår fast at det er mange som ikke logger hva som skjer i VPN-trafikken, derfor kan det være vanskelig å oppdage. Det er viktig å begrense risikoen her, og kanskje ikke gi tilgang til hele it-miljøet i virksomheten gjennom VPN, men kun til enkelte systemer eller filer. Det er også helt nødvendig å informere medarbeiderne om viktigheten av å sikre hjemmepc og -nettverk, og lage tydelige retningslinjer for dette.
It-sikkerhet
brannmurer Mulig å høste store gevinster – Det er tydeligvis krevende å oppnå et itmiljø med god sikkerhet. Oppveier gevinstene for kostnadene? – Hvis du ikke gjør noe, blir det bare verre for hvert år – det blir en snøball som vokser seg stor og uhåndterlig. Du vil være svært utsatt for stadig mer alvorlige hendelser på grunn av dårlig sikkerhet, og økte kostnader grunnet et komplekst it-miljø. Men hvis du derimot tar tak i problemene og satser målrettet på å skape et strukturert it-miljø, vil du ikke bare få bedre sikkerhet. Du vil også spare penger og frigjøre ressurser, fordi et strukturert miljø er mye enklere og billigere å ha i drift når det er på plass.
Marcus Murray forteller at han har møtt virksomheter som har vært utsatt for datainnbrudd gjennom flere år, uten at det er blitt oppdaget.
Tekst: Robert Herland Foto: TrueSec
Om Marcus Murray Marcus Murray er Senior Security Advisor i selskapet TrueSec. Han er en av verdens fremste eksperter på it-sikkerhet, med fokus på Microsofts plattformer. Murray er Sveriges eneste MVP (Most Valued Professionals) innenfor sikkerhet, og jobber blant annet med: • Sikkerhetsgranskninger • Penetrasjonstester • Kvalifisert rådgivning i forbindelse med innføring av nye sikkerhetsfunksjoner • Forelesninger om Microsoft-relatert sikkerhet, gjerne innenfor trusler og penetrasjonsteknikk • Opplæring innenfor sikkerhet og penetrasjonstester
– It-sikkerhet handler om mer enn antivirus og brannmurer. www.steria.no
25