Månedens udvalgte: Sikkerhed post-COVID-19

21. oktober 2020 - Sidste ”Månedens udvalgte” satte fokus på de umiddelbare cybersikkerhedsmæssige følger af COVID-19-pandemien og nogle af de mere langsigtede forandringer og udfordringer, den forventes at medføre. Denne artikel følger op og stiller skarpt på, hvordan vi fremadrettet skal håndtere cybersikkerheden.

Nogle af de væsentligste forandringer er bl.a. at digitale teknologier kommer til at fylde endnu mere både i vores hverdag og i vores virksomheder og organisationer, med den deraf stigende betydning for os. Denne betydning ses bl.a. ved at cybertruslen generelt vurderes som en af de største forretningsmæssige bekymringer.

Desuden forventer vi et stadig mere udfordrende trusselsbillede, hvor der er øget aktivitet både fra kriminelle aktører og fra fremmede efterretningstjenester. Vi forventer, at angriberne stadigvæk bliver mere kompetente både i forhold til tilgængelige metoder, hvor angrebsværktøjer bl.a. handles på det mørke internet, samt at deres operationelle kapacitet til at kunne gennemføre komplekse angreb forøges.

En vigtig lektion fra de senere år er, at sikkerhedsbrud kun sjældent sker på grund af manglende teknologi, men derimod sker fordi processer svigter, procedurer ikke overholdes eller af menneskelige fejl. Det er vigtigt, at vi indarbejder dette i vores sikkerhedsarbejde og husker, at sikkerhed omhandler meget mere end teknologi, og derfor har fokus på både teknologi, processer og mennesker.

Vores it-miljøer kommer også til at forandre sig, og her forventer vi primært, at fire tendenser og udviklinger kommer til at slå igennem. Brugerne, og dermed også vores endpoints, bliver mere mobile. Et par eksempler på dette er brugen af hjemmearbejde og den voksende anvendelse af mobile løsninger. Vi forventer også en voldsom stigning i anvendelsen af IoT, som er en anden type endpoint med nogle helt særlige sikkerhedsudfordringer, som vi også skal håndtere. Hele denne udvikling vil i øvrigt være drevet frem af det nye 5G-netværk, der kommer til at udbrede universel og billig internetadgang. Endelig forventer vi, at mere og mere af vores infrastruktur vil blive cloud-baseret.

I de følgende par afsnit kigges der lidt nærmere på et par af ovenstående områder.

Fjernbrugere og hjemmearbejde

En af de umiddelbare konsekvenser af COVID-19-udbruddet var, at mange medarbejdere blev sendt hjem for at arbejde. I Danmark var vi allerede langt med hjemmearbejde før pandemien, og danske medarbejdere var allerede i vidt omfang fleksible og mobile.

Pandemien har imidlertid medført, at særligt hjemmearbejde er blevet meget mere normalt, og det er forventningen, at dette mange steder er en blivende forandring. Det betyder, at vi skal tilpasse sikkerheden til at håndtere en mere mobil og fleksibel arbejdsstyrke.

Nogle af de umiddelbare initiativer man bør overveje, omfatter bl.a.:

  • Awareness-træning med fokus på hjemmearbejde, der ruster medarbejdere til de særlige udfordringer, det giver at arbejde remote. Dette omfatter bl.a. øget opmærksomhed på svindel og at være ekstra kritisk overfor ikke-forventede e-mails og opkald fra kollegaer
  • Håndtering af remote enheder, der i lange perioder ikke er fysisk på virksomhedens lokationer – dette omfatter f.eks. vedligeholdelse og opdatering af software
  • Bedre sikkerhedsovervågning dvs. sikkerhedsovervågning af remote devices
  • Håndtering af sikkerheden på remote endpoints – f.eks. findes der i dag såkaldte Endpoint-Detection-and-Response (EDR)-løsninger, der hjælper med at løfte endpoint-sikkerheden
  • Etablering af en flerfaktorløsning til styrkelse af login-sikkerheden ved tilgangen til f.eks. VPN-løsninger og cloud-services.

På sigt – og efterhånden som der kommer flere og flere cloud-services i spil – er det anbefalingen og forventningen, at tilgangen til sikkerhed ændres, så der kommer mindre fokus på perimetersikkerhed, men i stedet fokus på beskyttelse af data og information og sikring af adgange og identiteter – alt sammen baseret på en zero-trust-tankegang, altså en antagelse om at alt potentielt kan være kompromitteret.

Infrastruktur og cloud-services

I forhold til infrastrukturen sker der også et skift, hvor forskellige former for cloud-services bliver en væsentlig del af virksomhedernes it-løsninger. Dette kan enten ske ved, at enkelte specifikke services købes som Software-as-a-Service (SaaS)-løsninger – f.eks. Microsoft Office 365 og Zendesk, men hvor virksomheden stadig har egen infrastruktur med servere, eller ved at virksomheden har en målsætning om, at alle systemer og services skal afvikles i cloud, og derfor kombinerer SaaS med Infrastructure-as-a-Service (IaaS) – altså også har deres servere i cloud. Men stort set alle virksomheder vil være nødt til at forholde sig til, at deres infrastruktur består af en blanding af systemer og løsninger onsite og i cloud. En af udfordringerne er herefter at sikre et konsistent sikkerhedsniveau på tværs af endpoints, cloud-services og onsite-services.

Uanset hvad, forudsætter sikkerhed i cloud-services en anden tilgang til sikkerhed, end vi traditionelt er vant til, da cloud-service-leverandøren overtager en række opgaver og ansvarsområder, og cloud-services ofte kommer med en lang række sikkerhedsfunktioner, som vi med fordel kan benytte.

Anvender vi Software-as-a-Service (SaaS), står leverandøren typisk for sikkerhed i selve løsningen, men vi er stadig ansvarlige for de data, som løsningen håndterer, samt hvilke brugere der har adgang.

Anvender vi Infrastructure-as-a-Service (IaaS)-løsninger, lejer vi i princippet bare computerkraft i cloud – dvs. det er i praksis os selv, som har ansvaret for sikkerheden i den cloud-infrastruktur, vi etablerer. Cloud-services er grundlæggende designet til at være tilgængelige, og mange af de nye cloud-native-løsninger er i udgangspunktet offentligt tilgængelige f.eks. via en række API’er, som bliver eksponeret. Hele fleksibiliteten i cloudparadigmet opnås via DevOps, altså en meget hurtig og fleksibel proces, som er med at udvikle og idriftsætte nye funktioner og løsninger. Dette giver en masse agilitet i udviklingen af it-løsninger og dermed understøttelse af forretning, men det øger også risikoen for at introducere fejl og sårbarheder.

Cloud-leverandørerne bruger sikkerhed som et konkurrenceparameter, så selve IaaS-platformen ofte kommer med en lang række indbyggede sikkerhedsfunktioner, som vi gerne vil udnytte. Disse funktioner er ofte integreret dybt i infrastrukturen, og meget af vores sikkerhed bygges på nye, ukendte teknologier, som måske har nogle andre egenskaber, end vi er vant til. Det medfører også, at sikkerhed skal tænkes ind på en helt anden måde. En række undersøgelser har vist, at den største kilde til sikkerhedshændelser ved cloudløsninger er fejlkonfigurationer, hvorfor styring og kontrol af konfigurationen er nødt til at være en væsentlig del af vores sikkerhed.

Samlet set betyder det, at skiftet til cloud gør, at vi skal arbejde med design på en anden måde end tidligere. Vi skal have meget mere fokus på applikationssikkerhed i f.eks. API’er, vi skal arbejde meget mere med databeskyttelse og brugerstyring, og vi er nødt til at kunne håndtere en lang række nye teknologier som f.eks. containere og automatisering.

Endelig er det vigtigt at være opmærksom på, hvilke opgaver cloud-leverandøren varetager, og hvad vi selv er ansvarlig for. Særligt når vi arbejder med IaaS, er det vigtigt at være opmærksom på, at vi selv er ansvarlige for sikkerheden, og dette også omfatter eksempelvis overvågning i forhold sikkerhedshændelser og udførelsen af incident response.

Opsamling

Som de to ovenstående afsnit omkring hjemmearbejde og cloud-infrastruktur har beskrevet, kommer der en lang række andre krav til de måder, hvorpå vi skal designe og implementere vores sikkerhed – og ikke mindst at vi er nødt til også at arbejde meget mere med processer og mennesker.

Helt grundlæggende mener vi, at sikkerhed skal tilgås som en proces, hvor vi i tråd med NIST-frameworket arbejder med forberedelse, beskyttelse, opdagelse og reaktion. Jo mere komplekst sikkerhedsproblemet bliver, jo vigtigere er det, at vi har en konsistent tilgang.

Når vi designer løsninger, er vi grundlæggende nødt til at forholde os til at etablere et samlet og konsistent sikkerhedsniveau på tværs – f.eks. sikre at vi ikke har et væsentligt anderledes sikkerhedsniveau onsite og i cloud.

Når vores samlede it-infrastruktur bliver stadig mere omfattende og distribueret med mobile endpoints, IoT og cloud-løsninger bundet sammen med 5G, bliver det også vanskeligere at sikre alle enheder, hvorfor vores design og arkitektur skal baseres på principper om Least Privilege Access og zero-trust. Dette gør at sikkerhedsfokus skifter fra sikring af systemer til sikring af data, brugere og adgange.

Med vores stigende afhængighed af en fungerende it-infrastruktur og et stadig voksende trusselsniveau, forventer vi fortsat at se mange og alvorlige angreb på it-systemer. Dette betyder, at vi er nødt til at være klar til at håndtere disse situationer. Dette kræver bl.a., at vi har synlighed og overblik på tværs – altså har etableret en samlet, konsistent og konstant overvågning af vores infrastruktur. Endvidere er det vigtigt, at vi har planerne for incident response og aktivering af beredskab på plads, så vi hurtigt er i stand til at reagerer på sikkerhedshændelser.

Mange af disse forandringer var allerede på vej inden COVID-19-pandemien ramte os, men det er tydeligt, at pandemien har forstærket og accelereret disse tendenser, samtidig med at den har medført et mere udfordrende trusselsbillede. Samlet set gør det, at vi hurtigere end forventet er nødt til at forholde os til, hvordan vi etablerer sikkerhed i en forandret it-infrastruktur.

Læs mere her

Månedens udvalgte: Cybersikkerhed i lyset af COVID-19

COVID-19 har medført store konsekvenser landet og verden over. Jacob Herbst vil i månedens udvalgte sætte fokus på de umiddelbare følger, COVID-19-pandemien har medført, samt kigge ind i kortsigtede og langsigtede konsekvenser og ændringer, pandemien har haft på cybersikkerheden.

Dubex skal undervise de kommende Business Cybersecurity Ambassadors

Forsikringsakademiet i samarbejde med Dubex udbyder til januar en ny uddannelse som Business Cybersecurity Ambassador, hvor medarbejdere i forretningen vil blive klædt bedre på til at agere sikkert i forhold til stigende en digitalisering.

Cyberkriminelle bruger COVID-19 som redskab

COVID-19-pandemien bliver udnyttet i stor stil til at begå cyberkriminalitet. Det relevante og meget omdiskuterede emne trækker stort fokus, og ikke nok med at angrebsfladen er blevet langt større, så danner temaet grundlag for et helt nyt værktøj, der benyttes i stor stil af hackerne.