I en värld där företag och organisationer alltmer baserar och förlitar sin verksamhet på data och verktyg i IT-miljöer, fortsätter även hotet från inkräktare också att öka. Den ökända termen hacker, från engelskan, är den term som de allra flesta är bekanta med. Man bör dock inte låta sig luras och anta att det är en term som är särskilt specifik. Tvärtom vill jag påstå att det är ett paraplybegrepp där det råder stor variation på hur en attack faktiskt utförs, vilken strategi som tillämpas, vem den slutgiltiga måltavlan är etc. I detta blogginlägg ska vi däremot inte lägga fokus på attacken i sig, utan istället gå igenom tre fundamentala principer för säkerhetsdesign som är relativt lätta att implementera och därmed drastiskt ökar säkerheten i vilken organisation som helst.
Den första principen som alla organisationer bör implementera är least privilege. Det innebär att varje process och användare bör endast ha de rättigheter som krävs för att utföra de uppgifter som är relevanta och krävs i den aktuella rollen. Användare som exempelvis inte behöver öppna specifika filer med känslig information för att klara av sitt dagliga arbete, bör således inte ha den möjligheten heller. I många länder arbetar militären med need-to-know basis, vilket kan förklaras som att individer som inte behöver veta något inte ska göra det heller. Som standard bör inte någon användare eller process ha några rättigheter som inte explicit har angetts. Detta kan dessutom tas ett steg längre genom att individer med administrationsrättigheter enbart har detta när de utför vissa arbetsuppgifter, vilket i sin tur adderar en tidsaspekt som gör det svårare för potentiella inkräktare. Skulle en anställds konto äventyras och tas över av en inkräktare, minskar sannolikheten för att denna inkräktare faktiskt har möjlighet att skada verksamheten.
Den andra principen är något som kallas layering. Sanningen som organisationer behöver acceptera är att en attack är i slutändan ett oundvikligt faktum. Det kommer hända. Det bästa vi kan göra för att mildra eventuella skador är att göra det svårare för inkräktare och förhoppningsvis ge organisationen mer tid för att implementera en respons och avvärja attacken. Layering handlar om att konfigurera överlappande säkerhetsåtgärder som tvingar en inkräktare att ta sig genom flertalet säkerhetslager innan de kan ställa till med signifikanta skador. Exempel på detta kan vara noggrant konfigurerade brandväggar, antivirus på samtliga datorer, vitlistade hemsidor och ett intrusion detection system (IDS).
Sist, men inte minst, har vi isolation. Det är en princip som kan appliceras på olika nivåer, överlag innebär det att vi gör vårt yttersta för att isolera olika delar av vår IT-miljö från resterande delar. Ett konkret exempel på detta är att vi bör skapa flertalet virtuella nätverk inom organisationen, så kallade VLANs. Denna fördelning kan göras på diverse sätt men det bör vara en logisk separering, exempelvis baserat på avdelningar. Det är en metod som förenklarar nätverksadministratörers arbete när de konfigurerar policies då de kan göra detta på en tydlig gruppnivå. Därtill förbättrar det den övergripande säkerheten då en inkräktare som tagit sig in på en del av nätverket inte kommer åt övriga VLANs.
I det stora hela behöver systemen nämnda ovan inte vara alltför komplicerade, förutsatt att planering av säkerheten har genomförts i ett tidigt skede. Planering av säkerhetsaspekten redan innan systemen sätts upp och konfigureras är något som experter kallar security by design och har bevisats skapa en enormt mycket säkrare IT-miljö. Tänk gärna över detta och ställ er själva frågan: Vilka principer arbetar vi med för att kontinuerligt förbättra vår egen säkerhet?
Ahmad Gazzawi
BI-konsult på Vimur AB
