Af Tom Madsen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Denne gang byder jeg velkommen til en gæsteskribent, som tidligere har gæstet disse sider. Mads Skalbo er landedirektør for Citrix i Danmark og Sverige.
I dette indlæg kommer Mads ind på de ændrede udfordringer, som vi er kommet til at stå overfor i de seneste år. F.eks. det faktum at vores personlige indgang til sikkerhed er kommet til at have indflydelse på sikkerheden i de virksomheder, vi er ansat i. Vi har adgang til data og kan arbejde på vores mobile enheder, uanset hvor vi er. Det betyder, at følsomme data findes på vores mobile enheder, enheder som bliver glemt eller stjålet med jævne mellemrum.
Det bidrager altsammen til, at vi ikke længere kan tænke vores forsvar som en mur omkring vores virksomhedsnetværk. Netværket bereder sig nemlig nu ud over hele verden sammen med vores medarbejdere og deres enheder. Med denne lille introduktion vil jeg byde velkommen tilbage til Mads Skalbo.
Mads Skalbo, Regional Director, Citrix Danmark & SverigeMads Skalbo fortæller:
”Et trusselsbillede, der hele tiden ændrer sig, er det, vi kalder “the new normal.”
Som resultat af dette og behovet for hele tiden at tilpasse sig i et stadig mere fjendtligt miljø, er der markant forskel på, hvad der gjorde os ”trygge” for kun fem år siden, og i dag. Kan du huske disse regler fra for fem år siden, hvor de var tilstrækkelige:
- Sluk din pc, når du ikke sidder ved den.
- Klik ikke på mistænkelige links.
- Lad være med at skrive dit password på en post-it.
- Vælg et stærkt password og skift det ofte.
- Hav firewalls – jo flere, desto bedre!
- Krypter din harddisk.
- Patch dine systemer mindst en gang om måneden.
Selvom den tids ”livrem og seler”-tilgang til sikkerhed stadig er gangbar og påkrævet, så er den langtfra tilstrækkelig til at bekæmpe faren ved nutidens stadigt mere komplekse trusler.
Med udgangspunkt i virksomhedernes tilgang til sikkerhed er her nogle iagttagelser og anbefalinger, som kan gøre det lettere at holde tempo med de hurtige forandringer:
Vink farvel til generisk ”best practice” sikkerhed! Compliance er ikke noget sikker-hedsprogram – det er et udgangspunkt. Enhver virksomhed, som blot sætter flueben i kasserne i revisionsrapporten og ikke foretager sig andet, vil opleve lækager. Tal om det i bestyrelsen og drej virksomhedskulturen i retning af sikkerhedsforanstaltninger, der er skræddersyet til netop jer.
[irp]
Det er nødvendigt at patche hver dag! Fejl i applikationer, i services som DNS og i basissoftware som OpenSSL betyder, at vi ikke kan vente en måned eller mere, før vi patcher. Du skal sikre dig, at din virksomhed kan rydde op med øjeblikkeligt varsel på tværs af arbejdsstationer, mobiler, servere og clouds.
Sørg for management-værktøjer på applikations-niveau, så I kan agere uden at have behov for at skubbe nye desktop-images ud.
Sikkerhed er blevet noget personligt.
Der bliver sat målrettede angreb ind mod specifikke individer med personlige meddelelser og betalingsmeddelelser fra tilsyneladende pålidelige afsendere. Det er blevet sværere – også for professionelle sikkerhedsfolk – at skelne mellem ondartet og godartet. Og når APT-angreb (avancerede, vedholdende trusler) finder et virkelig værdifuldt mål, kan målet kun tabe.
Det er nødvendigt med mere uddannelse, men det er ikke nok. Virksomheder må arbejde med at ”hærde” virksomheden, så den overflade, der er tilgængelig for angreb, er så lille som mulig. Og virksomheder må arbejde med inddæmningsstrategier, så angreb spærres inde i sandboxe.
Lækager er forventelige. Førhen benægtede man lækager udadtil og talte indadtil kun om dem i meget små og lukkede fora. Men i dag er rapportering om lækager et krav i mange virksomheder. Tilgangen til incident management inkluderer både en teknisk og en omdømmemæssig reaktion.
Muligheden for at containe lækager og virkningen af dem har været med til at bane vejen for applikationsvirtualisering inden for statsadministration, sundhed og finans. Virtualisering af al browser-baseret adgang er ”leading practice” i forhold til at inddæmme angreb mod et af de mest anvendte angrebspunkter i virksomhederne.
Stærk end-to-end kryptering er obligatorisk. Og kryptering er ikke bare beregnet til netværk og harddiske. Kryptering må beskytte sårbare data i og mellem applikationer fra desktops til mobiltelefoner.
[irp]
Kriminelle har også opdaget værdien af kryptering, og med ransomware bruger de kryptering som et våben. Og som SSL’s pinefulde død viser, så kan outdatet kryptering være lige så slem som ingen kryptering.
Ved miljøer med mobile enheder kan man benytte mobility management til at opsætte kryptering mellem de kommunikerende enheder og i cloud- og web app-miljøer bør man benytte en application delivery controller med indbygget web-app firewall. Og kom straks i gang med TLS for at beskytte jeres interesser og imødekomme PCI DSS krav!
Sikkerhed begynder med adgang. Et dybt kendskab til den situationsbestemte sammenhæng er nødvendigt for at kontrollere identitet, authentication, autorisering og adgangskontrol. Så implementér det, der kaldes de 5 H’er, i forbindelse med adgang for medarbejdere og andre typer brugere, så I ved følgende:
Hvem forsøger at komme ind?
Hvad ønsker de at tilgå?
Hvornår sker det?
Hvor i verden er de?
Hvorfor ønsker de adgang?
Og brug virtualisering til at skabe en fintmasket adgangskontrol og for at sikre, at ingen har direkte adgang til følsomme data. It-afdelingen har konkurrenter. Slutbrugerne mener, at de selv er kompetente. Og det er de på mange måder. Men ikke i forhold til sikkerhed.
Det er nødvendigt at sikre sig, at skygge-it, uautoriseret BYO og anvendelse af consumer-applikationer, -clouds og -services til følsomme data er erstattet af gode og relevante valgmuligheder, der er stillet til rådighed af it-afdelingen.
Fem år inden for sikkerhed – hvad har ændret sig?Lyder det svært?
Så gør livet lettere for brugerne ved at lave single sign-on, så de har let adgang på tværs af device-typer til autoriserede it-værktøjer. Og se så, hvordan brugen af de uautoriserede falder!
Dette er ikke en liste, som løser alle problemer til evig tid. Kravene til de medarbejdere, der arbejder med informationssikkerhed, er kommet for at blive. Ingen har råd til at stå stille. Antallet af både angrebspunkter og -metoder vil vokse eksponentielt i takt med fremkomsten af stadigt flere sammenkoblede devices, mennesker og lokationer.
[irp]
Hvad kendetegner den næste æra inden for informationssikkerhed? Lige som vi i dag ser tilbage på “de gode gamle dage” inden for sikkerhed, vil dagens trusler tage sig enkle ud sammenlignet med, hvordan Internet of Things (IoT) vil sætte skub i, hvordan trusler vil udvikle sig.
Hold øjne og ører åbne!”