Vad passar bättre en dag som den här i oktober än att skriva några rader om vikten av kunskap i sitt cybersäkerhetsarbete, det är ju trots allt cybersäkerhetsmånaden (Cyber Security Awareness Month).
Säkerhet börjar alltid med kunskap och det handlar om kunskap inom flera olika områden.
I detta blogginlägg delar Mats Wernolf, säkerhetsarkitekt på Softronic, med sig av sin kunskap inom området.
Kunskap om vår IT-miljö
Vi behöver ha kunskap om vilken hård och mjukvara som finns i våra nätverk. Utan kunskap om vad vi har i nätverket så blir det omöjligt att hålla en god cyberhygien med fungerande patch- och livscykelprocesser. Cyberbrottslingar älskar bortglömda servrar och system med gammal mjukvara som inte uppdaterats, då mjuk- och hårdvara med säkerhetshål blir en utmärkt inkörsport till våra nät eller kan användas för att förflytta sig vidare i nätet och eskalera sina rättigheter.
Kunskap om våra motståndare
Vi behöver goda underrättelser kring vilka våra motståndare är, hur de tänker när det gäller att kunna monetarisera på vår information (nästan all cyberbrottslighet är ute efter pengar) och hur deras tillvägagångssätt ser ut (man brukar prata om TTP; Tools, Tactics and Procedures). Många gånger kanske vi inte förstår att vår information har ett värde om vi inte har tillräcklig kunskap om hur de kriminella omvandlar vår information till pengar.
Cyberbrottslingarna är ofta opportunistiska. Det betyder att om vi till exempel har en speciell sorts applikation som de gillar att ge sig på för att det är lätt att göra ett intrång så kan vi mycket väl bli måltavla trots att vi inte har något som vi anser skulle vara värt något för dem. Om de krypterad all vår information kommer vi snart att upptäcka att vi den var ganska värdefull för oss och kanske är beredda att betala en slant för att få den tillbaka.
Kunskap om sårbarheter och hot
God ”Threat Intel”, alltså kunskap om vilka sårbarheter som finns i mjuk- och hårdvaror som vi använder i vår verksamhet, är ett måste för att vi ska kunna täppa till de säkerhetshål som dyker upp i dessa. Nya sårbarheter kommer varje dag och många gånger är det så kallade 0-days, det vill säga sårbarheter som det inte finns rättningar till ännu och där vi behöver hitta andra sätt att mildra effekterna av dem, vilket gör att vi inte bara kan förlita oss på att följa leverantörernas uppdateringscykler.
Ofta är det svårt att hinna med att rätta alla sårbarheter och hot som dyker upp, därför behöver Threat Intel även inkludera kunskapen om vilka sårbarheter som nyttjas aktivt av cyberkriminella, en kunskap som behövs för att veta hur vi ska prioritera våra åtgärder för att mildra eller eliminera hoten.
Kunskap om vad som händer i våra nät
Vi behöver samla på oss telemetri från våra nätverk så vi får en god kunskap om vad som händer i dem. Utan denna kunskap kan vi inte identifiera avvikande mönster och hitta och slänga ut eventuella angripare. Vi måste ha kännedom om vilka indikatorer vi ska leta efter (så kallade IoC; Indicators of Compromise) och aktivt söka efter tecken på intrång i våra miljöer.
Kunskap om motåtgärder
Sist men inte minst behöver vi kunskap om vilka motåtgärder vi behöver sätta in om vi hittar cyberbrottslingar i våra nät. När vi hittar tecken på att vi är angripna finns det inte tid till att börja fundera på hur vi ska göra för att slänga ut dem och återställa ett normalläge. Det är därför viktigt att vi har våra processer, playbooks, redan framtagna och dokumenterade och kunskapen kring var man hittar dem spridd till alla som kan behöva komma åt den. Väl definierade, och testade, playbooks är en viktig del av incidentarbetet och en kunskap som alla behöver investera i.
Kontakt
Vill du ta del av vår samlade kunskap inom cybersäkerhetsområdet är du välkommen att kontakta mig och mina kollegor inom cybersäkerhet på Softronic så ska vi göra vad vi kan för att hjälpa dig att täppa till dina kunskapsluckor.
Säkerhetsevent den 18 oktober – platser kvar – anmäl dig här!
Blogginlägg skrivet av: Mats Wernolf, mats.wernolf@softronic.se
