Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

torsdag 24. mars 2011

Hva gjør at noen bedrifter har færre sikkerhetshendelser enn andre?

I slutten av 2010 lagde vi i Telenor SOC en liste over våre ”sikreste kunder”. Listen inneholdt kunder som hadde få registrerte sikkerhetshendelser i forhold til antall brukere av nettverket.

I dag er det slik at de fleste brudd på sikkerheten i en bedrift oppstår på klient-PCer. Brukere blir ofte lurt til å hente ned malware eller PCen blir infisert av malware som web-browseren blir sendt til, uten at brukeren er klar over at noe unormalt skjer.

Vi satt til slutt igjen med ti kunder som skilte seg spesielt positivt ut når det gjaldt sikkerheten. Det ble laget et kort spørreskjema som ble sendt ut til disse kundene. Til slutt satt vi igjen med svar fra seks av kundene. Disse svarene vil bli oppsummert under.

Vi er klar over at seks kunder ikke er noe bredt grunnlag, men dette er uansett seks større norske bedrifter/institusjoner som det viser seg at har sikrere nettverk enn andre. Det er derfor nyttig å vite hvilke sikringstiltak disse har gjennomført.

Brannmur og filtrering mot Internett
Den første  delen av undersøkelsen dreide seg om brannmuren og hvordan denne og andre nettverksenheter filtrerer trafikken som kommer inn fra Internett. Alle kundene hadde så klart en brannmur med pakkefilter ut mot Internet. Det varierer imidlertid hvilke andre filtreringsteknolgier som er i bruk:
  • 5 av 6 spurte har URL-filtrering der malware, lenker sendt ut via spam og andre høyrisiko-kategorier blir blokkert. Vi kan legge til at alle kundene tillot bruk av sosiale medier som Facebook og Twitter.
  • 3 av 6 kjører virus-filtrering av filer som blir lastet ned fra Internett.
  • Alle kjører filtrering av spam e-poster.
  • Ingen av bedriftene bruker IPS (Intrusion Prevention System)-teknologi.

Sikkerhet på klienter
Den neste delen av undersøkelsen tok for seg sikkerheten på klientene i bedriften. Det er selvfølgelig viktig for en bedrift å ha fokus på sikkerheten også på tjenerne. Et innbrudd i en tjener kan ofte føre til større konsekvenser enn tilfeldig malware i en klient.
  • Tre av seks bedrifter benytter seg av tynnklient-teknologi som Microsoft Terminal Services eller Citrix XenDesktop. 
  • Alle kundene har sterke begrensninger i hva slags programvare brukere har lov til eller har mulighet til å installere på sine klienter.
  • Én bedrift benyttet kun tynne klienter for vanlige brukere, mens resten primært kjører forskjellige versjoner av Windows, hovedsaklig Windows XP.
  • Herding av klienter var gjort i noe grad hos fire av respondentene. Et eksempel på dette kan være å hindre vanlige brukere tilgang til regedit.
  • Hovedsaklig ble Internet Explorer 7 og 8 brukt til web-surfing.
  • Alle kundene bruker systemer for automatisk utrulling av patcher på klienter og tjenere. Produktene som brukes er Windows WSUS (Windows Server Update Services) , SMS (Systems Management Server) og Novell Zenworks.
  • Fem av seks respondenter lar ikke vanlige brukere ha administrator-tilgang på sin egen PC. Dette betyr for eksempel at brukerne ikke fritt kan installere ny programvare eller endre på systemparametere.
  • Alle bedriftene har avansert anti-virus-løsninger på klienten. Eksempler på løsninger er Symantec/Norman Endpoint Protection og Microsoft Forefront Client Security.
  • Kun én av respondentene har begrensninger når det gjelder bruk av USB-baserte minnepinner.
  • Fire av respondentene tillater kun standardiserte klient-maskiner i nettverket.

Opplæring av brukere og policy
Fire av seks bedrifter hadde opplæringsprogrammer i sikkerhet for nyansatte. Hos flere av disse måtte også de ansatte skrive under på at sikkerhetspolicy skulle følges. Hos én av bedriftene var det noe bevisstgjøring rundt sikkerhet, mens én ikke hadde noe formelt opplegg.

Det var også fire av bedriftene som hadde en sikkerhetspolicy som var i aktiv bruk.

Hva mener kundene selv er viktigst?
Vi spurte også de sikkerhetsansvarlige hos hver enkelt kunde om hva de selv trodde var den bakenforliggende årsaken til at de hadde færre hendelser enn andre kunder. Svarene kan oppsummeres som følger:
  1. ”Anti-virus og end point-protection på klienter stopper mye. Ellers er URL-filtrering mot Internett av spam-linker og malware også effektiv. IDS-sensoren er veldig god til å finne maskiner som allikevel måtte være infiserte og andre problemer i nettet.”
  2. ”Det viktigste er en god sikkerhetspolicy og oppmerksomhet rundt denne. Denne ansvarliggjør brukerne for sikkerheten og får dem til å opptre varsomt. Ellers er det URL-filteret som stopper de fleste angrepene.”
  3. ”Det viktigste er manglende administrator-tilgang på vanlige brukeres maskiner. Dette gjør at vi kan ha kontroll på patchenivå, malware virker ofte ikke og brukerne får ikke installert alt mulig rart på maskinene.”
  4. ”Alle sikkerhetstiltakene virker sammen. Det er vanskelig å trekke ut enkelttiltak.”
  5. ”Utvilsomt at vanlige brukere ikke har administratorrettigheter. Sentralisert utrulling av patcher, driftsavdeling med sterk sikkerhetsfokus og IDS er også viktig.”
  6. ”Det viktigste er at vanlige brukere ikke har administrator-rettigheter på egen maskin. Mange brukere benytter seg av tynne Citrix-klienter. Vi er også svært raske til å fange opp eventuelle infiserte maskiner ved hjelp av Telenors IDS-tjeneste og får disse ut av nettverket.”

Oppsummering
Vi mener at alle norske bedrifter bør se nøye gjennom sikringstiltakene som disse bedriftene har gjennomført og se på hvilke viktige tiltak en selv måtte mangle. Vår tidligere erfaring innenfor sikkerhet er sterkt sammenfallende med svarene fra denne undersøkelsen. Oppsummert bør en ha følgende tiltak på plass:
  • En levende sikkerhetspolicy som alle ansatte må sette seg inn i og leve etter.
  • Filtrering av innkommende web-trafikk som stopper lenker til malware og andre høyrisikosider.
  • Spam-filtrering av e-post som også fjerner phishing-angrep o.l.
  • Virus-scanning av innkommende trafikk fra nettet, f.eks. web-trafikk, e-post, FTP-overføringer osv.
  • Benytt om mulig tynne klienter.
  • Ha kontroll med hva som er installert på hver enkelt datamaskin og rull ut patcher sentralt.
  • Ikke la vanlige brukere ha administrator-tilgang til maskiner.
  • Installer anti-virus-programvare på både klient-maskiner og tjenere.
  • Ha gjerne et IDS-system for å oppdage maskiner som allikevel skulle bli infisert eller som blir infisert utenfor nettet og satt inn i bedriften.

Mange norske bedrifter har i dag problemer med infiserte klient-maskiner. Dette kan f.eks. føre til driftsforstyrrelser og tyveri av personlige- og bedriftsdata. Ved å gjennomføre tiltakene over vil en sterkt begrense denne trenden. Tiltakene vil også hjelpe godt mot mer målrettede angrep for å hente informasjon ut av bedriften, noe som blir mer og mer vanlig.

 
>