Artiklar




Dataintrång i Sverige

skickad 16 jan. 2018 00:48 av Lennart Engvall

Jonas Haglund har beskrivit 2016 års stora dataintrång i Sverige.

Sammanfattning av de senste årens största malware-attacker

skickad 9 jan. 2018 22:37 av Lennart Engvall   [ uppdaterad 16 jan. 2018 00:44 ]

Av: Jonas Haglund

Var, när, hur och varför? Och framför allt vilka lärdomar drogs? Jonas Haglund sammanfattar de senaste årens största malware-attacker.

Centrala aspekter för en säkerhetskultur

skickad 15 nov. 2016 23:04 av Lennart Engvall   [ uppdaterad 9 jan. 2018 22:28 ]

Av: Lars Backåker
De mänskliga aspekterna blir allt viktigare när det gäller säkerhet. Denna artikel tar upp ett antal infallsvinklar på begreppet säkerhetskultur och hur man på bästa sätt uppnår en sådan med människa teknik och processer i samverkan.


Nyttjande av virtualisering i högsäkerhetsmiljöer

skickad 29 juli 2016 10:40 av Lennart Engvall   [ uppdaterad 9 jan. 2018 22:30 ]

Av: Jonas Haglund
Idag nyttjar de flesta företag och organisationer virtualisering i någon utsträckning och teknologin får betraktas som mogen. Dock är det inte allmänt känt hur virtualisering påverkar säkerheten i miljön. Lär dig mer i följande white paper.


Att förebygga och hantera överbelastningsattacker

skickad 1 apr. 2016 04:52 av Lennart Engvall   [ uppdaterad 9 jan. 2018 22:31 ]

Av: Lennart Engvall och Jonas Haglund
Överbelastningsattacker av olika former blir allt vanligare och kan få stora konsekvenser för dem som drabbas. Nedan kan du ladda ner en artikel om hur du bäst förebygger och hanterar dem.

IT-säkerhet i konsumentprodukter

skickad 1 sep. 2015 00:03 av Lennart Engvall   [ uppdaterad 1 sep. 2015 00:06 ]

Av: Björn Wetterbom
Är säkerheten en avgörande faktor när du väljer router till ditt hemmanätverk? Inte? Det kanske det borde vara. I artikeln nedan förklarar Björn Wetterbom varför IT-säkerhet inte bara är en fråga för stora organisationer utan även för privatpersoner vid val av konsumentprodukter.

Säkerhet i molnet

skickad 27 aug. 2015 07:30 av Lennart Engvall   [ uppdaterad 9 jan. 2018 22:30 ]

Av: Helena Innergård

Nedan kan du ladda ner en artikel som handlar om informationssäkerhet vid användning av molntjänster, med särskild betoning på myndigheter och andra officiella funktioner.

IT-säkerhet i skolan - artiklar

skickad 3 mars 2015 12:47 av Lennart Engvall

Nedan kan du ladda ner utförligare artiklar kring de ämnen som föredrogs vid vårt seminarium om IT-säkerhet i skolan den 4 mars i Västerås.

Information security - The case for a global skills framework

skickad 13 feb. 2015 00:46 av Lennart Engvall

Vi är stolta över att presentera en artikel där vårt partnerföretag 2creatEffects varit medförfattare. Artikeln är publicerad av brittiska BCS - The Chartered Institute for IT, och handlar om hur vi ska bena ut vilka kompetenskrav som egentligen ställs inom IT- och informationssäkerhetsbranschen och hur vi ska kunna prata om dessa på ett entydigt och distinkt sätt. Hela artikeln kan du läsa här.


Hur du med enkla medel bygger en IT-miljö med mycket hög säkerhet

skickad 1 juni 2014 23:03 av Lennart Engvall   [ uppdaterad 1 juni 2014 23:13 ]

Av: Jonas Haglund
Företag och leverantörer har generellt sett blivit mer medvetna om de olika säkerhetsriskerna kopplat till IT. Det har i sin tur inneburit att både rena säkerhetsprodukter men även generella IT-produkter och –system har blivit mycket bättre och genomtänkta ur säkerhetssynpunkt. Många produkter håller idag en god nivå av säkerhet ”out of the box”.

Jag tror att alla som på något sätt jobbat tekniskt med IT har drömt om att få sätta upp en ny IT-miljö helt från scratch utan ”arv” att förhålla sig till, att sätta upp den ”optimala” miljön. I den här artikeln tänkte jag ta mig friheten att göra just detta. Hur bygger man en säker IT-miljö år 2014?

Jag brinner för enkelhet. Enkelhet innebär nästan alltid låga inköpskostnader, låga förvaltnings­kostnader, men kanske framförallt, god säkerhet. En miljö du inte helt förstår är mycket svår att skydda.

Jag har i huvudsak identifierat tre omständigheter som väsentligt medger hög säkerhet till ett lågt pris; (1) virtualisering som teknik har mognat, (2) säkerheten i trådlösa nätverk är idag i regel bättre än i trådbundna nätverk samt (3) större funktionellt omfång i moderna brandväggar.

Mitt exempel kommer i stor utsträckning att bygga på Microsofts produkter, av den enkla anledningen att jag är mest bekant med dessa. Det finns dock inget i den konceputella lösningen som kräver att produkter från Microsoft används.

I detta ”case” har jag i grova drag utgått från följande förutsättningar:

  • Hundralet användare

  • Höga säkerhetskrav

  • Trådlös infrastruktur

  • Lösningen ska kunna inrymmas i ett halvhöjds 19 tums serverrack.

  • Lösningen ska tillhandahålla ett grundläggande IT-stöd till användarna såsom kontorsprogramvara (motsvarande Office), samarbetsverktyg (motsvarande Sharepoint) fillagring, epost, kalanderhantering samt publik webbplats.

Självklart ska allt säkerhetsarbete utgå från en väl genomförd och förankrad hot- och riskanalys. Detta ligger dock utanför omfattningen av denna artikel. Här utgår vi från en mer generell hotbild och börjar med att titta på var miljön är exponerad (det indikerar indirekt var vi ska placera våra skyddsåtgärder). En typisk IT-miljö är exponerad för potentiella angripare på följande ställen:

  • Publika webbservrar (t.ex. webbplats och webbmail)

  • Klienter (i första hand när de befinner sig utanför kontoret

  • Trådlöst nätverk

  • Fysisk access

Med endast två fysiska servrar kan vi skapa en virtualiserad plattform med failover och som dessutom kan vara värd för åtminstone 10 virtuella servrar. Failover innebär att om en fysisk server går ned, migreras virtuella maskiner omdelbart över till den andra fysiska servern med bara sekunder av nedtid.

Eftersom vi nyttjar trådlöst nätverk för klienterna klarar vi oss med bara en enda fysisk switch. Med hjälp av VLAN (virtuella LAN) kan vi ändå hålla isär olika typer av trafik.

  • Klient-VLAN (nätverk för våra klienter)

  • Karantän-VLAN (nätverk för klienter som inte når upp till hälsokraven)

  • Server-VLAN (nätverk för våra interna servrar)

  • DMZ-VLAN (nätverk för våra publika servrar)

  • Admin-VLAN (nätverk för administration av infrastrukturen)

Fysiskt kommer nätverket att se ut enligt nedan.
Men, med hjälp av de olika VLAN:en kommer dock nätverket logiskt se ut enligt nedan. Texten på pilarna anger på övre raden vilken typ av trafik vi tillåter och på undre raden vilken typ av kontroller vi tillämpar på trafiken.


Även om det inte är tydligt från bilderna ovan kommer brandväggen ha en mycket central funktion för nätverkssäkerheten. Vi använder den inte bara för kontroll av trafik mellan systemet och Internet utan även för kontroll av trafik mellan VLAN:en: Det innebär alltså att brandväggen fungerar som en form av core-switch. På det sättet kan vi nyttja brandväggens i regel mycket sofistikerade kontroller även internt. Moderna brandväggar har idag funktionalitet för IDS/IPS, antivirusskanning av trafik och DLP. Vissa har även en inbyggd wireless controller.

Givet att brandväggen har en wireless controller använder vi den för administration av de trådlösa accesspunkterna (en wireless-controller ger också ofta större möjligheter till god säkerhet i det trådlösa nätet).

När det gäller trådlösa nätverk är det två aspekter man i första hand måste ta hänsyn till; autentisering och kryptering. Autentisering för att säkerställa att inga obehöriga användare tillåts kommunicera i nätverket och kryptering för att förhindra att någon avlyssnar trafiken.

Genom att sätta upp en egen PKI (t.ex. med hjälp av Active Directory Certificate Services, ADCS) i miljön som delar ut certifikat till både datorer och användare kan vi med hjälp av WPA2-enterprise, 802.1x, RADIUS och Microsoft NAP (Network Access Protection) få en mycket stark autentisering och kryptering. Detta sker dessutom helt transparant för användaren eftersom certifikatet på maskinen automatiskt presenteras till den trådlösa infrastrukturen av den inbyggda agenten i Windows.

Med Microsoft NAP kan vi dessutom kontrollera om anslutande klient uppfyller ställd hälsopolicy (t.ex. installerade säkerhetsuppdateringar, aktivt antivirusskydd, aktiv brandvägg etc.). Om klienten inte uppfyller policyn placeras den på karantännätet. Där kan klienten kommunicera med vissa utpekade servrar för att möjliggöra nedladdning av t.ex. säkerhetsuppdateringar och antivirusdefinitioner. Med Microsoft NAP kan man även tvinga t.ex. brandvägg och antivirusskyddet att starta på klienten.

Tidigare nämnda klientcertifikat används med fördel även för VPN. Med hjälp av MS Direct Access kan certifikaten användas för att automatiskt skapa en VPN-förbindelse med kontoret oavsett var i världen klienten befinner sig. Även detta sker helt automatiskt med hjälp av den inbyggda IPSec agenten i Windows. Observera att Direct Access kräver att du kör IPv6 internt i nätverket.

Att kunna kommunicera med ”kontoret” oavsett var i världen är självklart en mycket värdefull möjlighet för de som reser mycket i tjänsten. Men klienter ”på vift” är fortfarande en mycket stor risk eftersom de potentiellt kan innehålla stora mängder sekretessbelagd information. När informationen väl landat på klienten är det svårt för IT-avdelningen att skydda informationen från någon med fysisk åtkomst till klienten. Det skydd som finns att tillgå är hårddiskkryptering. Hårddiskkryptering tillsammans med TPM-chip (Trusted Platform Module) gör det nästintill omöjligt för även en avancerad angripare att få ut någon information ur datorn eller att använda den för att få åtkomst till ”kontoret”. Dock kan ingen idag känd hårddiskkrypteringsteknik skydda sig mot en avancerad angripare som får fysisk åtkomst till en klient vid två separata tillfällen. Observera även att hårddiskkryptering endast skyddar mot attacker som bygger på fysisk åtkomst. Hårddiskkryptering skyddar inte mot logiska attacker över nätverket/Internet mot klienten.

Åtkomst till administrationsgränssnitt (brandväggar, switcher, servrar etc.) är ofta en förbisedd, men av naturliga skäl, central del av säkerheten då sådana gränssnitt potentiellt medger en angripare att stänga av viktiga säkerhetsfunktioner. Genom upprättandet av ett särskild VLAN för administration kan alla administrationssgränssnitt samlas ihop på detta VLAN som logiskt sett är isolerat från nätverket i övrigt. På VLAN:et ansluts en särskild klient avsedd för administration (se bilden ovan). Administration av systemet bör inte kunna ske från ”vanliga” klienter.

I det här läget har vi nått en mycket god intern säkerhet i miljön. I nästa steg tittar vi på hur vi skyddar våra publicerade tjänster, t.ex. webbsida eller webmail. I första hand ska vi självklart se till att de tjänster vi publicerar har de senaste säkerhetsuppdateringarna och att servrarna de körs på är härdarde. Därefter använder vi med fördel de mekanismer brandväggen tillhandahåller. Självklart ska man utifrån (från Internet) bara ha tillgång till just den port tjänsten finns på. Därefter kan man på den trafiken tillämpa flera olika typer av kontroller, i första hand IDS/IPS men även antiviruskontroll.  

När miljön väl är korrekt uppsatt och konfigurerad är det viktigt att man inte lämnar säkerhetsarbetet där. Nästa steg är monitorering/övervakning av olika slag, till exempel övervakning av säkerhetsloggar (inklusive loggar från IDS/IPS).

Moderna brandväggar har ofta inbyggda vertkyg för sökning av sårbarheter som med fördel konfigureras att köras regelbundet mot den interna miljön. På så sätt kan nya sårbarheter snabbt uppmärksammas och åtgärdas. Avseende publika tjänster kan mer avancerade tjänster för att upptäcka sårbarheter köpas från kvalificerade leverantörer. Observera att denna typ av övervakning i regel kräver mycket specialiserad kompetens. Ett alternativ man bör överväga är att outsourca hela övervakningsdelen till specialiserade leverantörer.

En IT-miljö byggd och förvaltad enligt ovan tillhandahåller en mycket hög säkerhetsnivå som i allt väsentligt är helt transparant för användarna och kräver väldigt lite extra investeringar.

1-10 of 14

Comments