Artiklar




Centrala aspekter för en säkerhetskultur

skickad 15 nov. 2016 23:04 av Lennart Engvall

Av: Lars Backåker
De mänskliga aspekterna blir allt viktigare när det gäller säkerhet. Denna artikel tar upp ett antal infallsvinklar på begreppet säkerhetskultur och hur man på bästa sätt uppnår en sådan med människa teknik och processer i samverkan.

Nyttjande av virtualisering i högsäkerhetsmiljöer

skickad 29 juli 2016 10:40 av Lennart Engvall   [ uppdaterad 29 juli 2016 10:42 ]

Av: Jonas Haglund
Idag nyttjar de flesta företag och organisationer virtualisering i någon utsträckning och teknologin får betraktas som mogen. Dock är det inte allmänt känt hur virtualisering påverkar säkerheten i miljön. Lär dig mer i följande white paper.


Att förebygga och hantera överbelastningsattacker

skickad 1 apr. 2016 04:52 av Lennart Engvall

Av: Lennart Engvall och Jonas Haglund
  
Överbelastningsattacker av olika former blir allt vanligare och kan få stora konsekvenser för dem som drabbas. Nedan kan du ladda ner en artikel om hur du bäst förebygger och hanterar dem.

IT-säkerhet i konsumentprodukter

skickad 1 sep. 2015 00:03 av Lennart Engvall   [ uppdaterad 1 sep. 2015 00:06 ]

Av: Björn Wetterbom
Är säkerheten en avgörande faktor när du väljer router till ditt hemmanätverk? Inte? Det kanske det borde vara. I artikeln nedan förklarar Björn Wetterbom varför IT-säkerhet inte bara är en fråga för stora organisationer utan även för privatpersoner vid val av konsumentprodukter.

Säkerhet i molnet

skickad 27 aug. 2015 07:30 av Lennart Engvall   [ uppdaterad 27 aug. 2015 07:33 ]

Av: Helena Innergård
 
Nedan kan du ladda ner en artikel som handlar om informationssäkerhet vid användning av molntjänster, med särskild betoning på myndigheter och andra officiella funktioner.

IT-säkerhet i skolan - artiklar

skickad 3 mars 2015 12:47 av Lennart Engvall

Nedan kan du ladda ner utförligare artiklar kring de ämnen som föredrogs vid vårt seminarium om IT-säkerhet i skolan den 4 mars i Västerås.

Information security - The case for a global skills framework

skickad 13 feb. 2015 00:46 av Lennart Engvall

Vi är stolta över att presentera en artikel där vårt partnerföretag 2creatEffects varit medförfattare. Artikeln är publicerad av brittiska BCS - The Chartered Institute for IT, och handlar om hur vi ska bena ut vilka kompetenskrav som egentligen ställs inom IT- och informationssäkerhetsbranschen och hur vi ska kunna prata om dessa på ett entydigt och distinkt sätt. Hela artikeln kan du läsa här.


Hur du med enkla medel bygger en IT-miljö med mycket hög säkerhet

skickad 1 juni 2014 23:03 av Lennart Engvall   [ uppdaterad 1 juni 2014 23:13 ]

Av: Jonas Haglund
Företag och leverantörer har generellt sett blivit mer medvetna om de olika säkerhetsriskerna kopplat till IT. Det har i sin tur inneburit att både rena säkerhetsprodukter men även generella IT-produkter och –system har blivit mycket bättre och genomtänkta ur säkerhetssynpunkt. Många produkter håller idag en god nivå av säkerhet ”out of the box”.

Jag tror att alla som på något sätt jobbat tekniskt med IT har drömt om att få sätta upp en ny IT-miljö helt från scratch utan ”arv” att förhålla sig till, att sätta upp den ”optimala” miljön. I den här artikeln tänkte jag ta mig friheten att göra just detta. Hur bygger man en säker IT-miljö år 2014?

Jag brinner för enkelhet. Enkelhet innebär nästan alltid låga inköpskostnader, låga förvaltnings­kostnader, men kanske framförallt, god säkerhet. En miljö du inte helt förstår är mycket svår att skydda.

Jag har i huvudsak identifierat tre omständigheter som väsentligt medger hög säkerhet till ett lågt pris; (1) virtualisering som teknik har mognat, (2) säkerheten i trådlösa nätverk är idag i regel bättre än i trådbundna nätverk samt (3) större funktionellt omfång i moderna brandväggar.

Mitt exempel kommer i stor utsträckning att bygga på Microsofts produkter, av den enkla anledningen att jag är mest bekant med dessa. Det finns dock inget i den konceputella lösningen som kräver att produkter från Microsoft används.

I detta ”case” har jag i grova drag utgått från följande förutsättningar:

  • Hundralet användare

  • Höga säkerhetskrav

  • Trådlös infrastruktur

  • Lösningen ska kunna inrymmas i ett halvhöjds 19 tums serverrack.

  • Lösningen ska tillhandahålla ett grundläggande IT-stöd till användarna såsom kontorsprogramvara (motsvarande Office), samarbetsverktyg (motsvarande Sharepoint) fillagring, epost, kalanderhantering samt publik webbplats.

Självklart ska allt säkerhetsarbete utgå från en väl genomförd och förankrad hot- och riskanalys. Detta ligger dock utanför omfattningen av denna artikel. Här utgår vi från en mer generell hotbild och börjar med att titta på var miljön är exponerad (det indikerar indirekt var vi ska placera våra skyddsåtgärder). En typisk IT-miljö är exponerad för potentiella angripare på följande ställen:

  • Publika webbservrar (t.ex. webbplats och webbmail)

  • Klienter (i första hand när de befinner sig utanför kontoret

  • Trådlöst nätverk

  • Fysisk access

Med endast två fysiska servrar kan vi skapa en virtualiserad plattform med failover och som dessutom kan vara värd för åtminstone 10 virtuella servrar. Failover innebär att om en fysisk server går ned, migreras virtuella maskiner omdelbart över till den andra fysiska servern med bara sekunder av nedtid.

Eftersom vi nyttjar trådlöst nätverk för klienterna klarar vi oss med bara en enda fysisk switch. Med hjälp av VLAN (virtuella LAN) kan vi ändå hålla isär olika typer av trafik.

  • Klient-VLAN (nätverk för våra klienter)

  • Karantän-VLAN (nätverk för klienter som inte når upp till hälsokraven)

  • Server-VLAN (nätverk för våra interna servrar)

  • DMZ-VLAN (nätverk för våra publika servrar)

  • Admin-VLAN (nätverk för administration av infrastrukturen)

Fysiskt kommer nätverket att se ut enligt nedan.
Men, med hjälp av de olika VLAN:en kommer dock nätverket logiskt se ut enligt nedan. Texten på pilarna anger på övre raden vilken typ av trafik vi tillåter och på undre raden vilken typ av kontroller vi tillämpar på trafiken.


Även om det inte är tydligt från bilderna ovan kommer brandväggen ha en mycket central funktion för nätverkssäkerheten. Vi använder den inte bara för kontroll av trafik mellan systemet och Internet utan även för kontroll av trafik mellan VLAN:en: Det innebär alltså att brandväggen fungerar som en form av core-switch. På det sättet kan vi nyttja brandväggens i regel mycket sofistikerade kontroller även internt. Moderna brandväggar har idag funktionalitet för IDS/IPS, antivirusskanning av trafik och DLP. Vissa har även en inbyggd wireless controller.

Givet att brandväggen har en wireless controller använder vi den för administration av de trådlösa accesspunkterna (en wireless-controller ger också ofta större möjligheter till god säkerhet i det trådlösa nätet).

När det gäller trådlösa nätverk är det två aspekter man i första hand måste ta hänsyn till; autentisering och kryptering. Autentisering för att säkerställa att inga obehöriga användare tillåts kommunicera i nätverket och kryptering för att förhindra att någon avlyssnar trafiken.

Genom att sätta upp en egen PKI (t.ex. med hjälp av Active Directory Certificate Services, ADCS) i miljön som delar ut certifikat till både datorer och användare kan vi med hjälp av WPA2-enterprise, 802.1x, RADIUS och Microsoft NAP (Network Access Protection) få en mycket stark autentisering och kryptering. Detta sker dessutom helt transparant för användaren eftersom certifikatet på maskinen automatiskt presenteras till den trådlösa infrastrukturen av den inbyggda agenten i Windows.

Med Microsoft NAP kan vi dessutom kontrollera om anslutande klient uppfyller ställd hälsopolicy (t.ex. installerade säkerhetsuppdateringar, aktivt antivirusskydd, aktiv brandvägg etc.). Om klienten inte uppfyller policyn placeras den på karantännätet. Där kan klienten kommunicera med vissa utpekade servrar för att möjliggöra nedladdning av t.ex. säkerhetsuppdateringar och antivirusdefinitioner. Med Microsoft NAP kan man även tvinga t.ex. brandvägg och antivirusskyddet att starta på klienten.

Tidigare nämnda klientcertifikat används med fördel även för VPN. Med hjälp av MS Direct Access kan certifikaten användas för att automatiskt skapa en VPN-förbindelse med kontoret oavsett var i världen klienten befinner sig. Även detta sker helt automatiskt med hjälp av den inbyggda IPSec agenten i Windows. Observera att Direct Access kräver att du kör IPv6 internt i nätverket.

Att kunna kommunicera med ”kontoret” oavsett var i världen är självklart en mycket värdefull möjlighet för de som reser mycket i tjänsten. Men klienter ”på vift” är fortfarande en mycket stor risk eftersom de potentiellt kan innehålla stora mängder sekretessbelagd information. När informationen väl landat på klienten är det svårt för IT-avdelningen att skydda informationen från någon med fysisk åtkomst till klienten. Det skydd som finns att tillgå är hårddiskkryptering. Hårddiskkryptering tillsammans med TPM-chip (Trusted Platform Module) gör det nästintill omöjligt för även en avancerad angripare att få ut någon information ur datorn eller att använda den för att få åtkomst till ”kontoret”. Dock kan ingen idag känd hårddiskkrypteringsteknik skydda sig mot en avancerad angripare som får fysisk åtkomst till en klient vid två separata tillfällen. Observera även att hårddiskkryptering endast skyddar mot attacker som bygger på fysisk åtkomst. Hårddiskkryptering skyddar inte mot logiska attacker över nätverket/Internet mot klienten.

Åtkomst till administrationsgränssnitt (brandväggar, switcher, servrar etc.) är ofta en förbisedd, men av naturliga skäl, central del av säkerheten då sådana gränssnitt potentiellt medger en angripare att stänga av viktiga säkerhetsfunktioner. Genom upprättandet av ett särskild VLAN för administration kan alla administrationssgränssnitt samlas ihop på detta VLAN som logiskt sett är isolerat från nätverket i övrigt. På VLAN:et ansluts en särskild klient avsedd för administration (se bilden ovan). Administration av systemet bör inte kunna ske från ”vanliga” klienter.

I det här läget har vi nått en mycket god intern säkerhet i miljön. I nästa steg tittar vi på hur vi skyddar våra publicerade tjänster, t.ex. webbsida eller webmail. I första hand ska vi självklart se till att de tjänster vi publicerar har de senaste säkerhetsuppdateringarna och att servrarna de körs på är härdarde. Därefter använder vi med fördel de mekanismer brandväggen tillhandahåller. Självklart ska man utifrån (från Internet) bara ha tillgång till just den port tjänsten finns på. Därefter kan man på den trafiken tillämpa flera olika typer av kontroller, i första hand IDS/IPS men även antiviruskontroll.  

När miljön väl är korrekt uppsatt och konfigurerad är det viktigt att man inte lämnar säkerhetsarbetet där. Nästa steg är monitorering/övervakning av olika slag, till exempel övervakning av säkerhetsloggar (inklusive loggar från IDS/IPS).

Moderna brandväggar har ofta inbyggda vertkyg för sökning av sårbarheter som med fördel konfigureras att köras regelbundet mot den interna miljön. På så sätt kan nya sårbarheter snabbt uppmärksammas och åtgärdas. Avseende publika tjänster kan mer avancerade tjänster för att upptäcka sårbarheter köpas från kvalificerade leverantörer. Observera att denna typ av övervakning i regel kräver mycket specialiserad kompetens. Ett alternativ man bör överväga är att outsourca hela övervakningsdelen till specialiserade leverantörer.

En IT-miljö byggd och förvaltad enligt ovan tillhandahåller en mycket hög säkerhetsnivå som i allt väsentligt är helt transparant för användarna och kräver väldigt lite extra investeringar.

Protokoll som nyttjas för tillgänglighetsattacker (DRDoS)

skickad 28 apr. 2014 22:51 av Lennart Engvall   [ uppdaterad 28 apr. 2014 22:52 ]

Av: Mattias Björlin

Under 2013 och i början av 2014 såg vi en stor användning av öppna Network Time Protocol (NTP)-servrar, d.v.s. NTP-servrar tillgängliga över Internet, som användes för tillgänglighetsattacker, så kallade Distributed Denial of Service (DDoS) attacker.


Tidigare användes ofta öppna Domain Name System (DNS)-servrar för att genomföra storskaliga DDoS-attacker eller som dem i dessa fall kallas, Distributed Reflective Denial of Service (DRDoS). I DRDoS-attacker ställer en angripare massor av DNS-förfrågningar och har förfalskat (eng. spoofed) avsändaradressen till offrets IP-adress, med andra ord kommer DNS-servrarna skicka alla sina svar till offret. En lyckad attack gör så att offret inte kan hantera den stora mängd data som kommer som svar från de olika DNS-servrarna och går ner som följd.

Om vi går tillbaka till NTP, så har DRDoS-attackerna att göra med att NTP-protokollet stödjer MONLIST kommandot. MONLIST kommandot returnerar en lista på de sista 600 IP-adresser som sist gjorde en förfrågan till NTP-servern. Med andra ord kan en angripare ställa en förfrågan till NTP-servern där svaret blir 206 gånger större än förfrågan. Genom att

förfalska avsändaradressen och ställa förfrågan till många NTP-servrar som lider av sårbarheten, kommer angriparen kunna slå ut sitt offer när NTP-servrarna skickar sina svar till offret.

 

Du kan lätt själv testa om din NTP-server[1] kan nyttjas för en DRDoS-attack:

 

$ ntpdc -c monlist <IP-adress på NTP-servern>

 

Börjar NTP-servern skicka tillbaka en lista med IP-adresser som har ställt förfrågningar till NTP-servern, så är NTP-server sårbar. Om er verksamhet använder en NTP-server som är nåbar på det publika Internet så är det viktigt att det har uppgraderats till minst version 4.2.7p26 eller snare, för mer information se, ”CVE-2013-5211”. Alternativt stänga av möjligheten att ställa MONLIST förfrågningar, genom att i "/etc/ntp.conf" konfigurera ”disable monitor”.

 

DNS och NTP är alltså protokoll som kan nyttjas för att genomföra storskaliga DRDoS-attacker, då en angripare med små förfrågningar kan skapa stora trafikmängder som svar, där avsändaradressen är förfalskad och satt till offret som mottagare.

 

Ett annat protokoll som också kan nyttjas för DRDoS-attacker är Simple Network Management Protocol (SNMP) protokollet. SNMP är ett standardiserat protokoll för hantering och managering av enheter i ett IP-nätverk. Ofta används SNMP i övervakningssyfte för att kontrollera att enheter i ett IP-nätverk fungerar som det är avsett och övervakaren kan ställa kontrollfrågor, t.ex. hur mycket trafik har skickats på ett visst nätverkskort eller vilken temperatur har processorn? SNMP finns i flera versioner, vanligaste förekommande är v1, v2c och v3. Problemet med SNMP v1 och v2c som är väldigt vanliga, är att de nyttjar svaga autentiseringsuppgifter, samt att all trafik skicka i klartext. Med andra ord kan trafiken lätt avlyssnas eller angripas med råstyrkeattacker (eng. brute force).

 

Du kan själv genomföra en kontroll av svaga autentiseringsuppgifter i SNMP, genom en råstyrkeattack, där en ordlista (i detta fall kallad ”1000-worst-passwords.txt”) prövar olika tänkbara kombinationer av autentiseringsuppgifter. Använd t.ex. programmet Hyra[2], med följande parametrar, se nedan, för att avslöja om era SNMP-servrar har svaga autentiseringsuppgifter:

 

$ hydra <IP-adress SNMP-server> snmp -P /tmp/Wordlist/1000-worst-passwords.txt -f -e ns -t 10 -V

 

Fås svaret ”[161] [snmp] host: <IP-adress> login: password: <svagt lösenord>” som svar har Hydra lyckats ”knäcka” autentiseringsuppgifterna. Lämpligast är att försöka mitigera till SNMP v3, samt ha ett lång och komplex ”community-string” för SNMP-förfrågningar.

 

Om en angripare har möjlighet att ställa SNMP-förfrågningar pga. svaga autentiseringsuppgifter, kan angriparen ställa SNMP GetBulk-förfrågningar och förfalska avsändaradressen. Detta resulterar i att en större mängd data skickas som svar till offret. Återigen har en DRDoS-attack kunnat genomföras.



[1] Förutsättningen är att NTP-servern är nåbar från ett publikt nät, så som Internet.

[2] THC-Hydra (Network logon cracker): https://www.thc.org/thc-hydra/

Verksamhetsmodellering som grundpelare i systemutvecklingsarbete

skickad 24 mars 2014 08:27 av Lennart Engvall   [ uppdaterad 1 apr. 2014 01:58 ]

Av: Lars Backåker

Verksamhetsmodellering är idag ett välkänt begrepp inom försvaret och en metod som tillämpas för att ge en samlad beskrivning av verksamheten. I sin enklaste form går det ut på att gestalta verksamheten och genom en förenklad avbildning med avskalad komplexitet, återspegla enheter, processer och dess beroenden. Viktigt är att för ändamålet avgörande detaljer inte går förlorade.

De huvudsakliga avsikterna med verksamhetsmodellering är förändringsarbete och verksamhetsutveckling. Verksamhetsmodellerna som ligger till stöd för utvecklingsarbetet representerar en plats där domänkunskap kan lagras och sammanställas. Framförallt inom systemutveckling tillför modellering en länk mellan verksamhet och teknologin, där samtliga intressenter involveras i utvecklingsarbetet.

Vår erfarenhet från modellbaserad utveckling av ledningsstödsystem är att verksamhetsmodellerna bidrar till en gemensam och sammanhållen syn på förändringsarbetet bland de intressenter som involveras. Modelleringsverktyg som t.ex. Sparx Systems Enterprise Architect (EA) medger att dokumentationsunderlag genereras direkt ur arkitekturen, vilken konstruerats efter standardiserade modelleringsspråk och ramverk. Trots hög grad av standardisering kan dessa underlag ständigt anpassas till sin givna kontext och målgrupp för att minska risken för missförstånd.

Spårbarhet genom hela utvecklingsprocessen är ytterligare en av de stora fördelarna. Den ger oss möjligheten att svara upp mot förväntningarna avseende kravställning, arkitektur och tekniska lösningar relaterade till ledningsstödsystemen. En komplett spårbarhet medför effektiva konsekvensanalyser, t.ex. för att härleda förmågetillförsel och dess effekt på den tekniska lösningen eller applikationsbortfall och dess inverkan på kravuppfyllnaden.

Trots att modellerna etableras med hänsyn till och även innehåller en hög grad av standardisering i syfte att tillföra enhetlighet och struktur är vi övertygade om att de behöver vara dynamiska och därmed föränderliga över tid. Framför allt så är viss anpassning en nödvändighet för att möjliggöra återbruk mellan systemversioner. Unified Modeling Language (UML), Systems Modeling Language (SySML) och även andra objektorienterade språk och tillämpningar kommer till sin stora nytta i detta avseende, där flexibilitet tillåts genom instansering av arkitekturelement.

Vi ser även ramverk som en nyckel till överskådlighet i utvecklingsarbetet, trots att situationsspecifika vyer etableras. Objektorienterade språk bidrar i sig till konsolidering och inkapsling på lägre nivåer mellan arkitekturelement, medan ramverk på liknande sätt säkerställer överskådlighet inom arkitekturen genom att strukturera och konsolidera vyer. Exempel på viktiga ramverk för att uppnå interoperabilitet inom försvarsindustrin är Storbritanniens Ministry of Defense Architectural Framework (MODAF) och dess systerramverk i USA - Department of Defense Architectural Framwork (DoDAF). Även NATO har sitt eget arkitekturramverk, NATO Architechture Framework (NAF), samtliga med flera gemensamma nämnare.

I fortsatt systemutvecklingsarbete ser vi verksamhetsmodellering som en nyckel till framgång, då det bör utgöra den drivande motorn i utvecklingsprocessen.

 

1-10 of 12

Comments