SikkerNOK 2015

Som kanskje noen vet så var Oktober “Nasjonal Sikkerhetsmåned” som tar for ser det økende behovet vi har for IT-sikkerhet i Norge.
Se på www.sikker.no for mer info

I den forbindelse arrangerte de en form for oppsummering på Høyskolen i Gjøvik, der de hadde invitert en hel del spennende foredragsholdere rundt IT-sikkerhet.
Jeg tok ett par bilder fra foredagene, og tenkte jeg kunne dele dem med dere også.

Foredrag 1 – Sikkerhetskultur bygd på kunnskap og bevissthet – forutsetning for et sikkert samfunn – Generalmajor Odd Egil Pedersen, sjef Cyberforsvaret

IMG_0023

Setter agenda, at Elektronisk kommunikasjon (Ekom) er viktigere enn alt annet. Noe de selv har opplevd i krisesituasjoner.

 

IMG_0024

Snakket om at Norge ser stadig flere angrep via digitale kanaler, og at vi må slutte å tenke på oss som “ubetydelige”.

IMG_0026

Utfordringen er den samme for forsvaret som for andre i bransjen, det er for få folk i omløp og Staten er den store taperen pga lavere lønn. Også problematisk med informasjons deling mellom private og offentlige aktører.

IMG_0025

Viser til at mye av jobben er gjort om man gjør linje 1 og 2 meget bra. I dette tilfellet betyr det opplæring og faktisk investere i automatiske systemer som kan stoppe trusler. (Ref: PALO ALTO! 🙂 )

Oppsummert så fokuserte Generalmajoren mye på forsvaret utfordringer med å bygge kompetanse, og at de er underlagt ett regime som kanskje ikke egner seg godt for informasjonsdeling og åpenhet. Noe som byr på utfordringer når man skal samarbeide med private aktører. Norge må også få hodet litt ut av sanden og tro at vi ikke blir angrepet. (Dette har jeg hørt i snart 10 år..).

Foredrag 2 – Insecure Cyberspace: Today’s Cyber Threats – Francesca Bosco, Project Officer, United Nations Interregional Crime and Justice Research Institute

Meget spennende foredrag som tok for seg trusselbildet de opplever, fullstendig uavhengig aktør som har fått mandatet fra FN for forskning på “emerging threats”.

IMG_0028

UNICRI har hatt mandatet siden 2006, men har sett økte bevilgninger siden 2010 da Ban Ki-moon tok opp problemet i en tale for Generalforsamlingen.

IMG_0029

Litt om hva som skjer per minutt på Internett, og UNICRI ser på hver eneste “action” som en mulighet for infeksjon.  Dette må kontrolleres! ( Lurer på hvilken løsning som kan det.. 😀 ).

IMG_0030

Enda en påminnelse at dette er noe som skjer alt og alle, uansett størrelse og viktighet!

IMG_0031

Litt mer om risikoen, og at den bare vokser nå som vi ser at IoT (Internet of Things), Cloud og lagring av personlig data bare øker. (Løsning: segmentering og kontroll! )

IMG_0033

Gjennomgang av topp 3 listen av trusler, der malware igjen topper. Tror dere enkle antivirus klienter klarer å stoppe 317 millioner varianter av malware? Neppe.. her trenger man AMD! (Advance Malware Detection) som f.eks Wildfire.

IMG_0034

Enda mer om Malware, igjen viser dette behovet for beskyttelse, og ikke minst god segmentering av nettverket. Kjedelig om den moderne kaffemaskinen som kjører Windows CE skal infisere hele nettverket fordi den står på samme nett som klienter og servere..

IMG_0035

Ransomware, ikke en ukjent sak for de fleste her på berget. Det var en periode der “alle” ble utsatt, og for ikke så lenge siden hadde vi “Posten” kampanjen som ble rettet mot Norske brukere. Ransomware er lukrativt, siden det er lett og spre og gir i mange tilfeller penger rett inn på konto, da mange mindre bedrifter ofte velger å betale. Mye fordi beløpene inntil videre er såpass lave. Sitet fra Francesca: “Why involve the police when you can just pay 300-500$ and be done with it. You will also not damage your company reputation.”
Viser også viktigheten av segmentering og god kontroll på trafikken som kommer inn i nettverket.

IMG_0037

Nr 2 på listen er angrep mot nettleser og nett-applikasjoner.. Noe jeg selv har sett mye av. Lurer på hvilken plattform som kan stoppe dette. 🙂

IMG_0038

Mer om nettleser angrep,  dårlig kvalitet beklager jeg. Men vi kan ta med oss at 90% av angrep baserer seg på Java. På tide at Java dør snart? Tror det..

IMG_0039

Nr 3 på listen var Botnets, så alt i alt ikke en overraskende liste. Svært mange maskiner i Norge er nok infisert med ett botnet, både privat og i bedrifter. (Hva kan beskytte oss mot C&C trafikk montro.. )

IMG_0040

Dårlig kvalitet, men de røde prikkene indikerer hvor de ser infiserte maskiner, er endel rødt i Norge også… Så dette er ett problem.

IMG_0041

Litt om profilering de har gjort av den typiske “Hackeren”, det er lenge siden at en “hacker” var en koselig fyr i en kjelleren som vil avsløre feil og rapportere dem.
Det er nå kriminelle organisasjoner og hacktivister som leder an, og denne utviklingen bare fortsetter.

Meget spennende presentasjon, som viser FN også ser på IT-sikkerhet som en utrolig viktig investering i fremtiden.

Foredrag 3 – Protecting Client Data – Lessons Learned by the Swiss Financial Industry – Prof. Dr. Hannes P.Lubich, University of Applied Sciences North-Wstern Switzerland

Ingen bilder, da jeg fikk en dårlig posisjon i salen. Men han pratet mye om hvordan bank-industrien i Sveits igjennom alle år har ligget bakpå når det kom til IT-sikkerhet.
Og at når de endelig skulle ta tak, så var tanken “Build the fence higher!” som går ut på og gjøre ting så komplekst og vanskelig at man bare gir opp.
Dette ga en lei bi effekt at bankene selv begynte å ha problemer med nettverket sitt, på grunn av alle sikkerhetsmekanismene. Dette gjorde det også svært vanskelig å innføre nettbank på slutten av 90 tallet.

Læringen jeg tok fra foredraget at det å beskytte klient data er vanskelig, men at det å teppebombe nettverket med sikkerhetsmekanismer aldri er en god løsning. Tenk helhetlig og standardiser på 2 eller maks 3 sikkerhetsmekanismer.

Foredrag 4 – Being a Doomsday Prepper – Incident Readiness and Handling in the Energy Sector – Margrete Raaum, CEO KraftCERT

Igjen ingen bilder, og jeg måtte dra halvveis inn i dette foredraget.
Men var en ting jeg mente var veldig bra sagt: “Mange bedrifter tror det å sitte “stille” på internett er nok, ingen har jo interesse for vår lille bedrift”. Dette var noe hun tok opp som en viktig problemstilling.  Og at når KraftCERT tok kontakt med mindre selskaper som hadde eksponert styringssystemer på internett så var ikke spørsmålet “Hvor?” eller “Hva?”, nei det første de nesten alltid sa var “Hvorfor?”.. Hvorfor ser dere på oss?

Dette er nok det mange tenker der ute, at de er for små, for ubetydelige og at de ikke blir angrepet. Sannheten er noe helt annet.

Oppsummering av dagen

Vil applaudere at staten organiserer slike dager som dette, det bidrar til bevisstgjøring som ofte er første steg.
Men om jeg kunne endret på noe så ville jeg også pratet om løsninger, fremfor bare problemer.
Jeg tror det var mange fra næringslivet som dro derfra med flere spørsmål enn de hadde før de kom, og jeg tror de gjerne skulle sett noen forslag til løsninger og ikke bare “Beskytt dere!!”.

 

SSL Unntak – Apple..

Jeg er veldig opptatt at vi skal inspisere trafikk som går over SSL, men dessverre er ikke alltid dette så lett. Noen tjenester og applikasjoner er hardkodet til å kun godta ett eller flere spesifike sertifikat.

Apple er en av de som har laget applikasjonene sine slik, de godtar kun Apple sine SSL-sertifikat.
Dette betyr at at hvis man har SSL-inspeksjon aktivert så vil mest sannsynlig alt av Apple enheter stoppe å synke mot sine tjenester, det er sjeldent populært i det fine landet vårt Norge, der alle skal ha tilgang til alt hele tiden 🙂

Men ta det med ro! Jeg har en rask og god løsning for å sikre videre funksjon for Apple enhetene dine!
Vi må rett og slett lage en egen regel i SSL-inspeksjon regelsettet for å unnta trafikk mot Apple sine tjenester.

Steg 1:
blogg_custom_apple_ssl_url

Gå til Objects->Custom Objects->URL Category
Trykk “Add”

Steg 2:
blogg_custom_appel_ssl_url_1
Skriv navn på kategorien og gjerne en beskrivelse til senere.
Trykk på “Import”

Steg 3:

Last ned min tekst fil med unntakene du trenger: apple_ssl_unntak
Deretter finner du stien du lastet den ned til og importerer den.

blogg_custom_appel_ssl_url_2

Du vil da få opp dette vinduet om alt gikk som det skulle:

blogg_custom_appel_ssl_url_3

Trykk “Ok” for å lagre.

Steg 4:
Gå til Policies->Decryption
Trykk “Add” for ny regel, fyller inn det du trenger av info, og under “Service/URL Category” henter du opp din nylagede URL Kategori:

blogg_custom_appel_ssl_url_4

Deretter kan du lagre regelen. (No decrypt er standard ved ny regel)
Min regel ser da slik ut:

blogg_custom_appel_ssl_url_5

Trykk deretter “Commit” så vil forhåpentligvis Apple produktene starte å kommunisere slik de skal med tjenestene sine!

 

NB NB! Det kan hende at adressene endrer seg over tid, jeg skal prøve å holde den oppdatert, men jeg setter pris på en kommentar hvis noen vet om flere adresser som må med. Dette fungerte for meg per 27.10.2015.

MigrationTool

MigrationTool er ett verktøy som alle som har eller vurderer Palo Alto Networks bør vite om!

Hva det gjør ligger litt i navnet, det er ett verktøy for å hjelpe deg å migrere fra andre leverandører som Checkpoint, Cisco, Fortinet med mer.
Dette gjør prosessen med å migrere svært enkel, og man ved svært få klikk ha en fullt fungerende Palo Alto konfigurasjon basert på de gamle reglene.

Men jobben er ikke over etter at man har gjort en direkte migrering, det er da verktøyet faktisk viser sin store styrke. Det kommer jeg tilbake til i en senere post!

Inntil videre så anbefaler jeg å laste ned verktøyet her.
Det er en virtuell maskin som kan kjøres i VMware ESXi eller VMware Workstation/Player.

Any user vs Known-user

I min spede begynnelse med Palo Alto, så skal jeg innrømme at jeg gjorde denne feilen..

User-ID er kjernefunksjonalitet i Palo Alto sin løsning, den gir oss mulighet å granulert filtrere på brukere i nettverket vårt. Noe som gjør det lettere å finne hvem som er infisert eller gjør “ulovlig” aktiviteter på nettverket.
Etter at man har satt opp dette, så lager man sin første policy regler:

blogg_users_policy

I mine første oppsett så satt jeg User til “any”, da jeg tenkte at det gjaldt “any” bruker i AD-domenet mitt. Dette stemmer ikke, “any” i dette tilfeller tillater all trafikk.
Den jeg skulle ha brukt er “known-user” som betyr at Palo Alto må kjenne til brukeren, som betyr at den må finnes i AD-domenet du har knytt opp via User-ID.

Det kan hende det bare var jeg som var så dum i starten, men nevner det uansett slik at jeg kanskje kan hjelpe noen andre der ute!

Ny applikasjon “google-base”!

I desember vil Palo Alto implementere en ny applikasjon som heter “google-base”, dette gir nye muligheter for styringen av google relaterte applikasjoner som kalender, mail, docs med mer.

Jeg anbefaler sterkt å lese denne linken: Google-base FAQ

Kort fortalt så slipper man å tillate “ssl” og “web-browsning” eksplisitt i regelsettet, så for mange vil ikke denne endringen gjøre så mye da vi i Norge ikke har som vane og låse ned tilgangen til internett for mye.

SSL – Hva gjør du med det?

Jeg har sett endel brannmur regelsett igjennom årene, og med unntak av noen få så er det veldig ofte at jeg ser følgende linje i regelsettet:

Source: Any | Destination: Any | Port: 443 | Action: Allow

Utover dette finnes det heller ingen SSL-inspeksjon, for det er ofte “knotete”, for “dyrt”, ikke “nødvendig”, eller “Hva mener du med SSL?”.

Og alle er fornøyde, for https og andre applikasjoner som bruker SSL fungerer slik de skal. Og det er vel hele poenget?

Tja.. I en perfekt verden der alle har gode hensikter så skal jeg være enig med deg.
Men så vet vi alle at vi har disse lurende ute på internett:

blogg_hacker

Det er slik media vil at vi skal tro hackere ser ut..

For når vi ikke inspiserer SSL-trafikk så gjør det effektivt SSL til ett våpen mot deg!
De kriminelle vet veldig godt at de fleste ikke gjør noe med SSL-trafikken, og det har igjen ført til at nesten all malware og exploits bruker SSL i en eller annen form.

Enten via at de kan snike malwaren inn i nettverket via en SSL-sesjon til klienten som har besøkt en infisert side, eller ved at de sender ut data via SSL til sine eksterne servere. Du som har ansvaret for nettverket vet ikke hva som skjer, for alt er skjult i trafikk-loggen under SSL eller HTTPS.

På den måten kan kriminelle være inne på nettverket ditt i måneder, kanskje år før det blir oppdaget. Da er nok skaden allerede skjedd..

Hva skal man da gjøre?
Jo, man må gjøre det vi alle synes er “knot” eller “dyrt”, dere må investere i en løsning for SSL-inspeksjon.
Over 60% av all web-trafikk er nå over SSL\HTTPS, og dette vil bare øke.. snart vil man faktisk være “blind” om man ikke gjør noe.
F.eks er all trafikk mot google nettverket over SSL\HTTPS.

Har man allerede en Palo Alto i nettverket sitt så er man allerede godt skodd, da kan man bare følge denne linken for en rask gjennomgang for hva som må til: Palo Alto SSL Guide
Dette vil også gi Palo Altoen enda ett ledd i sin “kill-chain”, som vil igjen vil øke sikkerheten enda ett nivå for bedriften.

Det er også viktig å huske at SSL-inspeksjon er en veldig krevende prosess, så i noen tilfeller vil ikke eksisterende brannmur være kraftig nok til å håndtere lasten.

Lykke til!

Applipedia!

Den største fordelen med Palo Alto Networks sine brannmurer er at de forholder seg til applikasjoner, og ikke porter. (I de fleste tilfeller)
Dette gjør det lettere og lage en sikker policy, der man heller “whitelister” applikasjonene man vil ha i nettverket sitt. På denne måten sikrer man seg full kontroll på nettverket, samtidig at man slipper å forholde seg til porter, som ofte fører til unødvendige åpninger.

Dette betyr selvfølgelig ingenting om man ikke kan identifisere applikasjoner, men det kan så absolutt Palo Alto Networks!

Sjekk ut denne siden: https://applipedia.paloaltonetworks.com/

Man kan grave seg ned i databasen, og hente ut masse informasjon. Som eksempel har jeg hentet ut info om Spotify og Hola-unblocker, to programmer mange bruker, og man kanskje vil sperre:spotify_blogg

hola_blogg

Man kan hente ut masse god informasjon fra dette, f.eks kan man filtrere på kategorien “Evasive” for å se alle applikasjoner som hadde funnet veien ut via en port-basert brannmur som Palo Alto Networks nå kan stoppe. Eller kanskje man bare vil lære litt?