Aperture – Noe å tenke på?

Paloalto har lansert en ny tjeneste i form av Aperture.

Så hva gjør Aperture? Som foto entusiast vet jeg godt hva det gjør på kameraet mitt, men jeg tviler på at Paloalto kommer med ett speilreflekskamera .. (Men det hadde vært kult!)

Aperture

Aperture er en SaaS tjeneste, som hjelper deg med å ta kontroll over filer som forsvinner ut i skyen.
Siden introduksjonen av skytjenester som dropbox, box for business, google drive, salesforce og alle de andre der man kan laste opp data, så har sikkerhet vært ett stort tema.blogg_aperture_problem

Man mister enkelt og greit oversikten på hva som skjer med filene så fort de forsvinner ut til en slik tjeneste. Hvem laster de ned? Hvem modifiserer? Hvem deler man de med? Er det virus på noen av filene?
Så da tar man kontroll, og bruker en Paloalto NGFW for å stenge ned tilgangen til disse tjenestene.

Men så kommer noen selgere(I mitt hode er det alltid selgerne sin feil..) som absolutt trenger en skytjeneste de kan bruke på iPaden for presentasjoner.

Så da går man til innkjøp av Box for business som er en populær tjeneste, og åpner opp for denne.. for man vet at Box for business har relativ god sikkerhet.
Men da er man tilbake til samme problem, for hvor god kontroll har du på hva som skjer med filen når den er i Box for business? Blir den delt med andre i bedriften som ikke skal se den? Blir den lastet ned på en annen enhet og deretter sendt videre? Laster noen opp virus fra sin private PC? Her har ikke Paloalto sin NGFW noen synlighet, og det er derfor de har laget Aperture.

Aperture kobler seg opp mot SaaS tjeneste dine og hjelper deg med å ta kontroll igjen!
blogg_aperture_kontroll

Aperture overvåker da filene dine i de tjenestene du har tillatt, og håndhever regler basert på en policy man selv har laget. Samtidig blir filer scannet med Wildfire for å sikre at malware ikke spres via disse tjenestene.

blogg_aperture_policy_web

Slik kan en policy se ut, og den kan være global for alle tjenester, eller spesifikk for enkelte.
Kontrollen er veldig granulær også.

blogg_aperture_policy

Dette er kontrollmekanismene man har for tjenesten Box, og hvilken funksjon som brukes for å oppnå det.

Oppsummert

Aperture er en SaaS tjeneste som hjelper deg med å ta kontroll på filene dine i skyen, og forhindrer uønsket lekkasjer og malware. Dette alene gir mye verdi, men om man samtidig bruker en Paloalto NGFW for å blokkere andre sky-tjenester man ikke har kontroll på, så er man sikret at de ansatte må bruke bedriften sin løsning.
Dette løser det evige problemet som er “minste motstands vei”.
Brukere bruker alltid det som er lettest for dem uansett intern policy. Så om man allerede har Dropbox installert på maskinen sin på jobb og hjemme så bruker man bare dette fremfor å installere denne “nye vanskelige applikasjonen fra IT..”.

For mer info: Solution Brief fra Palo Alto

 

Blokkere ny versjon av CryptoWall V4

CryptoWall V4 observert

Det har kommet en ny versjon av Cryptowall som er enda mer effektiv og strømlinjeformet. Dette gjør det igjen svært viktig å ha sikkerheten i orden på nettverket sitt!

Den største endringen for mange er nok at det er nå vanskeligere å se om filer er kryptert eller ikke, ved at de beholder sitt orginale filnavn. (Før endret de filene slik at man så hva som var kryptert).

Min anbefaling inntil videre er å sette opp Region blokkering mot Russland i sin Paloalto, og sette opp fileblocking regler med de navnene i blogg-innlegget.

  • Syria.exe
  • analitics.exe

Det vil selvfølgelig komme flere navn på disse filene, men dette er en start!

Og har du WildFire er du allerede beskyttet!

File Blocking – Bruker du det?

File Blocking er en funksjon som kan øke sikkerheten betraktelig ved ett par enkle steg.

F.eks kan vi legge en regel for å blokkere filtyper som ofte inneholder malware:

  • EXE – Litt vanskelig å blokkere da mye legitimt er her (Sleng iallefall opp en alert!)
  • HTA – Applikasjon som inneholder HTML, kjører utenfor nettleser
  • PIF – Snarvei til MS-DOS programmer.. Se over.
  • BAT/CMD – Batch fil, sier seg vel nesten selv at det trenger vi ikke å laste ned fra internett
  • SCR – Screensaver fil, noe man iallefall bør blokkere. Og hadde man hatt denne aktiv for 2-3 mnd siden hadde man stoppet Posten kampanjen.. (!)

Forslag til regel:

blogg_fileblock_malware

PE står for Portable Executable og inneholder exe, dll, com, scr, ocx, cpl, sys, drv og tlb

Med denne regelen har man effektivt stengt ute en hel del potensielle infeksjoner, og om noen skulle ha behov for å laste ned disse filene så kan man alltids lage unntak. Men da bør man lage unntak som er så spesifikke som mulig slik at man ikke mister kontrollen igjen.

Multi-Level-Encoding

Multi-Level-Encoding filer er kort og godt filer som er pakket ned 5 ganger eller fler. Dette er ofte en teknikk som blir brukt for å få filer igjennom IDS\IPS sensorer da de ofte bare støtter 1-2 nivåer av utpakking.

Paloalto støtter 4 nivåer, og har deretter laget en egen kategori under “Object->Security Profiles->File Blocking” som kan brukes for å blokkere alle filer som har flere nivåer enn dette.
Min personlige mening er at det er _INGEN_ god grunn til å slippe slike filer igjennom, ingen pakker ned filene sine slik om man ikke har ondsinnede hensikter.

Så min anbefaling er å lage følgende regel i File Blocking og aktivere den i policyen deres!:

blogg_multilevel_block

 

Kjører du fortsatt BrightCloud URL-filter?

BrightCloud URL filter var det Paloalto leverte til sin løsning frem til PAN-OS 5.0 ble lansert, da de selv kom med sitt eget alternativ som vi nå kjenner som PAN-DB.

Men veldig mange fortsatte bare å kjøre videre med BrightCloud da det var allerede installert og konfigurert, hvorfor endre på noe som fungerer er en strategi mange følger.
Vel, jeg kan gi deg ett par veldig gode grunner for å skifte fra BrightCloud til PAN-DB:

  • PAN-DB vil gi deg enda bedre beskyttelse mot Zero-day angrep da den er integrert mot Wildfire
  • PAN-DB er en skytjeneste som alltid er oppdatert, fremfor BrightCloud som har jevnlige oppdateringer
  • PAN-DB gir deg mulighet å laste ned en “seed-db” for ditt område for enda raskere ytelse (URLer som ikke ligger her vil fortsatt sjekkes mot skyen)
  • PAN-DB koster akkurat det samme som BrightCloud
  • PAN-DB er utviklet av Paloalto, og ikke kjøpt inn…

Så når BrightCloud lisensen din løper ut, ikke bare be om ny, gå over til PAN-DB!
For mer info så er det bare å ta kontakt med meg eller din forhandler!

Hvordan mappingen mellom BrightCloud og PAN-DB vil se ut ved bytte: (Dette skjer automatisk)

BrightCloud Category PAN-DB Category
Abortion Abortion
Abused Drugs Abused Drugs
Adult and Pornography Adult
Alcohol and Tobacco Alcohol and Tobacco
Auctions Auctions
Bot Nets Malware
Business and Economy Business and Economy
Cheating Questionable
Computer and Internet Info Computer and Internet Info
Computer and Internet Security Computer and Internet Info
Confirmed SPAM Sources Malware
Content Delivery Networks Content Delivery Networks
Cult and Occult Religion
Dating Dating
Dead Sites N/A
Dynamically Generated Content N/A (no mapping as URL will be categorized based on the content)
Educational Institutions Educational Institutions
Entertainment and Arts Entertainment and Arts
Fashion and Beauty Society
Financial Services Financial Services
Games Games
Government Government
Gross Questionable
Hacking Hacking
Hate and Racism Questionable
Health and Medicine Health and Medicine
Home and Garden Home and Garden
Hunting and Fishing Hunting and Fishing
Illegal Questionable
Image and Video Search Search Engines
Individual Stock Advice and Tools Stock advice and tools
Internet Communications Internet Communications and Telephony
Internet Portals Internet Portals
Job Search Job Search
Keyloggers and Monitoring Malware
Kids Society
Legal Legal
Local Information Travel
Malware Sites Malware
Marijuana Abused Drugs
Military Military
Motor Vehicles Motor Vehicles
News and Media News
not-resolved Not-resolved
Nudity Nudity
Online-gambling Gambling
Online Greeting cards Entertainment and Arts
Online – music Music
Online – personal-storage Online storage and backup
Open HTTP Proxies Proxy Avoidance and Anonymizers
Parked Domains Parked
Pay to Surf Web Advertisements
Peer to Peer Peer-to-peer
Personal sites and Blogs Personal sites and blogs
Personal Storage Online storage and backup
Philosophy and Political Advocacy Philosophy and Political Advocacy
Phishing and Other Frauds Phishing
Private IP Addresses Private IP Addresses
Proxy Avoidance and Anonymizers Proxy Avoidance and Anonymizers
Questionable Questionable
Real Estate Real Estate
Recreation and Hobbies Recreation and Hobbies
Reference and Research Reference and Research
Religion Religion
Search Engines Search Engines
Sex Education Sex Education
Shareware and Freeware Shareware and Freware
Shopping Shopping
Social Networking Social Networking
Society Society
SPAM URLs Malware
Sports Sports
Spyware and Adware Malware
Streaming Media Streaming Media
Swimsuits & Intimate Apparel Swimsuits and Intimate Apparel
Training and Tools Training and Tools
Translation Translation
Travel Travel
Unconfirmed SPAM Sources Malware
Unknown Unknown
Violence Questionable
Weapons Weapons
Web Advertisements Web Advertisements
Web based email Web-based Email
Web Hosting Web Hosting

 

Arrow – James Bond!

Den 2.November inviterte Arrow til faglig oppdatering på Viktoria Kino med SPECTRE som avslutning.
Vi hadde ett godt oppmøte for å si det mildt!

IMG_0054

IMG_0059

Temaene var:

VMware: “The Man With The Golden VM”

  • Agent 101, Ekeberg, Øivind Ekeberg, loser oss raskt gjennom nyheter fra VMware, og gir et overblikk på hvordan vi i dag kan redusere antall «Dr No’s» i datasenteret.

EMC : “From Russia, with Disk”

  • Etterretning krever store datamengder, og tilgang til denne informasjonen er kritisk i felten. Hør Arrows «Q» fortelle om hvordan man med VPLEX alltid har tilgang til data!

Palo Alto Networks: “The Spy Who Hacked Me”

  • Med Mr. White ute i det fri, må datasenter og systemer sikres, slik at Moneypenny og M har sikker kommunikasjon med 007. Se hvordan PAN sikrer det moderne datasenter mot både inn- og utvendige trusler!

Jeg slenger ut litt bilder jeg tok fra presentasjonene, med kommentar.

 

VMware: “The Man With The Golden VM”

IMG_0062

Øivind snakket om at VMware pumper ut ny software, og at det er vanskelig å holde styr på alt.. Noe er mer viktig enn andre og Øivind er mannen som kan lose deg igjennom det hele!

IMG_0064

Men en ting er like sikkert som alltid, det ble mye prat om Skyen på VMworld 2015, Øivind påpekte at det ikke bare er en “sky” på himmelen, men flere, der definisjonen på hva de kan og ikke kan brukes til er litt ullen. Og alt blir enda mer komplekst når vi prater Private-Cloud, Hybrid-Cloud og bare Cloud. Men VMware har verktøy nå for å hjelpe deg videre!

IMG_0065

Bilde tatt fra VMworld 2015, for å illustrere at det er “All about the APPS!” og slagordet til VMware er nå “ANY!” som i praksis betyr “Any application, Any Device, Any OS…” Alt skal støttes!

Kort og godt, VMware skal hjelpe deg til bli enda mer effektiv med de ressurser du har selv, pluss hjelpe deg med å flytte ting ut i skyen via Hybrid-Cloud modellen sin. Øivind Ekeberg hos Arrow sitter med mer om dette er av interesse!

IMG_0066

Så pratet vi om noe jeg liker godt som Sikkerhets-mann.. VMware NSX!
Øivind startet med å sette agenda, at vi har per idag ikke noe problemer med Compute og Lagring, der er de fleste komfortable med virtualisering. Problemet ligger på Nettverk og Sikkerhet, som er den siste puslebiten for å få til ett skikkelig SDC (Software Defined Datacenter).
Men det å få dette inn i VMware paraplyen er ikke alltid så lett, det er svært sjeldent at de ansatte som kan VMware også driver med nettverk og vice versa.

Dette kan ofte føre til friksjon, da man fort kan bli litt redd for sin egen jobb om VMware plutselig skal “ta over” Nettverk og sikkerhet..

IMG_0067

Men frykt ikke, VMware NSX bygger på eksisterende infrastruktur, og alt vil ikke skje i noen “flyktige” virtuelle switcher man ikke kan “tuppe i ræva” når de streiker..
VMware har heller ikke funnet på noen rare sære protokoller som kun VMware folk skjønner, nei dette er ett fullgodt verktøy for de som jobber med Nettverk og sikkerhet, og vil hjelpe dem til å faktisk få oversikt i nettverket sitt. Tiden der man drar opp 10-20 Putty vinduer på SSH for å finne ut routingproblemet vil være over med NSX. Der man raskere og mer effektivt kan gjøre endringer og feilsøke!

Siterer Øivind som sa: “NSX er kanskje ikke noe alle vil bruke, men jeg tror det er lurt at alle setter seg inn i hva det er før man kaster det på båten..”
Jeg var selv skeptisk til NSX før jeg faktisk satt meg ned å leste alt jeg kom over om emnet. Og må nå innrømme at jeg nå er “frelst” på løsningen de kommer med.

 

EMC : “From Russia, with Disk”

IMG_0073

Så fikk vi høre fra Svein-Gunnar som er like fersk som meg her hos Arrow, han hadde en presentasjon om sine erfaring med å jobbe hos DnB Markets før han kom til Arrow.

IMG_0074

Først ett dypdykk i EMC sin portefølje som var mye større enn jeg trodde, her har man noe for enhver smak! DSSO i øverste høyre hjørne som baserer seg på SSD lagring med ekstrem ytelse er noe jeg kanskje skulle hatt som SAN..  der jeg oppbevarer alle mine “lovlige” filmer og serier.
Tanken er uansett at EMC kan tilby noe for enhver smak, med VPLEX på toppen som kan styre EMC og andre leverandører sitt SAN.

IMG_0077

Svein-Gunnar tok deretter å pratet om hvordan hverdagen var i DNB Markets før de fikk EMC sine løsninger på plass, der de før hadde aktiv – passiv løsning på SANet sitt kunne de nå kjøre Aktiv – Aktiv med hjelp fra VPLEX som hadde kontroll på hvordan lagring ble håndtert.
Dette gjorde det også lettere å håndtere nedetid da mye var automatisert, der man før måtte ha en SAN-ansvarlig tilgjengelig for å fail-over eller lignende.

Oppsummert så er EMC VPLEX en god investering for å bruke enda flere av de ressursene man har investert i, og for å automatisere tjenester og funksjoner som før måtte iverksettes manuelt.

Palo Alto Networks: “The Spy Who Hacked Me”

Så var det Gøran sin tur, som først delte ut M til hele salen som en god start..

IMG_0078

Bildet er hentet fra Palo Alto Sales Kickoff 2015.. 🙂

IMG_0079

Paloalto var først ute med NSX integrasjon, og er dermed de flinkeste der. Nok sagt. Er NSX noe du skal bruke, og trenger sikkerhet utover det enkle NSX leverer så ikke se lengere enn til Paloalto.

IMG_0080

Så det store spørsmålet.. Hvorfor? Hvorfor sikre nettverket? Og Hvorfor Paloalto? Hvorfor lever vi? osv osv..

IMG_0081

IMG_0082

IMG_0084

IMG_0086

Disse 4 bildene forteller en historie om fysiske innbrudd ofte etterlater seg ganske markante spor, gjerne via at det de var ute etter er borte.
Man skjønner fort når man har blitt utsatt for ett ran.

IMG_0087

Slik ser datasenteret ditt ut før innbruddet skjer via en bakdør på Windows serveren din.

IMG_0087

Slik ser det ut etter at alle dataene dine er eksfiltrert ut med FTP..

Poenget er å illustrere at man i de fleste tilfeller ikke ser når man er utsatt for innbrudd i datasenteret, så lenge man ikke har mekanismer for å oppdage det.

IMG_0089

IMG_0094

Løsningen for mange er da å sette opp en form for overvåkning på nettverket, og gjennomgang av logger (Ja, bildet referer til “logs” 🙂

Men dette er ikke bra nok, det er nødvendig med mer satsing!

IMG_0093

Symbolikken her er veldig enkel, for mange bedrifter er dette en god representasjon av nettverket deres. Det er flatt og alt kan prate med alle. Det holder da med en klient eller kaffemaskin som blir tatt, og man har i praksis tilgang til hele nettverket. Utover det å sikre trafikken inn og ut fra nettverket, må man også tenke på trafikken internt i nettverket! Hva om noen tar med en minnepinne med virus?

IMG_0092

Dette er for å illustrere at det er ikke den første infeksjonen som ofte er problemet, men hva denne igjen kan dra med seg ned av annet grums.. Derfor kan uskyldig “adware” ofte blir noe mye verre om det ikke blir håndtert.

IMG_0097

Ja, hva kan vi da gjøre Gøran?

IMG_0098

Steg 1: Segmentere, putt SQL på eget nett, vekk fra Web-serverne.. osv osv.. Kan ta tid, men start med noe!

IMG_0099

Steg 2: Tilgangskontroll.. bruk — USER-ID og få kontroll på de som er i nettverket ditt!

IMG_0101

Steg 3: Implementer pakke-inspeksjon i nettverket.. Gjerne ett produkt som ikke baserer seg på at Port 80 er web, Port 443 er SSL osv.. (Hint: Paloalto!)

Med dette implementert så kan man lage en policy på de applikasjonene man ønsker å se i nettverket sitt, hvor man inspiserer innholdet og har kontroll. Alt annet blir blokkert.
Det handler om å faktisk ta kontroll, vi godtar ikke at hvem som helst kan gå rundt i kontor lokalene våre.. hvorfor skal det være noe forskjell på nettverket?

IMG_0102

Liten slide om hvordan ting har utviklet seg, og at Paloalto er godt egnet for å beskytte de i fremtiden!

IMG_0107

Denne tankegangen får tommel opp fra meg som er glad i sikkerhet.. Veldig mange forholder seg kun til “At the internet edge” per idag..

IMG_0111

Litt om “kill-chain” fra Paloalto, det viser styrken med å sikre i lag og at de forskjellige beskyttelsene har samme kontekst. Noe som er en svakhet for de andre brannmurene, der man jobber i sekvens fremfor simultant.

Det var flere slides til presentasjonen, men jeg anbefaler alle å ta en tur å høre på Gøran\Paloalto når de forteller sin story. Den er god!

IMG_0113

IMG_0114

Deretter var det utdeling av godteposer og James Bond – SPECTRE!

Alt i alt en fin dag med mye godt faglig innhold.

Filmen får terningkast 4.. Blir alltid litt skuffet når hacker scener er totalt urealistisk.. 🙂

 

SikkerNOK 2015

Som kanskje noen vet så var Oktober “Nasjonal Sikkerhetsmåned” som tar for ser det økende behovet vi har for IT-sikkerhet i Norge.
Se på www.sikker.no for mer info

I den forbindelse arrangerte de en form for oppsummering på Høyskolen i Gjøvik, der de hadde invitert en hel del spennende foredragsholdere rundt IT-sikkerhet.
Jeg tok ett par bilder fra foredagene, og tenkte jeg kunne dele dem med dere også.

Foredrag 1 – Sikkerhetskultur bygd på kunnskap og bevissthet – forutsetning for et sikkert samfunn – Generalmajor Odd Egil Pedersen, sjef Cyberforsvaret

IMG_0023

Setter agenda, at Elektronisk kommunikasjon (Ekom) er viktigere enn alt annet. Noe de selv har opplevd i krisesituasjoner.

 

IMG_0024

Snakket om at Norge ser stadig flere angrep via digitale kanaler, og at vi må slutte å tenke på oss som “ubetydelige”.

IMG_0026

Utfordringen er den samme for forsvaret som for andre i bransjen, det er for få folk i omløp og Staten er den store taperen pga lavere lønn. Også problematisk med informasjons deling mellom private og offentlige aktører.

IMG_0025

Viser til at mye av jobben er gjort om man gjør linje 1 og 2 meget bra. I dette tilfellet betyr det opplæring og faktisk investere i automatiske systemer som kan stoppe trusler. (Ref: PALO ALTO! 🙂 )

Oppsummert så fokuserte Generalmajoren mye på forsvaret utfordringer med å bygge kompetanse, og at de er underlagt ett regime som kanskje ikke egner seg godt for informasjonsdeling og åpenhet. Noe som byr på utfordringer når man skal samarbeide med private aktører. Norge må også få hodet litt ut av sanden og tro at vi ikke blir angrepet. (Dette har jeg hørt i snart 10 år..).

Foredrag 2 – Insecure Cyberspace: Today’s Cyber Threats – Francesca Bosco, Project Officer, United Nations Interregional Crime and Justice Research Institute

Meget spennende foredrag som tok for seg trusselbildet de opplever, fullstendig uavhengig aktør som har fått mandatet fra FN for forskning på “emerging threats”.

IMG_0028

UNICRI har hatt mandatet siden 2006, men har sett økte bevilgninger siden 2010 da Ban Ki-moon tok opp problemet i en tale for Generalforsamlingen.

IMG_0029

Litt om hva som skjer per minutt på Internett, og UNICRI ser på hver eneste “action” som en mulighet for infeksjon.  Dette må kontrolleres! ( Lurer på hvilken løsning som kan det.. 😀 ).

IMG_0030

Enda en påminnelse at dette er noe som skjer alt og alle, uansett størrelse og viktighet!

IMG_0031

Litt mer om risikoen, og at den bare vokser nå som vi ser at IoT (Internet of Things), Cloud og lagring av personlig data bare øker. (Løsning: segmentering og kontroll! )

IMG_0033

Gjennomgang av topp 3 listen av trusler, der malware igjen topper. Tror dere enkle antivirus klienter klarer å stoppe 317 millioner varianter av malware? Neppe.. her trenger man AMD! (Advance Malware Detection) som f.eks Wildfire.

IMG_0034

Enda mer om Malware, igjen viser dette behovet for beskyttelse, og ikke minst god segmentering av nettverket. Kjedelig om den moderne kaffemaskinen som kjører Windows CE skal infisere hele nettverket fordi den står på samme nett som klienter og servere..

IMG_0035

Ransomware, ikke en ukjent sak for de fleste her på berget. Det var en periode der “alle” ble utsatt, og for ikke så lenge siden hadde vi “Posten” kampanjen som ble rettet mot Norske brukere. Ransomware er lukrativt, siden det er lett og spre og gir i mange tilfeller penger rett inn på konto, da mange mindre bedrifter ofte velger å betale. Mye fordi beløpene inntil videre er såpass lave. Sitet fra Francesca: “Why involve the police when you can just pay 300-500$ and be done with it. You will also not damage your company reputation.”
Viser også viktigheten av segmentering og god kontroll på trafikken som kommer inn i nettverket.

IMG_0037

Nr 2 på listen er angrep mot nettleser og nett-applikasjoner.. Noe jeg selv har sett mye av. Lurer på hvilken plattform som kan stoppe dette. 🙂

IMG_0038

Mer om nettleser angrep,  dårlig kvalitet beklager jeg. Men vi kan ta med oss at 90% av angrep baserer seg på Java. På tide at Java dør snart? Tror det..

IMG_0039

Nr 3 på listen var Botnets, så alt i alt ikke en overraskende liste. Svært mange maskiner i Norge er nok infisert med ett botnet, både privat og i bedrifter. (Hva kan beskytte oss mot C&C trafikk montro.. )

IMG_0040

Dårlig kvalitet, men de røde prikkene indikerer hvor de ser infiserte maskiner, er endel rødt i Norge også… Så dette er ett problem.

IMG_0041

Litt om profilering de har gjort av den typiske “Hackeren”, det er lenge siden at en “hacker” var en koselig fyr i en kjelleren som vil avsløre feil og rapportere dem.
Det er nå kriminelle organisasjoner og hacktivister som leder an, og denne utviklingen bare fortsetter.

Meget spennende presentasjon, som viser FN også ser på IT-sikkerhet som en utrolig viktig investering i fremtiden.

Foredrag 3 – Protecting Client Data – Lessons Learned by the Swiss Financial Industry – Prof. Dr. Hannes P.Lubich, University of Applied Sciences North-Wstern Switzerland

Ingen bilder, da jeg fikk en dårlig posisjon i salen. Men han pratet mye om hvordan bank-industrien i Sveits igjennom alle år har ligget bakpå når det kom til IT-sikkerhet.
Og at når de endelig skulle ta tak, så var tanken “Build the fence higher!” som går ut på og gjøre ting så komplekst og vanskelig at man bare gir opp.
Dette ga en lei bi effekt at bankene selv begynte å ha problemer med nettverket sitt, på grunn av alle sikkerhetsmekanismene. Dette gjorde det også svært vanskelig å innføre nettbank på slutten av 90 tallet.

Læringen jeg tok fra foredraget at det å beskytte klient data er vanskelig, men at det å teppebombe nettverket med sikkerhetsmekanismer aldri er en god løsning. Tenk helhetlig og standardiser på 2 eller maks 3 sikkerhetsmekanismer.

Foredrag 4 – Being a Doomsday Prepper – Incident Readiness and Handling in the Energy Sector – Margrete Raaum, CEO KraftCERT

Igjen ingen bilder, og jeg måtte dra halvveis inn i dette foredraget.
Men var en ting jeg mente var veldig bra sagt: “Mange bedrifter tror det å sitte “stille” på internett er nok, ingen har jo interesse for vår lille bedrift”. Dette var noe hun tok opp som en viktig problemstilling.  Og at når KraftCERT tok kontakt med mindre selskaper som hadde eksponert styringssystemer på internett så var ikke spørsmålet “Hvor?” eller “Hva?”, nei det første de nesten alltid sa var “Hvorfor?”.. Hvorfor ser dere på oss?

Dette er nok det mange tenker der ute, at de er for små, for ubetydelige og at de ikke blir angrepet. Sannheten er noe helt annet.

Oppsummering av dagen

Vil applaudere at staten organiserer slike dager som dette, det bidrar til bevisstgjøring som ofte er første steg.
Men om jeg kunne endret på noe så ville jeg også pratet om løsninger, fremfor bare problemer.
Jeg tror det var mange fra næringslivet som dro derfra med flere spørsmål enn de hadde før de kom, og jeg tror de gjerne skulle sett noen forslag til løsninger og ikke bare “Beskytt dere!!”.

 

SSL Unntak – Apple..

Jeg er veldig opptatt at vi skal inspisere trafikk som går over SSL, men dessverre er ikke alltid dette så lett. Noen tjenester og applikasjoner er hardkodet til å kun godta ett eller flere spesifike sertifikat.

Apple er en av de som har laget applikasjonene sine slik, de godtar kun Apple sine SSL-sertifikat.
Dette betyr at at hvis man har SSL-inspeksjon aktivert så vil mest sannsynlig alt av Apple enheter stoppe å synke mot sine tjenester, det er sjeldent populært i det fine landet vårt Norge, der alle skal ha tilgang til alt hele tiden 🙂

Men ta det med ro! Jeg har en rask og god løsning for å sikre videre funksjon for Apple enhetene dine!
Vi må rett og slett lage en egen regel i SSL-inspeksjon regelsettet for å unnta trafikk mot Apple sine tjenester.

Steg 1:
blogg_custom_apple_ssl_url

Gå til Objects->Custom Objects->URL Category
Trykk “Add”

Steg 2:
blogg_custom_appel_ssl_url_1
Skriv navn på kategorien og gjerne en beskrivelse til senere.
Trykk på “Import”

Steg 3:

Last ned min tekst fil med unntakene du trenger: apple_ssl_unntak
Deretter finner du stien du lastet den ned til og importerer den.

blogg_custom_appel_ssl_url_2

Du vil da få opp dette vinduet om alt gikk som det skulle:

blogg_custom_appel_ssl_url_3

Trykk “Ok” for å lagre.

Steg 4:
Gå til Policies->Decryption
Trykk “Add” for ny regel, fyller inn det du trenger av info, og under “Service/URL Category” henter du opp din nylagede URL Kategori:

blogg_custom_appel_ssl_url_4

Deretter kan du lagre regelen. (No decrypt er standard ved ny regel)
Min regel ser da slik ut:

blogg_custom_appel_ssl_url_5

Trykk deretter “Commit” så vil forhåpentligvis Apple produktene starte å kommunisere slik de skal med tjenestene sine!

 

NB NB! Det kan hende at adressene endrer seg over tid, jeg skal prøve å holde den oppdatert, men jeg setter pris på en kommentar hvis noen vet om flere adresser som må med. Dette fungerte for meg per 27.10.2015.

MigrationTool

MigrationTool er ett verktøy som alle som har eller vurderer Palo Alto Networks bør vite om!

Hva det gjør ligger litt i navnet, det er ett verktøy for å hjelpe deg å migrere fra andre leverandører som Checkpoint, Cisco, Fortinet med mer.
Dette gjør prosessen med å migrere svært enkel, og man ved svært få klikk ha en fullt fungerende Palo Alto konfigurasjon basert på de gamle reglene.

Men jobben er ikke over etter at man har gjort en direkte migrering, det er da verktøyet faktisk viser sin store styrke. Det kommer jeg tilbake til i en senere post!

Inntil videre så anbefaler jeg å laste ned verktøyet her.
Det er en virtuell maskin som kan kjøres i VMware ESXi eller VMware Workstation/Player.