2022-02-14

Kig i krystalkuglen: 6 udfordringer du som CISO skal holde øje med i 2022

I Atea Security arbejder vi oftest tæt sammen med CISO (Chief Information Security Officer), når vi rådgiver virksomheder i både den offentlige og private sektor. CISOs ansvarsområde spænder vidt - fra implementeringsprojekter over datasikkerhed til security compliance.

Søren Haven Vice President, Atea Security

Som den overordnede ansvarlige for Informations- og Cybersikkerhed kigger CISO i dag ind i et vanskeligt trusselsbillede.

I dag taler vi om vigtigheden i at anlægge en ’assume breach’-tilgang til it-sikkerhed, hvor den enkelte CISO arbejder ud fra devisen: ”Der er - eller har tidligere været - uønskede aktører inde på virksomhedens netværk”. Derudover bliver CISOs arbejdsopgaver løbende mere og mere komplicerede, fordi mange virksomheder i stigende grad placerer systemer og data i cloud. Dermed driver organisationerne reelt et hybridt miljø, hvilket kræver et stærkt overblik og de rette kompetencer og ressourcer.

I nedenstående liste giver jeg et bud på, hvad CISO skal være særligt opmærksom på for at navigere virksomhederne sikkert og styrket gennem 2022.

1. Hvordan er vores kritiske data fordelt/udsat?

De færreste virksomheder har kontrol over, hvor deres mest kritiske data befinder sig – desværre! Det betyder nemlig, at noget af denne data ligger ude hos (tilfældige) brugere eller på åbne ’network shares’, hvor de ikke er beskyttet af passende stærke sikkerhedskontroller.

Mange af de ’data discovery’- øvelser, Atea har hjulpet danske virksomheder med, viser netop, at data ’flyder’. Ofte kan test- og udviklingsdata findes på shares, hvor de er mikset sammen med produktionsdata. Dét kan have vitale og alvorlige konsekvenser for en virksomhed, uanset om man er offentlig eller privat drevet. Konsekvensen stikker blot i forskellige retninger. Der kræves et målrettet stykke arbejde med de rette sikkerhedsløsninger og velbeskrevne sikkerhedsprocesser for at komme dette problem til livs. 

2. GDPR - Schrems II dommen

Danske kommuner og offentlige myndigheder sidder i en vanskelig situation. Det har de gjort siden EU-domstolen med Schrems II-dommen tilbage i sommeren 2020 erklærede Privacy Shield for ugyldig. 

Problemet ligger i amerikansk lovgivning, nærmere bestemt FISA, som forpligter amerikanske virksomheder til at udlevere persondata til amerikanske myndigheder. At Microsoft, Google o.l. opretter datacentre inden for EU’s grænser afhjælper ikke problemet, da disse virksomheder er underlagt amerikansk lovgivning uanset, hvor i verden de opererer. Så datasikkerhedsmæssigt er CISOs udfordret mht. valg af cloud udbydere.

3. Supply chain-angreb og styring af underleverandører

Solar Winds/Orion-sagen fra 2020 viste med al tydelighed, hvor sårbart det er, når virksomheder udviser blind tillid til deres systemleverandører. Vi husker det helt tilbage fra 2011, hvor RSA SecurID blev kompromitteret og derefter udnyttet af kinesiske hackere som en effektiv indgang til netværk hos blandt andet leverandører af kritiske forsvarssystemer.

CISOs er over tid blevet mere opmærksomme på denne type trussel og nødvendigheden af, at virksomheden stiller større krav til sine systemleverandører. I CIS-rammeværkets nyeste rel. 8 optræder derfor en ny sikkerhedskontrol, som netop repræsenterer krav om en mere stringent styring af underleverandører og disses sikkerhedsniveau. Formålet er selvfølgelig at minimere denne angrebsvektor.

4. APT/Ransomware

Selvom hovedparten af de angreb, der har været mod installationer med en sårbar log4j-komponent, har været med coin-mining for øje, så har en markant andel også efterladt en stage2-bagdør. Her ligger de dormant/inaktive til et senere tidspunkt, mens andre allerede er anvendt til data-exfiltrering, industrispionage og ikke mindst - en afsluttende ransomware-inficering!  

Selvom sårbare systemer har været patched, så kan der i perioden fra sårbarheden blev ’weaponized’ til systemet blev patched, have været mulighed for at lægge en stage2-bagdør. Og selvom der ikke har været aktivitet, betyder det ikke at den ikke er brugbar. Tværtimod kan den gemmes til fokus igen daler på sikkerheden i systemerne. Hvor systemer med direkte internetadgang har været primær risk for inficering, kan bagdøre på ikke-internet-vendte systemer også være en risk, afhængig af modenheden i sikkerhedssetup’et.

5. ZeroTrust og Segmentering/Segregering

WannaCry var en orm/selvpropagerende malware, og der var også ved at blive udviklet en lignende til log4j. Både den selvpropagerende malware, men også de almindelige infektioner, kan i høj grad modvirkes eller minimeres kraftigt ved en ZeroTrust tilgang og/eller almindelig segregering.

Ved de fleste angreb mod sårbare systemer (fx som ved log4j eller Solar Winds) er angriberne afhængige af at kunne hente en ’second stage’ fra et af deres arkiver. Det sker oftest ved, at man ved angrebet får udløst en automatisk hentning af second stage malwaren via sårbarheden. Ved kun at tillade trafik mod forventede destinationer på forventede porte kan man fjerne størstedelen af truslerne især for de opportunistiske/ikke-målrettede angreb. Samtidig kan ZeroTrust også være med til at sikre at malware-infektioner, uanset om det er selvpropagerende eller bagdøre o.l., begrænser skaden. Hvis der enten er manuel eller automatisk ransomware indblandet, vil mængden af systemer og data, der kan rammes, automatisk være meget mere begrænset. Det giver bedre mulighed for at opdage forsøgene tidligt i forløbet.

6. Angreb mod OT/IoT-miljøer

Angreb mod OT sker ofte fra IT/Enterprise-siden, og beskyttelsen af det og segregeringen fra IT-miljøet er essentiel for beskyttelsen af OT-miljøer. OT har et behov for et meget statisk miljø, hvor der typisk kan være længere mellem patch-cycles. Der kan også være et noget længere ’time-span’ fra udgivelse af patches til faktisk patching. Dette kan skyldes behov for testning eller at udstyret ikke får de nødvendige sikkerhedsrettelser generelt set. Det viser også vigtigheden af andre sikkerhedstiltag i OT, der markant kan mindske risikoen for at miljøet bliver ramt -  også selvom impact ikke kan ændres. IoT bruger anderledes protokoller end OT og er ofte connected direkte i cloud’en, hvilket igen kræver en anderledes sikkerhedstilgang.