Nyckelinsikter:

  • Skydd av klienter stannar oftast vid åtgärder inom området förhindra vilket ger ett otillräckligt skydd
  • Åtgärder finns även inom områden upptäcka (e.g. loggar) och åtgärda (e.g. incidenthantering) 
  • Kunskap om angreppskedjan kan användas för att dimensionera och planera en lämplig sammansättning av skyddsåtgärder
  • Ingenting ersätter ordentlig förståelse för vad som skyddar mot vad på och vilket sätt, kunskap är makt

Klienten är i de flesta cyberangrepp knutpunkten för angriparens aktiviteter. Det är vanligtvis här det finns en användare att lura. Det är här som angriparen vill få kod att exekvera. Det är från klienten angreppet förflyttas mot närliggande och tillgängliga servrar.

Ändå, vill jag hävda, är skyddet hos många företag och organisationer underdimensionerat, särskilt om vi beaktar hur viktig klienten är för att kunna lyckas genomföra ett cyberangrepp.

Därför vill jag i detta inlägg särskilt belysa klientens många olika dimensioner av möjliga skyddsåtgärder. Framförallt vill jag inspirera dig till att tänka en extra gång kring på eventuella skyddsåtgärder som kanske saknas.

Vad är en klient?

Innan jag fortsätter skriva om hur du bör skydda en klient, låt mig först förklara vad jag menar med en klient. Den kanske mest uppenbara klienten är dator som används av en användare, typ bärbar eller stationär dator. Men så finns det ju mobila enheter (mobiltelefoner, plattor, klockor etc.), och alla dessa herrejösses-många IoT-enheter. Vidare kan ett IT-system vara klient till ett annat osv.

För det här inlägget tänker jag dock använda klient som likställt med bärbar eller stationär dator. Alla de andra klient-typerna får jag lov att diskutera i ett framtida inlägg.

Förutsättningar

När det gäller säkerhet handlar det många gånger om hur väl du känner ditt nätverk och kommunicerande enheter. Om du har god förståelse för normala kommunikationsflöden, förväntade programexekveringar och en generellt sett god förståelse för dina användare och deras behov blir säkerhetsarbetet enklare. Kanske lite Duuhh känsla här…

Varför skydda klienten?

Kan du inte skydda klienten, kan du inte skydda organisationen. När angriparen väl äger en av dina klienter är spelet nästan slut, det är bara en tidsfråga innan förflyttningen till andra klienter och servrar är genomförd. Angreppet är så gott som fullbordat om angriparen får åtkomst till en klient.

Beakta också den framtid vi uppenbarligen är på väg in i, eller egentligen redan är i, med molntjänster och applikationer huserade hos diverse bolag. Ett företags IT-infrastruktur har istället blivit en löst sammanlänkad skara användare och klienter. Servrar, applikationer och andra tjänster finns utanför företagets kontroll. Klienten är den fortsatta och ständiga förbindelsen mellan företaget och detta externa moln av infrastruktur.

Och i framtidens Zero Trust-arkitekturer blir klienten än mer viktig att skydda. Det finns helt enkelt ganska många anledningar att bygga en säkerhetsarkitektur som fokuserar på skyddet av klienten. Betraktat ur vad verkligheten gör gällande avseende antagonistiska angrepp är det i stor utsträckning mot klienterna som angreppen riktas; den många gånger svagaste länken.

Förutspå, Förhindra, Upptäcka, Åtgärda osv.

Skyddsåtgärder vi kan använda oss utav kan generellt sett placeras i en eller flera kategorier. Dessa kategorier ger en grov indikation på vilken typ av skydd åtgärden den i huvudsak ger. En skyddsåtgärd skulle exempelvis kunna kategoriseras som förhindrande. En regel i brandväggen är en typiskt förhindrande åtgärd, stoppa något från att överhuvudtaget hända.

Ett intrångdetekteringssystem (IDS) är en uppenbart upptäckande skyddsåtgärd. Precis som att loggar i ett system inte förhindrar att något sker ger de oss istället en möjlighet att upptäcka eventuella konstigheter.

Och om vi ändå lyckas trilla igenom hela kedjan av skyddsåtgärder landar vi slutligen i åtgärda där backuper är en typisk åtgärds… åtgärd. Återställning är ett annat ord för att beskriva det.

Det finns mängder av möjliga skyddsåtgärder men de kan oftast placeras i en eller ett fåtal av dessa kategorier. Vi använder kategoriseringen för att få en känsla för hur väl avvägt skyddet är. Ett skydd med huvudsakligt fokus på förhindrande åtgärder blundar för verkligheten om att ett angrepp lyckas.

Dimensionera och planera skydd

Det är i det här läget jag borde förespråka användandet av hotanalyser för att kartlägga och identifiera vilka hot du ska skydda dig ifrån. Men, analysen är så pass enkel att jag skippar det. Skadlig kod behöver få fotfäste och det sker utan större tvekan oftast på en klient. Skyddet behöver utgå ifrån att vissa grupper av skadlig kod kommer att kunna förhindras, vissa typer behöver du upptäcka att de redan exekverar och för ett fåtal behöver du acceptera att det inte finns någon återvändo bortom återställning.

Börja så här

När du planerar ett skydd av klienten ska du börja med att besvara följande frågor:

  1. Inom vilka kategorier av skyddsåtgärder har jag representation? (eg. förutspå, upptäcka, förhindra, återställa)
  2. Alternativ till (1) är att ställa dig samma fråga fast ur perspektivet cyber kill chain.
  3. Ett alternativ till (2) är att gå ännu djupare och börja kolla på MITRE ATT&CK och titta närmre på varje kategori.

Detta blir den något antiklimaktiska avslutningen på det här inlägget. Det finns inga genvägar. Det finns inga enskilda produkter som ger dig allt. De enda riktiga verktygen du har till ditt förfogande är att ge dig själv förståelse för hur cyberangrepp genomförs, och vad angriparna gör i varje steg. Därefter kan du dimensionera och planera ditt skydd.

Om det finns intresse kan jag givetvis djupdyka i någon av dessa kategorier av åtgärder eller kanske i mer detalj beskriva specifika händelsekedjor som illustration för ett cyberangrepp. Hör av dig.