Men i dagens moderna utvecklingssamhälle där all information i alla företag samlas i dess IT-system är det långt ifrån bara militär hemlig information som dagens "spioner" vill komma åt

Idag är det produkt- och företags-information i alla branscher som är "målet" för industrispionage

Och efter hand som företag blir bättre på att skydda sina miljöer från intrångsförsök utifrån ökar istället riskerna med insiders och andra interna hot

Flera exempel på hur sådana attacker kan gå till skrevs nyligen i en artikel på E24.se "Svenska spionjägare" 2010-07-19

Särskilt intressant i den artikeln är att de "spionerande" konkurrenterna idag upplever det svårt att "hacka" sig in hos den de vill komma åt information hos och skaffar sig istället hellre "en man på insidan"

En viktig målgrupp för detta är personal på IT-avdelningen

Fortfarande har många tekniker och service-personer på IT-avdelningen mycket höga rättigheter till de flesta system och känslig företagsinformation som varken övrig personal eller höga chefer kan komma åt normalt.

Därför är det idag mycket viktigt att ta tag i detta problem med behörigheter hos er egen IT-personal

Dessa behörigheter skall följa två mycket viktiga principer:
- Segregation of Duties, SoD
- Least privileged principle (inte mer rättigheter än vad som behövs för att sköta sitt uppdrag)

Grundprincipen för en bra säkerhet är att normalt skall ytterst få personer ha permanenta priviligierade behörigheter till hela eller delar av produktionsmiljön där känslig information finns.

Naturligtvis skall personer få de behörigheter de behöver, när de behöver dem, men inte ha dem hela tiden

Hur bör man då hantera detta:

- Process och verktyg för att ta beslut om ändringar i produktionsmiljön som bygger på SoD och ser till att ingen enskild person kan ta beslut om ändringar i produktionsmiljön. Detta kan vara olika typer av system för "Change Management" eller "Ärendehantering" som bygger på ITIL-principer

- Process och verktyg för "Privileged Access Management", PAM. som baseras på beslut från Change-processen och som tilldelar IT-personal och utvecklare tillfälliga priviligierade rättigheter till de berörda systemen för att genomföra den beslutade ändringen. Dessa behörigheter stängs sedan när ändringen är genomförd eller efter en förutbestämd tid.

- Process och verktyg för säkerhets-loggning. De beslut som tas om ändringar, de rättigheter som delas ut och de ändringar som genomförs i produktionsmiljön skall alla loggas så att man får en spårbarhet på ändringar i produktionsmiljön och kan se när felaktigheter uppstår i processen och man kan spåra när något har gått fel. Detta är inte enbart för att "hänga någon" utan kanske mest för att en mycket stor del av problem på IT-sidan orsakas av fel som görs oavsiktligt vid uppdateringar och ändringar.
Genom spårbarheten kan man snabbt hitta orsaken till problemet och fixa till den och därigenom kraftigt minska påverkan på drift av systemen och verksamheten

Ett typiskt exempel på en tekniker med för höga rättigheter gör att han kan kopiera eller ändra data i en databas eller byta ut ett program/installera ett malware-program och sedan radera information om att detta gjorts i loggfiler eftersom hans "admin-rättigheter" inte är begränsade i omfattning eller tid.

Det kanske intressantaste (?) är att hela checklistan börjar med (och innehåller uteslutande) tekniken, vilket förstås är helt fel!

Första punkten måste alltid vara utred behoven och förväntningarna – att börja i den tekniska änden kommer alltid att sluta i tårar!

Det ses fortfarande på många företag som en funktion som dels är okänd, dels är något för "IT-nördarna" på driften att grotta sig i och dels något helt obegripligt som man helst håller sig borta från

Ett bra citat om hur viktigt det är med att ta loggning på allvar är uttalat av författaren Anton Chuvakin i boken "Beautiful Security" (ISBN: 978-0-596-52748-8, april 2009) där han skriver:

There are many other mechanisms for accountability in an organization, but logs are the mechanism that pervades IT.
And if your IT is not accountable, neither is your business. Thus, if you tend to not be serious about logs, be aware that you are not serious about accountability.
Is that the message your organization wants to send?

Numera börjar det finnas riktigt kompetenta och avancerade logghanteringsystem som ger ett företag möjlighet att ta hand om och samla in sina loggar, normalisera dom och koppla alla händelser i sina system till individer

Dessa loggsystem ger som utdata en mängd olika nyttoeffekter såsom:
- Spårbarhet i systemen, vem gör vad och när.
- Larm vid brott mot satta policy-regler
- Snabbare felsöknings- och åtgärdstider vid haverier och problem
- Bättre stöd åt heldesken i deras verksamhet
- Uppföljning av status i alla anslutna IT-system på företaget avseende patchar, antivirus, brandväggar, felaktiga konfigureringar, felaktigt uppsatta konton etc etc etc
- Verktyg för att kontrollera och rapportera om "compliance" för t.ex PCI DSS, SOX, BASEL II, ISO 27002/17799 och andra styrande regler för olika företag i olika brancher

Nyttan av ett avancerat logghanteringssystem är stor hos flera delar av ett företag:
- Verksamhetsansvariga
- IT-chef
- IT-driftavdelningen
- Helpdesken
- IT-säkerhetsansvariga
- Internrevisorer
- Externa revisorer
- IT-revisorer

Ett sådant mycket kompetent system för logghantering syftande till spårbarhet är ArcSight.

Det används bl.a i Sverige idag på Skatteverket

Här följer ett utdrag

"Security – Activity Monitoring. Traditionally, security has focused on putting up a perimeter fence to keep others out, but it has evolved to monitoring activities and identifying patterns that would have been missed before. Information security professionals face the challenge of detecting malicious activity in a constant stream of discrete events that are usually associated with an authorized user and are generated from multiple network, system and application sources. At the same time, security departments are facing increasing demands for ever-greater log analysis and reporting to support audit requirements. A variety of complimentary (and sometimes overlapping) monitoring and analysis tools help enterprises better detect and investigate suspicious activity – often with real-time alerting or transaction intervention. By understanding the strengths and weaknesses of these tools, enterprises can better understand how to use them to defend the enterprise and meet audit requirements."

Läs mer om detta hos Gartner

Rick Caccia, ArcSight och Patrick Harding, Ping Identity håller en gratis Webinar där de diskuterar “best practices” för  bättre säkerhet och “compliance” i molnet.

Läs mer och registrera

,