CIS Controls version 7 - Åtgärd 12 - Perimeterskydd - (12/20)

Friday, June 28, 2019

FörsvarVägledningCIS Version 7.0

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Detta är en artikel i en serie om CIS Controls version 7 och denna artikel handlar om förmågan kunna försvara sina organisations olika nätverk. Övergripande handlar det om att ha kännedom om alla de nätverksmässiga gränsytor som finns.

Nyckelinsikter

  • Ett skyddat nätverket börjar med förståelse för nätverket som ska skyddas. Känner du till samtliga exponerade tjänster, gränsytor mellan zoner och hur enheter kommunicerar med Internet?
  • Några få åtgärder kan ge stor effekt; filtrerad utgående trafik, autentiserad “surf”-proxy och vitlistade applikationer på klienter.
  • Vänta med IDS/IPS om ni saknar en SOC. De flesta säkerhetsverktyg kräver handpåläggning och aktiv DAGLIG övervakning. Det går inte att köpa, installera och glömma bort.

Inledning

Inom militären används begreppet Operational Environment (OE). Det är en samlande beskrivning av omständigheter, omgivning, förhållanden eller annat som påverkar beslutsfattandet. I sammanhang av den här förmågan om perimeterskydd tycker jag att begreppet är vettigt att använda.

Vår OE består av de zoner vi har, de system vi exponerar som möjliggör åtkomst till interna zoner (tänk VPN), eller andra former av system som på något sätt flyttar information/data mellan nätverkssegment (tänk “surf”-proxy). Eftersom de flesta av oss befinner sig i Sverige blir en del av vår OE antaganden om vilka nätverksmässigaattacker vi troligen kommer att se.

OM CIS-åtgärden

Det finns en hel del åtgärder inom den här förmågan, totalt 12 stycken. Jag vet inte om CIS egentligen menar att numreringen skulle vara en prioriterad ordning, men jag håller inte med om ordningen. Jag skulle vilja rekommendera att åtgärd nummer 9 prioriteras först och främst, i kombination med 4. Därefter kan nummer 2 vara vettig för att upptäcka så att inte någon toknisse konfigurerat en RDP-server med endast användarnamn och lösenord.

  1. Upprätta och underhåll en lista på vilka nätverksmässiga gränsytor som finns inom organisationen.
  2. Genomför regelbundet scanningar mot nätverken för att upptäcka nya och otillåtna exponerade nätverkstjänster.
  3. Neka kommunikation från kända “skadliga” IP-adresser.
  4. Blockera kommunikationsflöden över TCP/UDP-portar, både utifrån och inifrån, som inte är explicit tillåtna.
  5. Konfigurera övervakningssystem att spela in nätverkstrafik.
  6. Använd Intrusion Detection Systems (IDS).
  7. Använd Intrusion Prevention Systems (IPS).
  8. Samla in Netflow.
  9. Säkerställ att all nätverksinformation till och från Internet passerar en autentiserad applikationslager-proxy som nekar icke-godkända anslutningar.
  10. Dekryptera all nätverkskommunikation i proxyn.
  11. Kräv att alla fjärrinloggningar använder krypterad kommunikation och flerfaktors-autentisering.
  12. Innan en anslutande enhet accepteras in i nätverket scanna enheten och säkerställ att den uppfyller organisationens säkerhetsregelverk.

Åtgärdens målsättning

Det är tämligen uppenbart vad målsättningen vill uppnå. Du ska ha kontroll på ditt nätverk och veta vilka exponeringsytor du har, vilka tjänster som möjliggör anslutningar mellan, till och från din organisations olika nätverk. Skydda de “ytor” som angränsar Internet och mellan olika zoner.

Införandet

Steg 1 - Avgör mognad

Jag skulle misstänka att detta kanske är en av de åtgärdsområden som många har OK koll på. Det handlar trots allt om perimeterskydd och det har ju länge varit populärt. Även om det senaste och hetaste är att prata om Zero Trust Networks , men det är inget jag tycker du ska fokusera på just nu. Läs gärna om det, men kom sedan tillbaka hit.

Mognadsnivå Kriteria
Ingen förmåga Vi är typ en startup. Anställda kopplar upp sig mot vår trådlösa router. Det finns ett nätverk, vi har en NAS, men nätverkssäkerhet? Vi har ett AV… tror jag?
Grundläggande förmåga Vi har ett nätverk, och har ett DMZ och en intern zon. Kanske har vi också delat upp det interna nätverket i klienter och servrar. Vanliga klienter kommer endast åt de servrar som faktiskt tillhandahåller några applikationer/tjänster som användarna behöver. Vi har en brandvägg mot Internet, men är tämligen tillåtande av trafik från interna zoner mot Internet.
God förmåga Utöver vad som nämns i den grundläggande förmågan har vi också en fokalpunkt för all internetåtkomst från interna zoner. Klienter måste surfa mot en proxy och autentiseras med hjälp av kerberos. Vi utför regelbundet scanningar av våra publika nätverk för att identifiera nya, icke-godkända, tjänster/servrar.
Gudomlig Internetåtkomst, skulle inte tro det? Vitlistade applikationer på klienterna, strikt kontrollerad åtkomst med lokala brandväggsregler baserat på exekverande process. Nedladdningar detoneras och analyseras dynamiskt i “sandboxes”. DNS-uppslag görs inte på klienterna utan i proxy. Servrar får inte prata med internet alls, om det inte uttryckligen finns ett godkännande och behov. NAC, NAP, PAP, TRAP, KAP. Finns det en bokstavskombination för ett skydd har vi infört det. Alternativt lever vi i en bunker med noll åtkomst till Internet.

Steg 2 - Påbörja införande

De flesta står inför utmaningen att ta tag i något som redan finns och är konstruerat. Det är sällan vi får möjlighet att bygga upp något nytt från grunden. Så hur gör vi det bästa av situationen?

  1. Börja med att kartlägga er publika exponeringsyta. Vilka system och applikationer är tillgängliga från Internet? Vilka typer av VPN/fjärrskrivbord har ni? Det handlar om att förstå och känna till vilka vägar “in” som finns mot er organisation.
  2. Säkerställ att allt som är exponerat ska vara.. exponerat.
  3. Därefter skulle jag rekommendera att ni placerar en proxy för all utgående nätverkskommunikation. Alla klienter ska konfigureras för att använda surfproxyn. Detta bör ni kombinera med att vitlista vilka applikationer som ska få använda proxy. Läs det här inlägget för att förstå mitt resonemang.
  4. En annan vettig åtgärd är att faktiskt begränsa utgående kommunikation också. Många väljer att blockera från Internet, men det är även av vikt att blockera vad som försöker nå Internet och på vilket sätt.
  5. IDS/IPS-införande är ett större jobb. Det förutsätter en hel del av organisationen. Ni behöver rimligen ha någon som faktiskt rattar maskinerna, aktivt och DAGLIGEN kontrollerar loggar och händelser. Det bör alltså finns en SOC. Har ni inte en sådan blir många verktyg ganska värdelösa. Köp tjänsten om ni inte kan bygga egen SOC.
  6. Inspelning av trafik är fint, men det förutsätter också att ni har möjlighet att hantera detta. Vilka flöden ska ni spela in? Hur lång tid behöver ni lagra det? Hur mycket kan ni lagra? Det är inte så att man bara “börjar spela in”. Det kan snabbt genereras stora mängder data. Inspelning av trafik behöver göras med en plan i åtanke…

Steg 3 - Mäta effektivitet

… behöver jag säga det? Mäta nyttan är svårt.

  1. Hur många skadliga domäner och IP-adresser har era klienter försökt att kommunicera med den här veckan? Vet inte säger du? Bra, då har du en baseline. Ni har inte koll, det är bättre att veta det än att inte veta.
  2. Hur många intrångsförsök har genomförts mot era VPN? RDP? Vet du inte det heller? Bra, ytterligare en baseline.
  3. Försök införa någon åtgärd, t.ex. blockera vissa portar/kommunikationsförsök TILL Internet. Hur många blockerade anslutningsförsök får ni? Är någon av dessa skadlig kod? Vet ni varför program X försökte prata med IP/domän Y?
  4. Om ni lyckas införa proxy med DNS-filtrering. Hur många av de domäner klienterna ville prata med är skadliga?

Det finns givetvis många fler variationer och enklare mätningar ni skulle kunna göra. Men förhoppningsvis kan detta tjäna som lite inspiration. Lycka till!

Sammanfattning

Nätverket. Det är ditt, eller? Har du koll på vilka VPN/RDP-tjänster som finns exponerade utåt? Har ni koll på hur information flödar mellan olika nätverkssegment, eller hur användare får åtkomst till Internet? Att skydda nätverkets olika gränsytor mot Internet eller andra betrodda partners kräver en del arbete. Men angripare kommer onekligen att försöka sig på att utnyttja publikt exponerade tjänster som inte är tillräckligt skyddade. Kanske kan de få ett fotfäste i ert DMZ och förflytta sig längre in pga andra nätverksmässiga brister.

I den här åtgärden har vi behandlat hur nätverket skyddas och vilka åtgärder som kan vidtas för att uppnå denna målsättning.

FörsvarVägledningCIS Version 7.0

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Har du läst dom här?

MITRE ATT&CK: Valid Accounts (T1078)

Projekt: Applikation och system för arbete med underrättelser i cyberdomänen