Tråd: Sikre kundesystemer over nett. VPN/Firewall
View Single Post
nomore
1.739
19. januar 2019
Du må avklare det reelle trusselbilde, hva dere ønsker og oppnå og hvilke risikoer dere har.

At maskiner som ikke er koblet til internet er trygge og isolerte for virus og skadevare er en veldig vanlig misforståelse. De er ikke like utsatt for vilkårlige angrep, men har definitivt en risiko for å bli angrepet og smittet de også. En vanlig årsak til dette er at en slapper litt mer av med de, da en har en misforstått tro på at de ikke kan infiseres - eks ved å ikke ha sikkerhet på maskinene i det hele tatt(det tar jo ressurser?). Sikkerhet må dere tenke på uansett, i alle ledd.

En annen veldig vanlig feil å gjøre er å tenke "vi har ikke data eller systemer andre er interesserte i - og derfor trenger vi ikke sikkerhet". Nei, ofte er ikke leverandørene i seg selv så veldig interessante, men kundene er det. Klarer en angriper å komme seg inn til dere så kan de og få tak i systemene deres. For eks ved å infisere serverene deres eller servicemaskinene dere har, som så infiserer de andre systemene når de prater med hverandre, enten via direkte kontakt eller via lagringsenheter. Hvilke systemer har dere på plass for å forsikre dere om at løsningen dere leverer ikke er infisert? Skjult i egenprodusert kode? Infisert i programvare dere bruker og stoler på?

Og hvorfor stole på 4G modemer? De kan være infisert med skadevare de og, eller sårbare for angrep. For å ikke nevne servicemannskap som glemmer å koble det fra etter bruk. Ja, det står i en prosedyre og ei sjekkliste - men du kan ikke utelukke potensiale for at det kan skje.

En tilsvarende løsning jeg er kjent med i fra bransjen jeg jobber i har et isolert nettverk installert som kun skal ha ekstern kommunikasjon ved feilsøking, service og oppgraderinger. Her er det en fysisk bryter som befinner seg i nettverket til utstyret som må aktiveres for å tillate ekstern kommunikasjon. Når denne slås på opprettes det en kryptert VPN tunnel mot leverandøren samtidig som det aktiveres en visuell alarm som minner mannskapet på at denne er aktiv. Fortsatt en risiko for at den blir glemt, men de som fører tilsyn med leverandøren(og oss) har godkjent dette som en ok løsning. I tillegg er det sikkerhetsløsninger i systemet selv om det ikke er ekstern kommunikasjon, og USB/lagringsenheter er blokkert ute fra alle maskiner.

Min anbefaling er å ta kontakt med et konsulentselskap som kan jobbe med dere og se på sikkerheten i sin helhet, og komme med anbefalinger. Det hjelper ikke å bruker 2 mill på sikkerheten ombord på flyene dersom kontoret deres er full av sikkerhetshull.