Ikke en uke går uten at man kan lese om at sensitiv personinformasjon kommer på avveie, og det rammer offentlige såvel som private aktører. Hva gjør Stix for å sikre våre egne og kunders data?
Sikkerhetsmåneden som var i oktober er for lengst bak oss og mange har nå gått tilbake til «business as usual». Glemt er mange av de gode tipsene rundt IT-sikkerhet fra NSM, NorSIS, private aktører og andre som tar på alvor å informere både publikum og tjenestetilbydere om viktigheten bak god personlig og operasjonell sikring.
De av oss som jobber med kritiske systemer og forvalter sensitive data må nødvendigvis ha et litt annet forhold til sikkerhet. Det er rett og slett ikke godt nok med «skippertak». Vi må tenke på sikkerhet hver dag og i alt vi gjør. Vurderingene som vi gjør gjelder selvsagt alle løsninger som vi lager selv, men må også dekke ulike ting som våre systemer er avhengig av. Dette er for eksempel både rene systemavhengigheter og eksterne tjenester som våre systemer er knyttet mot og kommuniserer med.
Vi må se på om interne såvel som eksterne systemer kan utnyttes direkte, eller om man ved å manipulere forskjellige systemer i kombinasjon får til en situasjon der man blir sårbar. Det vurderes om vi eksponerer for mange deler av tjenestene våre eller om akkurat nok er eksponert. Informasjon vi publiserer kontrolleres for å avdekke om vi gir fiendtlige aktører for mye informasjon om oss. Trafikkmønster må hele tiden analyseres for å se om noen er i prosess for å samle informasjon om oss eller om det er aktive angrep på gang.
Realiteten er at vi og mange andre er under angrep absolutt hele tiden. Så lenge man vet om og aksepterer dette blir det mye lettere å jobbe konstruktivt med generell IT-sikkerhet, operasjonell sikkerhet og informasjonssikkerhet. Dog, selv om vi tar dette arbeidet på største alvor vil vi som mennesker aldri kunne klare å gjøre denne jobben perfekt. Da er det veldig godt å kunne støtte seg på gode hjelpere.
Som del av det kontinuerlige sikkerhetsarbeidet vårt har vi hentet inn eksterne eksperter som med større faglig tyngde og med et annet verktøysett kan evaluere sikkerheten vår. De flinke folkene i River Security har satt seg i bandittenes sko og kikket oss i kortene fra utsiden. River Security er et selskap med ekstremt dyktige og motiverte sikkerhetsfolk, med et fokus på offensiv sikkerhet eller «Red Team» som det heter på fint. Vi liker bare å kalle dem for snille banditter.
Formålet med øvelsen har vært å finne ut blant annet:
- Har vi angrepsflater vi ikke kjente til?
- Har vi sårbarheter vi ikke kjente til?
- Lekker vi informasjon vi ikke skal?
- Hva kan vi gjøre for å sikre oss enda mer?
Totalt ble 10 ulike domener gjennomgått, 89 subdomener, 87 applikasjoner analysert samt et antall ulike IP-adresser ble probet. Av rapporten deres kan vi lese at vi faktisk ikke hadde gjort en så dårlig jobb med sikkerheten, noe som vi selvsagt er både fornøyd med og glad for. Samtidig er det enkelte ting som har blitt avdekket som vi så absolutt må adressere. Noe visste vi egentlig om, mens andre ting var nye for oss.
De mest vesentlige tingene som ble avdekket var:
- enkelte tredjeparts applikasjoner kjørte for gamle versjoner, så disse må oppgraderes.
- noen av våre interne verktøy er tilgjengelig via internett men trenger ikke være det, så de skal vi låse ned.
- noen applikasjoner er sårbare for «User Enumeration Attack» og må endres slik at dette hindres.
- ikke alle domener har definert CSP, HSTS, SPF, DKIM og DMARC. Disse må få dette etablert.
Det var riktignok ingen kritiske sårbarheter og ingen tilfeller av data eller intern konfigurasjon / logger som lekkes. Ett punkt i rapporten er klassifisert til medium alvorlighetsgrad og løses ved en enkel oppgradering, og resten av punktene er det vi kan kalle for rene «hygiene-punkt» med lav alvorlighetsgrad.
Å la noen utenforstående kikke en i kortene er definitivt nyttig, og samtidig rimelig spennende. Ved å bruke eksterne eksperter til en slik gjennomgang så får vi et tydelig inntrykk av om vi er på riktig spor med det arbeidet som vi gjør for å trygge våre tjenester, og som konsekvens våre brukere.
Virksomheter som oss er helt avhengig av gode partnere på områder der vi selv ikke er eksperter. Vi er veldig fornøyd med arbeidet som River Security gjorde for oss og var fra start til slutt imponert over profesjonaliteten, hvor detaljorientert de er og hvor godt gjennomføringen var lagt opp. Ved å benytte oss av dem har vi fått mer trygghet rundt det gode arbeidet som vi har gjort, men samtidig fått en god påminner om at vi alltid kan bli flinkere.
Sikkerhet er ingen spøk dere. Fiendtlige aktører hviler ikke, så vær så forberedt dere kan.