Grunnprinsipper for IKT-sikkerhet 2.0
Kartlegg enheter og programvare
Målet med prinsippet: Virksomheten kartlegger enheter og programvare på nettverket og har oversikt over forvaltede (og ikke-forvaltede) enheter og gjeldende konfigurasjon for disse.
Hvorfor er dette viktig?
Kartlegging av enheter og programvare er viktig for å få oversikt over hva som befinner seg i virksomheten. Kartleggingen av enheter bør avdekke både virksomhetsstyrte enheter, legitime enheter med begrensede rettigheter (for eksempel IoT-enheter) og ukjente enheter (kan være f.eks. ansattes privat utstyr eller ondsinnede enheter). Tilsvarende bør kartlegging av programvare dekke all programvare som benyttes i virksomheten, både installert av IT-avdelingen og uautorisert programvare. Det er viktig at virksomheten selv får oversikt over enheter, programvare og deres sårbarheter før angripere gjør det.
Anbefalte tiltak: Kartlegg enheter og programvare
| ID | Beskrivelse | |||
|---|---|---|---|---|
| 1.2.1 | Etabler en prosess for å kartlegge enheter og programvare som er i bruk i virksomheten. Benytt fortrinnsvis automatiserte og sentraliserte verktøy til å oppdage og holde oversikt over enheter og programvare, og vise hvilke programvare som er på hvilke enheter. Oversikten bør også inkludere eierskap, eldre ikke-støttede produkter (bør merkes eksplisitt), samt enheter og programvare som ikke er koblet til virksomhetens nettverk (f.eks. USB-enheter). Dette utdypes i 1.2.3 (enheter) og 1.2.4 (programvare). | |||
| 1.2.2 | Fastsett retningslinjer for godkjente enheter og programvare i virksomheten. a) Virksomheten bør f.eks. avgjøre i) hva slags enheter og programvare som ansatte har behov for, ii) hva som det ikke er tjenstlig behov for men likevel lov, iii) hva som er uønsket og iv) hvordan dette skal håndteres i virksomheten. b) Utarbeid og vedlikehold en oversikt over enheter og programvare godkjent for bruk i virksomheten (inkludert hvis hensiktsmessig versjonsnummer). Vurder behov opp imot anbefalte tiltak i prinsipp 2.1-2.3. c) Kommuniser retningslinjene til ansatte. Beskriv formål og lovlig bruk av enheter og programvare. | |||
| 1.2.3 | Kartlegg enheter i bruk i virksomheten iht. prosess i 1.2.1. a) Kartlegg informasjon etter en hensiktsmessig vurdering, for eksempel nettverksadresse, maskinvareadresse, enhetsnavn, avdelingstilknytning, samt om enhetene er forvaltet av virksomheten. Hver enhet som har en IPadresse på nettverket bør være med i oversikten, inkludert stasjonære og bærbare datamaskiner, servere, nettverksutstyr (rutere, svitsjer, brannmurer, osv.), skrivere, lagringsnettverk, IPtelefoner, IoT-enheter, osv. b) Få oversikt over alle mobile enheter og lagringsmedier som benyttes utenfor virksomhetens nett som inneholder virksomhetsinformasjon. c) Lag en plan for håndtering av enheter som ikke er godkjent for bruk i virksomheten (se 1.2.2). For håndtering se 2.4.1.b. d) Virksomheten bør også ha oversikt over virtuelle enheter (enten de kjører hos virksomheten eller i en leverandørs «sky»). I mange tilfeller bør oversikten da være litt overordnet hvis «levetid» på virtuelle enheter er variabel/dynamisk, f.eks. «stateless» «Virtual Desktops». Oversikt over virtuelle enheter som kjører hos en leverandør er primært kun hensiktsmessig ifm. kjøp av «IaaS». Ved mest mulig konsekvent bruk av hvitelisting av alle enheter (og/eller alle kablede og trådløse nettverksforbindelser) i virksomhetens nettverk kan kartlegging av enheter bli enklere enn beskrevet over. Se og prinsipp 2.4 - Beskytt virksomhetens nettverk. | |||
| 1.2.4 | Kartlegg programvare i bruk i virksomheten iht. prosess i 1.2.1. a) Kartlegg firmware, operativsystem og applikasjoner (navn, versjonsnummer, produsent, installasjonsdato, om den støttes lengre) som er installert på servere, klienter og nettverksutstyr med mer. b) Lag en plan for håndtering av programvare som skal godkjennes for bruk i virksomheten (se 1.2.2). Ved mest mulig konsekvent bruk av hvitelisting (spesielt mht. klienter) av alle applikasjoner (alternativt bruk av applikasjonsbutikker) kan kartlegging av programvare gjøres enklere enn beskrevet over. |
Utdypende informasjon
Angripere er kontinuerlig på jakt etter nye og ubeskyttede systemer og sårbare versjoner av programvare. Angriperne ser også etter enheter (spesielt mobile enheter) som kobles til og fra virksomhetens nettverk og mangler sikkerhetsoppdateringer og tilstrekkelig sikkerhetskonfigurasjon. Selv enheter som ikke er synlige fra Internett kan utnyttes av angripere som allerede har fått intern tilgang og er på jakt etter sårbare mål. Etter hvert som ny teknologi dukker opp har ikke-forvaltede enheter blitt vanlig der virksomheten tillater at ansatte bruker egne mobile enheter. Mange virksomheter har liten eller ingen kontroll på sikkerhetstilstanden til disse enhetene, og små muligheter til sikkerhetsovervåkning. De kan bli, eller er allerede kompromittert og benyttes til å angripe interne ressurser.
Svakt forvaltede eller ikke-forvaltede enheter vil ha større sannsynlighet for å kjøre uønsket programvare eller skadevare. En trusselaktør ønsker som regel å tilegne seg størst mulig tilganger og rettigheter i et IKT-system for å få tilgang på informasjon og ressurser. En måte å gjøre dette på er ved å hacke seg inn på en sårbar enhet og benytte denne som et utgangspunkt for å samle informasjon fra det kompromitterte systemet og fra andre enheter og systemer som enheten kan kommunisere med. Kompromitterte enheter kan benyttes som et utgangspunkt for bevegelse rundt i hele nettverket samt tilknyttede nettverk. Én kompromittert maskin blir raskt til mange. Virksomheter som ikke har en komplett oversikt over hvilken programvare som kjører og skal kjøre i nettverket vet ikke om systemer kjører sårbar eller skadelig programvare.
I praksis kan det være utfordrende for virksomheter å ha full kontroll på hele IKT-infrastrukturen. I valget mellom sikkerhet og behov for leveranser vil virksomheter ofte måtte godta enheter med lavere sikkerhetsnivå enn ønsket. Det avgjørende er at virksomheter er bevisst de strategier som velges og vurderer de funksjonelle behovene opp mot risikobildet. I en del tilfeller vil ikke virksomheten ha kontroll på en gitt type utstyr, for eksempel ved eksterne leverandører eller ved å tillate bruk av ikkeforvaltede enheter. Virksomheten må være bevisst sikkerhetsutfordringene det medfører og vurdere kompenserende tiltak som for eksempel forsterket deteksjonsevne, segregering og lavere eksponering av verdifull informasjon og IKT-systemer.
Lenker
NCSC UK Cyber Assessment Framework – A3. Asset management