Vikten av segmentering

av | Cybersäkerhet, Nätverk och komunikation

Det här med att segmentera sitt nätverk i olika logiska funktioner är ju en gammal grej egentligen, men segmenteringen av interna system behöver ses över i högre utsträckning.

Vi har ju alltid skyddat externt exponerade system genom att placera dessa på DMZor i brandväggen och enbart öppnat för de portar som behövs för att applikationen skall fungera.

Men med tanke på en ökad hotbild, nya direktiv, operativsystem med end-of-life stämpel och att det finns så många attackvektorer mot våra slutanvändare behöver vi ta oss en funderar på ytterligare segmentering.

Många organisation brukar ha hyfsat koll på användarens personliga utrustning. Vi applicerar patchar till Windows klienter och MDM-system kan tvinga telefoner att uppdatera sina operativsystem när det kommer sårbarheter.

Men det finns ju flera system i våra nätverk, där det inte uppgraderas lika ofta.

Jag tänker då på våra skrivare, rumsbokningsplattor, TV apparater, konferenssystemet, lås- och larm-system, ventilationsaggregat på taket som installerades för 10 år sedan, osv… För dessa system finns det oftast inte en livscykelhantering vad gäller mjukvara.

Systemen installeras med det operativsystem som fanns tillgängligt vid installationstillfället och efter detta uppgraderar man sällan mjukvaran eller operativsystemet.

De här enheterna bör placeras i egna nät avskilda från övriga system. Helst skall varje funktion ha ett eget nätverk, dvs vi har ett passagenät, ett nät för TV apparater, ett tredje för skrivare, larm-enheter placera i ett fjärde osv…

När dom är åtskilda kan vi även skapa filter mellan dom. Filtren behövs ju av två skäl, dels skyddar vi våra vanliga servrar och datorer från IOT enheter som sällan patchas, men vi skyddar även IOT enheterna för exponering från omvärlden. Det skall enbart öppnas för den trafiken som behövs och det görs på ett säkert sätt. Ett exempel på detta kan vara att för att nå passagesystem måste användaren först logga in på en jumpserver och det är enbart jumpservern som sedan har access till passagesystemet. För att kunna logga in i jumpaervern används användargrupper som bestämmer vem som kan använda just denna server.

NIS2 och segmentering

EU:s medlemsländer har fram till oktober 2024 på sig att implementera det nya NIS2-direktivet kring nätverks- och informationssäkerhet för samhällsviktiga tjänster.

I NIS2 finns det ganska många krav som kan vara svåra att svara upp till för hela organisationen. Därför är det bättre att segmentera delar av sitt nät. Exempelvis kan de system som behövs för dricksvattenförsörjning placeras i ett helt eget nätverk och i detta nät införs processer, rutiner och tekniska lösningar som lever upp till kraven i NIS2.

Det är lättare och mindre kostsamt att se till att dessa system möter upp mot kraven än att införa regelverkets krav på hela sitt nät.

Windows 2012

Inom kort kommer Microsoft sluta skapa uppdateringar till Windows Server 2012 och Windows Server 2012 R2. Produkterna går end-of-life den 10 oktober 2023.

Om ni mot all förmodan skulle ha kvar någon Windows Server 2012 så är det hög tid att se över säkerheten kring denna. Överväg att flytta applikationen till en mer modern server. Om det inte går behöver denna server ”låsas” in på något bra sätt i ert nätverk. Antingen med en accesslista i det vanliga servernätet men hellre då flytta denna till ett eget DMZ bakom er brandvägg och aktivera de skydd som er brandvägg har i form av IPS, anti-bot, antivirus osv…

När det placerats bakom en brandvägg behöver den skyddas från omvärlden. Öppna bara de specifika udp/tcp portarna som behövs för att nå applikationen. Om möjligt ta ur den ur ADt och skapa lokala konton i stället. Se till så att ingen access från Internet når servern.