Rapporten inneholder 3 nummererte hovedpunkter med mål om å gi en forståelse for systemene, dets mangler og mulige tiltak;
1. Innledning
Rapportens formål
er å avdekke sikkerhetsmangler og eventuelle trusler i dagens IT miljø og komme med forslag til tiltak for å utbedre disse mangler.
Der det sees hensiktsmessig er det tatt med informasjon om løsninger som kan effektivisere arbeidet eller forbedre driftssikkerheten.
Noen av forslagene vil medføre endring i arbeidsmetoder og andre ulemper - dette må kunden vurdere om veier opp for fordelene, fortrinnsvis ved å kjøre pilotprosjekter.
2. Miljø
Dagens IT miljø består av
- tjenester levert fra leverandører med forskjellige krav til infrastruktur
- infrastruktur i skyen og onsite på kontoret
- klienter med mulighet for tilkobling til både kontor og skyløsninger
og kan i hovedsak deles opp i 2 hovedkategorier og 4 underkategorier;
Kategorier
KLIENTER | SERVERE | ||
---|---|---|---|
MOBIL / PAD | LAPTOP / PC | ONSITE / KONTORET | OFFSITE / CLOUD |
Infrastrukturskisser
Onsite - Servere og nettverk
Offsite / Cloud - Servere
Klienter
Nedenfor er en liste over forskjellig type klienter med mulige aksesspunkter for å komme inn på systemene
Klienttype | Tilkoblingstype | Tilgang til | Sikkerhetskrav 1 | Sikkerhetskrav 2 |
---|---|---|---|---|
PC / Laptop | VPN | All infrastruktur | Klientprogramvare med korrekt profil og passord | Brukernavn og passord med tilgang til domenet AVENTI-TECH |
PC / Laptop | WiFi på kontoret | All infrastruktur | Maskin i domene med utrulling av WiFi profil | Brukernavn og passord med tilgang til domenet AVENTI-TECH |
PC / Laptop | Kabel på kontoret | All infrastruktur | Brukernavn og passord med tilgang til domenet AVENTI-TECH | |
PC / Laptop / Mobil / Pad | easy:cloud | Tildelte mapper fra filserver | Brukernavn og passord med tilgang til domenet AVENTI-TECH | *Alternativt en gjestetilgang til ressurser delt av den enkelte bruker |
PC / Laptop / Mobil / Pad | e-post | Egne og delte mailbokser | Brukernavn og passord med tilgang til domenet AVENTI-TECH | |
PC / Laptop / Mobil / Pad | Sharepoint / OneDrive | Filer / ressurser i Office 365 | Brukernavn og passord med tilgang til domenet AVENTI-TECH | (Lisens tildelt brukerkonto med sharepoint / onedrive) |
*N1: Samtlige punkter ovenfor omfatter også virtuelle maskiner.
3. Risiko og Tiltak
Analyse av miljøets sikkerhet sortert etter sannsynlighetsgrad for sikkerhetsbrudd og anbefalte tiltak
Nedenfor følger flere tabeller med beskrivelse av sikkerhetsrisiko sortert etter høyest sannsynlighet for forekomst og kategori av alvorlighetsgrad (påvirkning på systemene).
Alvorlighetsgrad | Påvirkning | Korrigeringstiltak |
---|---|---|
RØD |
|
|
GUL | Delvis eller permanent tap av selskapets mindre viktige data | Ingen korrigering mulig |
BLÅ | Svekkelse av sikkerhet eller drift | |
GRØNN | Minimal sikkerhetsrisiko | Diverse tiltak ofte mulig, utdypt nedenfor for hvert enkelt tilfelle |
Alvorlighetsgrad | RØD | ||
---|---|---|---|
Trussel | Ransomware - Kryptering av data på klient, nettverksstasjoner og i skytjenester | ||
Sikkerhetsrisiko | Totalt tap av alle eller deler av selskapets fildata Nedetid frem til data er gjenopprettet | ||
Risikoenhet | Klient PC / Laptop Alle klienter som møter nåværende sikkerhetskrav for angitt Alle klientmaskiner utenfor IT avdelingens kontroll som møter | ||
Tilkoblingstype | Kabel, WiFi, VPN, easy:cloud, OneDrive | ||
Tilgang til | All infrastruktur, spesielt filserver og filtjenester i skyen via synkronisering lokalt. | ||
Sikkerhetsnivå idag | Høy risiko hos majoriteten av klientmaskinene. | ||
easy:solutions anbefaling | Implementer anbefalte sikkerhetstiltak 1, 2 og 3 på alle klientenheter som kobler til via nevnte Tilkoblingstyper. | ||
Anbefalte sikkerhetstiltak | |||
1 | Neste generasjons "antivirus" på klientmaskiner og onsite servere for å stoppe Ransomware og Zero-Day trusler. | ||
Utdypende informasjon | Produktet SentinelOne Antivirus next generation for å stoppe bl.a. ransomware som Mer informasjon; http://www.easysolutions.no/post/endpointprotection/ | ||
Kost per enhet / | 89,- | ||
Leverandør | easy:solutions forhandler og forvalter SentinelOne for kunden | ||
2 | DNS proxy beskyttelse for å stoppe trafikk til / fra eksponerte nettsider. | ||
Utdypende informasjon | Produktet Umbrella fra Cisco Agentprogramvare installeres på hver enkelt maskin og router alle forespørsler ut mot internett gjennom sikre servere hvor destinasjonen verifiseres og scannes for trusler. Dette blokkerer bl.a. nedlasting av slemmer filer og muligheten til å logge inn på phishing sider. Phishing er også grunnlaget for hvordan DNC og John Podesta skandalene oppstod. | ||
Kost per | 59,- | ||
Leverandør | easy:solutions forhandler og forvalter Umbrella for kunden | ||
3 | Klientgodkjennelse for tilkobling til ressurser | ||
Utdypende informasjon | Konfigurere tilganger til synkronisering av skyressurser (easy:cloud / OneDrive) og delte mapper på server (nettverksstasjoner) til å godta tilkobling kun fra maskiner meldt inn i domenet og / eller medlem av visse grupper. Effekten av denne løsningen vil være at maskiner som ikke er meldt inn i domenet og tillatt tilgang til ressursene ikke vil få koblet til. | ||
Kost per enhet / ansatt pr. mnd | Engangskost i oppsett og implementering | ||
Leverandør | easy:solutions konfigurerer tilganger og integrering mot 3.parts løsninger som OneDrive og easy:cloud. | ||
Alvorlighetsgrad | RØD |
| |||
---|---|---|---|---|---|
Trussel | Skygge IT - Bruk av bl.a. fildelingsløsninger utenfor selskapets kontroll | ||||
Sikkerhetsrisiko | Ansatte benytter tjenester og produkter koblet til deres privatperson og dermed utenfor selskapets kontroll. Dette er ofte tjenester som f.eks Dropbox, OneDrive, Box m.fl. Selskapet har ingen kontroll over hva som er delt med hvem eller hvor de ligger. Dette oppstår som regel av beleilighet - det er tungvint å bruke en eksisterende løsning, eller det er en mangel på en slik løsning - og de ansatte finner andre kreative måter å dele informasjon på. | ||||
Risikoenhet | Ansatte og innleide ressurser | ||||
Tilkoblingstype | Kabel, WiFi, VPN, Internett | ||||
Tilgang til | Filserver og filtjenester i skyen via synkronisering lokalt. | ||||
Sikkerhetsnivå idag | Betydelig risiko hos majoriteten av brukerne som ikke benytter easy:cloud eller OneDrive til å dele filer eksternt eller synkronisere disse til egen maskin.
| ||||
easy:solutions anbefaling | Implementer anbefalt sikkerhetstiltak 1 for alle brukere. | ||||
Anbefalte sikkerhetstiltak | |||||
1 | Implementer firmapolicy om at all fildeling skal foregå via en kanal | ||||
Utdypende informasjon | Ved å kreve bruk av f.eks OneDrive eller easy:cloud samt legge til rette for at det er enkelt å laste opp og dele filer vil brukerne slutte å benytte eksterne løsninger. De forskjellige produktene har forskjellige egenskaper og det anbefales utført en pilot på de forskjellige løsningene for å konkludere med hva som passer bedriften best. Eksempel; easy:cloud kobles opp mot nåværende filserver og man slipper å laste opp filer til eksternt system for deling. OneDrive / Sharepoint er allerede inkludert i Office 365 lisensen og bærer følgelig ingen ekstra kostnad utover migrering og opplæring av brukere. easy:cloud tillater bedre kontroll over deling av ressurser, samt rapportering og sikkerhet over delte data. Sharepoint tillater whitelabel av logo og deling av websider / wiki ressurser. | ||||
Kost per | easy:cloud 69,- OneDrive - Inkludert i Office 365 lisens | ||||
Leverandør | easy:solutions forhandler og forvalter både easy:cloud og Office 365 for kunden | ||||
Alvorlighetsgrad | RØD | ||
---|---|---|---|
Trussel | NAS - Lagringsenhet onsite på kontoret | ||
Sikkerhetsrisiko | Totalt tap av alle fildata i arkiv | ||
Risikoenhet | Nettverkslagringsenhet med alle arkivdata (Masterarkiv) fra før migreringen til easy:solutions'. | ||
Tilkoblingstype | Kabel, WiFi, VPN | ||
Tilgang til | Filserver onsite | ||
Sikkerhetsnivå idag | Betydelig risiko da enheten er ute av produksjon, reservedeler er vanskelig å få tak i, enheten er uten garanti, enheten har ingen backup og det er ett felles brukernavn / passord til alle data på enheten. | ||
easy:solutions anbefaling | Implementer anbefalt sikkerhetstiltak 1 eller 2 | ||
Anbefalte sikkerhetstiltak | |||
1 | Tilkobling av USB harddisk til NAS enhet og konfigurer ukentlig backup til denne | ||
Kost per enhet / | Ca 2000,- inkl arbeid. | ||
Leverandør | easy:solutions kjøper inn enhet og utfører konfigurasjon | ||
2 | Overføring av data til nyere server | ||
Utdypende informasjon | Migrere data fra NAS til lokale redundante disker i en virtuell maskin (VM). Dere har per idag 2 maskiner kapable til å kjøre VM. Dataene kan flyttes til en av disse enhetene. | ||
Kost per enhet / | Eksisterende lisenskostnad for Windows lisenskostnad, altså intet ekstra. Jobben med migreringen av data. Ca 3 timers arbeid. | ||
Leverandør | easy:solutions konfigurerer og migrerer data. | ||
Alvorlighetsgrad | GUL | ||
---|---|---|---|
Trussel | Tyveri - Tap og lekkasje av data på brukerens enhet | ||
Sikkerhetsrisiko | Ansatte benytter tjenester og produkter som synkroniserer selskapets data mot deres egen maskin, eller kopierer disse manuelt over; Outlook (mail), SynkCenter i Windows, OneDrive, easy:cloud m.fl. Selskapet har ingen kontroll over hva som ligger på brukerens maskin, ei heller backup av disse data. Ved tyveri av maskinen vil alle data være tilgjengelig for tyven. | ||
Risikoenhet | Alle enheter i selskapet med mulighet for lagring av data. | ||
Tilkoblingstype | Kabel, WiFi, VPN, easy:cloud, OneDrive, Internett, Mail | ||
Tilgang til | Filer og mail | ||
Sikkerhetsnivå idag | Risiko hos alle brukerne som ikke har kryptert sine maskiner / mobiler idag da disse kan miste eller bli frastjålet sine enheter. | ||
easy:solutions anbefaling | Implementer anbefalt sikkerhetstiltak 1 for alle brukere / enheter som skal synkronisere selskapets data til egne enheter. | ||
Anbefalte sikkerhetstiltak | |||
1 | Implementer firmapolicy om påkrevd kryptering av alle enheter | ||
Utdypende informasjon | Majoriteten av mobile enheter idag støtter kryptering per default og man kan kreve via policy fra mailserver at enheten må krypteres for å kunne synkronisere data. Et sikrere, men betydelig mer komplisert alternativ, er å benytte MDM løsninger for granulær kontroll og / eller Android for Works for å "dele" telefonen i 2 områder, ett privat og ett kryptert for selskapet. iOS har også en lignende funksjon, men her kreves det en MDM løsning i tillegg. Alle maskiner med bedriftsutgaven av Windows 8 eller nyere (10) støtter BitLocker kryptering fra Microsoft og dette kan aktiveres fra server. Flere av maskinene hos dere har Windows 7 installert, men har lisens for Windows 8. Maskiner med Windows 7 støtter ikke BitLocker kryptering, men det er fortsatt mulig å oppgradere til Windows 10 kostnadsfritt. Dette "tilbudet" fra Microsoft er ikke uendelig og kan opphøre når Microsoft finner det passende. Tilbudet stoppet egentlig opp 1.juli 2016, men det fins et smutthull som inntil videre tillater lisensfrioppgradering. Lisenskost er egentlig 1750,-. Det anbefales sterkt å ha et form for management til Bitlocker i tilfelle en bruker glemmer passordet til sin harddisk slik at man slipper manuelle operasjoner i forvaltning av krypteringsnøkler. | ||
Kost per enhet / ansatt pr. mnd | Alternativer: Per klient - Sophos BitLocker Mgmt - 69,- | ||
Leverandør | easy:solutions forhandler og forvalter både Sophos og Office 365 for kunden | ||
Alvorlighetsgrad | GUL | ||
---|---|---|---|
Trussel | Spam / Phishing - Tap og lekkasje av data | ||
Sikkerhetsrisiko | E-post med mål om å lure mottaker til å laste ned eller oppgi sensitive detaljer. Lurer gjerne mottaker til å gå til en webside også kjent som phishingsider. Phishingsider er websider lagd til å se ut som de er noe annet, f.eks en bank side hvor du vil forsøkte å logge inn med dine eller selskapets detaljer. Hackerne kan dermed ta detaljene og logge inn i real-time på den ekte siden og gjøre det de måtte ønske å gjøre. Phishing er også grunnlaget for hvordan DNC og John Podesta skandalene oppstod. | ||
Risikoenhet | Alle enheter Alle klienter som møter nåværende sikkerhetskrav for angitt Alle klientmaskiner utenfor IT avdelingens kontroll som møter | ||
Tilkoblingstype | Mail, Kabel, WiFi, VPN, | ||
Tilgang til | Mail og filer | ||
Sikkerhetsnivå idag | Risiko hos alle brukerne som mottar e-post @aventi.no Dagens spamfilter er standardtilbudet inkludert i Office 365 lisensen, dette er ikke like nøye eller sikkerhetsfokusert som deres premiumtilbud eller andre premiumtilbydere. Dere har tidligere fått sikkerhetsbrudd gjennom spammail og vi har løpende trimmet og tilpasset spamfilteret, men det oppleves stadig nye svakheter og spam som kommer igjennom. | ||
easy:solutions anbefaling | Implementer anbefalt sikkerhetstiltak 1 og 2 for alle brukere. | ||
Anbefalte sikkerhetstiltak | |||
1 | Opplæring av de ansatte | ||
Utdypende informasjon | easy:solutions tilbyr kursing av de ansatte med demo av de forskjellige svindel- og angrepsmetodene og hvordan avsløre disse på noen få sekunder. Det er tidligere opprettet og sendt ut informasjon om dette, men vi opplever at få tar seg tiden til å lese dette og går i de samme fellene om og om igjen. Kurs og demo har helt klart mer effekt da de ansatte får en interaktiv fremvisning av innholdet. Eksempel på info tidligere sendt ut: | ||
Kost per enhet / ansatt pr. mnd | Kurs etter avtale. | ||
Leverandør | easy:solutions | ||
2 | Premium spamfilter | |
---|---|---|
Utdypende informasjon | Standard spamfilter i Office 365 er svakere enn hva man som oftest har behov for. Microsoft har en utvidet utgave av spamfilteret til en ekstra kostnad per bruker. Denne gir mer granulær kontroll for hva som skal blokkeres og tillates og varsler også dersom du forsøker å navigere fra en e-post til en eksponert webside / ressurs. Sistnevnte dekkes allerede av DNS beskyttelsen vi har anbefalt implementert tidligere. Mimecast er en premium spamfilterleverandør hvor alle vedlegg teståpnes i et lukket miljø hos leverandøren av filteret - samt at det utføres alle sjekker Microsoft sitt utvidede spamfilter tilbyr. | |
Kost per | Microsoft: 17,- Mimecast: fra 60,- | |
Leverandør | easy:solutions forhandler og forvalter både Mimecast og Office 365 for kunden |
Alvorlighetsgrad | BLÅ | ||
---|---|---|---|
Trussel | Utdaterte enheter | ||
Sikkerhetsrisiko | Ansattes enheter er sjelden up-to-date på versjoner av operativsystem og verktøy. Dette gir en større angrepsoverflate. Sikkerhetsverktøy som SentinelOne og Umbrella DNS vil ta bort majoriteten, men for å sikre bedriften ytterligere er det viktig med oppdatert programvare hos klientene. | ||
Risikoenhet | Alle enheter i selskapet med tilgang til selskapets systemer. | ||
Tilkoblingstype | Kabel, WiFi, VPN, easy:cloud, OneDrive, Mail | ||
Tilgang til | Alle systemer | ||
Sikkerhetsnivå idag | Risiko hos alle brukerne som ikke har oppdatert sine maskiner / mobiler. | ||
easy:solutions anbefaling | Implementer anbefalt sikkerhetstiltak 1 for alle brukere / enheter med tilgang til selskapets data. | ||
Anbefalte sikkerhetstiltak | |||
1 | Implementer management system som tvinger oppdatering av enheter | ||
Utdypende informasjon | Det fins en rekke systemer for å påtvinge og kontrollere at klienter har siste versjon av en programvare. Den per idag mest aktuelle og dekkende løsningen for dere vil være Microsoft EMS som også er nevnt ovenfor ift kryptering av enheter. Alternativt har easy:solutions en løsning som kan oppgradere klienter. | ||
Kost per enhet / ansatt pr. mnd | Alternativer: Per klient - easy:solutions MDM - 19,- | ||
Leverandør | easy:solutions forhandler og forvalter både MDM og Office 365 for kunden | ||
Alvorlighetsgrad | GRØNN | ||
---|---|---|---|
Trussel | Ytterligere informasjon om EMS - Enterprise Mobility + Security | ||
Sikkerhetsrisiko | Alle ovennevnte scenarioer hvor EMS er nevnt. | ||
Risikoenhet | Alle enheter i selskapet med tilgang til selskapets systemer. | ||
Tilkoblingstype | - | ||
Tilgang til | Alle systemer | ||
Sikkerhetsnivå idag | - | ||
easy:solutions anbefaling | Implementering av systemet vil gi granulær kontroll og god sikkerhet for sensitive dokumenter. Man vil kunne kontrollere hvem som leser hva - og få informasjon om hvem som leser hva. | ||