Sikkerhetsevaluering Eksempel

Rapporten inneholder 3 nummererte hovedpunkter med mål om å gi en forståelse for systemene, dets mangler og mulige tiltak;


1. Innledning

Rapportens formål

er å avdekke sikkerhetsmangler og eventuelle trusler i dagens IT miljø og komme med forslag til tiltak for å utbedre disse mangler.

Der det sees hensiktsmessig er det tatt med informasjon om løsninger som kan effektivisere arbeidet eller forbedre driftssikkerheten.

Noen av forslagene vil medføre endring i arbeidsmetoder og andre ulemper - dette må kunden vurdere om veier opp for fordelene, fortrinnsvis ved å kjøre pilotprosjekter.



2. Miljø

Dagens IT miljø består av

  • tjenester levert fra leverandører med forskjellige krav til infrastruktur
  • infrastruktur i skyen og onsite på kontoret
  • klienter med mulighet for tilkobling til både kontor og skyløsninger

og kan i hovedsak deles opp i 2 hovedkategorier og 4 underkategorier;

Kategorier

KLIENTERSERVERE
MOBIL / PADLAPTOP / PCONSITE / KONTORETOFFSITE / CLOUD


Infrastrukturskisser

Onsite - Servere og nettverk 


Offsite / Cloud - Servere


Klienter

Nedenfor er en liste over forskjellig type klienter med mulige aksesspunkter for å komme inn på systemene

KlienttypeTilkoblingstype Tilgang tilSikkerhetskrav 1Sikkerhetskrav 2
PC / LaptopVPNAll infrastrukturKlientprogramvare med korrekt profil og passordBrukernavn og passord med tilgang til domenet Din.Domene
PC / LaptopWiFi på kontoretAll infrastrukturMaskin i domene med utrulling av WiFi profilBrukernavn og passord med tilgang til domenet Din.Domene
PC / LaptopKabel på kontoretAll infrastrukturBrukernavn og passord med tilgang til domenet Din.Domene
PC / Laptop / Mobil / Padeasy:cloudTildelte mapper fra filserverBrukernavn og passord med tilgang til domenet Din.Domene*Alternativt en gjestetilgang til ressurser delt av den enkelte bruker
PC / Laptop / Mobil / Pade-postEgne og delte mailbokserBrukernavn og passord med tilgang til domenet Din.Domene
PC / Laptop / Mobil / PadSharepoint / OneDriveFiler / ressurser i Office 365Brukernavn og passord med tilgang til domenet Din.Domene(Lisens tildelt brukerkonto med sharepoint / onedrive)

*N1: Samtlige punkter ovenfor omfatter også virtuelle maskiner.


3. Risiko og Tiltak

Analyse av miljøets sikkerhet sortert etter sannsynlighetsgrad for sikkerhetsbrudd og anbefalte tiltak

Nedenfor følger flere tabeller med beskrivelse av sikkerhetsrisiko sortert etter høyest sannsynlighet for forekomst og kategori av alvorlighetsgrad (påvirkning på systemene).

AlvorlighetsgradPåvirkningKorrigeringstiltak
RØD
  1. Mulighet for totalt tap av alle selskapets fildata og nedetid.
  2. Datalekkasje - mangel på kontroll over selskapets IT eiendom
  1. Gjenoppretting av filer fra backup
  2. Ingen korrigering mulig
GUL

Delvis eller permanent tap av selskapets mindre viktige data

Ingen korrigering mulig

BLÅ

Svekkelse av sikkerhet eller drift


GRØNNMinimal sikkerhetsrisikoDiverse tiltak ofte mulig, utdypt nedenfor for hvert enkelt tilfelle



AlvorlighetsgradRØD


























Trussel

Ransomware - Kryptering av data på klient, nettverksstasjoner og i skytjenester

SikkerhetsrisikoTotalt tap av alle eller deler av selskapets fildata
Nedetid frem til data er gjenopprettet
RisikoenhetKlient PC / Laptop

Alle klienter som møter nåværende sikkerhetskrav for angitt
Tilkoblingstype.

Alle klientmaskiner utenfor IT avdelingens kontroll  som møter
Sikkerhetskrav om brukernavn og passord.

Tilkoblingstype Kabel, WiFi, VPN, easy:cloud, OneDrive
Tilgang tilAll infrastruktur, spesielt filserver og filtjenester i skyen via synkronisering lokalt.
Sikkerhetsnivå idag

Høy risiko hos majoriteten av klientmaskinene.
Maskiner levert siden desember 2016 har fått implementert tiltak nr. 1 

easy:solutions anbefalingImplementer anbefalte sikkerhetstiltak 1, 2 og 3 på alle klientenheter som kobler til via nevnte Tilkoblingstyper.
Anbefalte sikkerhetstiltak
1Neste generasjons "antivirus" på klientmaskiner og onsite servere for å stoppe Ransomware og Zero-Day trusler.
Utdypende informasjon

Produktet SentinelOne

Antivirus next generation for å stoppe bl.a. ransomware som
låser maskinen og krypterer alle filer på klient og server.
Dere har allerede hatt tilfeller av dette, men heldigvis
har ikke maskinene vært tilknyttet serverne via kontoret, easy:cloud, VPN eller OneDrive / Office 365 når infiseringen fant sted.
Løsningen erstatter vanlig gammeldags antivirus.

Mer informasjon; http://www.easysolutions.no/post/endpointprotection/

Kost per enhet / ansatt pr. mnd89,-
Leverandøreasy:solutions forhandler og forvalter SentinelOne for kunden


2DNS proxy beskyttelse for å stoppe trafikk til / fra eksponerte nettsider.
Utdypende informasjon

Produktet Umbrella fra Cisco

Agentprogramvare installeres på hver enkelt maskin og router alle forespørsler ut mot internett gjennom sikre servere hvor destinasjonen verifiseres og scannes for trusler. Dette blokkerer bl.a. nedlasting av slemmer filer og muligheten til å logge inn på phishing sider.
Phishingsider er websider lagd til å se ut som de er noe annet, f.eks en bank side hvor du vil forsøkte å logge inn med dine eller selskapets detaljer. Hackerne kan dermed ta detaljene og logge inn i real-time på den ekte siden og gjøre det de måtte ønske å gjøre.

Phishing er også grunnlaget for hvordan DNC og John Podesta skandalene oppstod. 

Kost per enhet / ansatt pr. mnd59,-
Leverandøreasy:solutions forhandler og forvalter Umbrella for kunden


3Klientgodkjennelse for tilkobling til ressurser
Utdypende informasjon

Konfigurere tilganger til synkronisering av skyressurser (easy:cloud / OneDrive) og delte mapper på server (nettverksstasjoner) til å godta tilkobling kun fra maskiner meldt inn i domenet og / eller medlem av visse grupper. 

Effekten av denne løsningen vil være at maskiner som ikke er meldt inn i domenet og tillatt tilgang til ressursene ikke vil få koblet til.

Kost per enhet / ansatt pr. mndEngangskost i oppsett og implementering
Leverandøreasy:solutions konfigurerer tilganger og integrering mot 3.parts løsninger som OneDrive og easy:cloud.





AlvorlighetsgradRØD










How is data leak prevention done in easy:cloud?

easy:cloud has unique capabilities to monitor, prevent, and fix data leakage assuring corporate data is protected across all devices (laptops, desktops, smartphone, and tablets).

Remote wipe

If a user loses a mobile device, the admin can remotely wipe the data off that device, protecting confidential files.

Audit reporting

Activity logs capture the, “what, when, who, why, and how,” attributes of every user action within the system. Admins can easily filter logs and identify problems.

Block devices, clients

In case of any suspicious activity, admins can selectively block devices, clients (e.g. sync) or permanently remove users from accessing the system.

Trussel

Skygge IT - Bruk av bl.a. fildelingsløsninger utenfor selskapets kontroll

Sikkerhetsrisiko

Ansatte benytter tjenester og produkter koblet til deres privatperson og dermed utenfor selskapets kontroll. Dette er ofte tjenester som f.eks Dropbox, OneDrive, Box m.fl.

Selskapet har ingen kontroll over hva som er delt med hvem eller hvor de ligger. Dette oppstår som regel av beleilighet - det er tungvint å bruke en eksisterende løsning, eller det er en mangel på en slik løsning - og de ansatte finner andre kreative måter å dele informasjon på.

RisikoenhetAnsatte og innleide ressurser
TilkoblingstypeKabel, WiFi, VPN, Internett
Tilgang tilFilserver og filtjenester i skyen via synkronisering lokalt.
Sikkerhetsnivå idag

Betydelig risiko hos majoriteten av brukerne som ikke benytter easy:cloud eller OneDrive til å dele filer eksternt eller synkronisere disse til egen maskin.
Risiko hos de som benytter OneDrive da man har 2 muligheter for deling av filer som ofte fører til at man finner andre løsninger;

  • Ekstern lenke uten passord / autentisering (åpen for hele internett)
  • Autentisering som krever opprettelse av brukerkonto hos Office 365

easy:solutions anbefalingImplementer anbefalt sikkerhetstiltak 1 for alle brukere.
Anbefalte sikkerhetstiltak
1Implementer firmapolicy om at all fildeling skal foregå via en kanal
Utdypende informasjon

Ved å kreve bruk av f.eks OneDrive eller easy:cloud samt legge til rette for at det er enkelt å laste opp og dele filer vil brukerne slutte å benytte eksterne løsninger.

De forskjellige produktene har forskjellige egenskaper og det anbefales utført en pilot på de forskjellige løsningene for å konkludere med hva som passer bedriften best.

Eksempel;

easy:cloud kobles opp mot nåværende filserver og man slipper å laste opp filer til eksternt system for deling.

OneDrive / Sharepoint er allerede inkludert i Office 365 lisensen og bærer følgelig ingen ekstra kostnad utover migrering og opplæring av brukere.

easy:cloud tillater bedre kontroll over deling av ressurser, samt rapportering og sikkerhet over delte data.

Sharepoint tillater whitelabel av logo og deling av websider / wiki ressurser.

Kost per enhet / ansatt pr. mndeasy:cloud 69,-
OneDrive - Inkludert i Office 365 lisens
Leverandøreasy:solutions forhandler og forvalter både easy:cloud og Office 365 for kunden




AlvorlighetsgradRØD
























Trussel

NAS - Lagringsenhet onsite på kontoret

SikkerhetsrisikoTotalt tap av alle fildata i arkiv
RisikoenhetNettverkslagringsenhet med alle arkivdata (Masterarkiv) fra før migreringen til easy:solutions'.
TilkoblingstypeKabel, WiFi, VPN
Tilgang tilFilserver onsite
Sikkerhetsnivå idag

Betydelig risiko da enheten er ute av produksjon, reservedeler er vanskelig å få tak i, enheten er uten garanti, enheten har ingen backup og det er ett felles brukernavn / passord til alle data på enheten.

easy:solutions anbefalingImplementer anbefalt sikkerhetstiltak 1 eller 2
Anbefalte sikkerhetstiltak
1Migrere easy:cloud eller Shae
Kost per enhet / ansatt pr. mndCa 2000,- inkl arbeid.
Leverandøreasy:solutions kjøper inn enhet og utfører konfigurasjon


2Overføring av data til nyere server
Utdypende informasjon

Migrere data fra NAS til et redudant servermiljø levert av easy:soluionts eller eid av dere

Kost per enhet / ansatt pr. mnd

Eksisterende lisenskostnad for Windows lisenskostnad, altså intet ekstra.

Jobben med migreringen av data. Ca 3 timers arbeid.

Leverandøreasy:solutions konfigurerer og migrerer data.




AlvorlighetsgradGUL









Trussel

Tyveri - Tap og lekkasje av data på brukerens enhet

Sikkerhetsrisiko

Ansatte benytter tjenester og produkter som synkroniserer selskapets data mot deres egen maskin, eller kopierer disse manuelt over;

Outlook (mail), SynkCenter i Windows, OneDrive, easy:cloud m.fl.

Selskapet har ingen kontroll over hva som ligger på brukerens maskin, ei heller backup av disse data. Ved tyveri av maskinen vil alle data være tilgjengelig for tyven.

RisikoenhetAlle enheter i selskapet med mulighet for lagring av data.
TilkoblingstypeKabel, WiFi, VPN, easy:cloud, OneDrive, Internett, Mail
Tilgang tilFiler og mail
Sikkerhetsnivå idag

Risiko hos alle brukerne som ikke har kryptert sine maskiner / mobiler idag da disse kan miste eller bli frastjålet sine enheter.

easy:solutions anbefalingImplementer anbefalt sikkerhetstiltak 1 for alle brukere / enheter som skal synkronisere selskapets data til egne enheter.
Anbefalte sikkerhetstiltak
1Implementer firmapolicy om påkrevd kryptering av alle enheter
Utdypende informasjon

Majoriteten av mobile enheter idag støtter kryptering per default og man kan kreve via policy fra mailserver at enheten må krypteres for å kunne synkronisere data.

Et sikrere, men betydelig mer komplisert alternativ, er å benytte MDM løsninger for granulær kontroll og / eller Android for Works for å "dele" telefonen i 2 områder, ett privat og ett kryptert for selskapet. iOS har også en lignende funksjon, men her kreves det en MDM løsning i tillegg.


Alle maskiner med bedriftsutgaven av Windows 8 eller nyere (10) støtter BitLocker kryptering fra Microsoft og dette kan aktiveres fra server. Flere av maskinene hos dere har Windows 7 installert, men har lisens for Windows 8.

Maskiner med Windows 7 støtter ikke BitLocker kryptering, men det er fortsatt mulig å oppgradere til Windows 10 kostnadsfritt. Dette "tilbudet" fra Microsoft er ikke uendelig og kan opphøre når Microsoft finner det passende. Tilbudet stoppet egentlig opp 1.juli 2016, men det fins et smutthull som inntil videre tillater lisensfrioppgradering. Lisenskost er egentlig 1750,-.

Det anbefales sterkt å ha et form for management til Bitlocker i tilfelle en bruker glemmer passordet til sin harddisk slik at man slipper manuelle operasjoner i forvaltning av krypteringsnøkler.

Kost per enhet / ansatt pr. mnd

Alternativer:

Per klient - Sophos BitLocker Mgmt - 69,-
Per bruker - Microsoft EMS med MDM - fra 75,-
*Sistnevnte alternativ innebærer langt mer enn kun management - krever Windows 10

Leverandøreasy:solutions forhandler og forvalter både Sophos og Office 365 for kunden





AlvorlighetsgradGUL













Trussel

Spam / Phishing - Tap og lekkasje av data

Sikkerhetsrisiko

E-post med mål om å lure mottaker til å laste ned eller oppgi sensitive detaljer.

Lurer gjerne mottaker til å gå til en webside også kjent som phishingsider.

Phishingsider er websider lagd til å se ut som de er noe annet, f.eks en bank side hvor du vil forsøkte å logge inn med dine eller selskapets detaljer. Hackerne kan dermed ta detaljene og logge inn i real-time på den ekte siden og gjøre det de måtte ønske å gjøre.

Phishing er også grunnlaget for hvordan DNC og John Podesta skandalene oppstod. 

RisikoenhetAlle enheter

Alle klienter som møter nåværende sikkerhetskrav for angitt
Tilkoblingstype.

Alle klientmaskiner utenfor IT avdelingens kontroll  som møter
Sikkerhetskrav om brukernavn og passord.

TilkoblingstypeMail, Kabel, WiFi, VPN,
Tilgang tilMail og filer
Sikkerhetsnivå idag

Risiko hos alle brukerne som mottar e-post @aventi.no

Dagens spamfilter er standardtilbudet inkludert i Office 365 lisensen, dette er ikke like nøye eller sikkerhetsfokusert som deres premiumtilbud eller andre premiumtilbydere.

Dere har tidligere fått sikkerhetsbrudd gjennom spammail og vi har løpende trimmet og tilpasset spamfilteret, men det oppleves stadig nye svakheter og spam som kommer igjennom.

easy:solutions anbefalingImplementer anbefalt sikkerhetstiltak 1 og 2 for alle brukere.
Anbefalte sikkerhetstiltak
1Opplæring av de ansatte
Utdypende informasjon

easy:solutions tilbyr kursing av de ansatte med demo av de forskjellige svindel- og angrepsmetodene og hvordan avsløre disse på noen få sekunder.

Det er tidligere opprettet og sendt ut informasjon om dette, men vi opplever at få tar seg tiden til å lese dette og går i de samme fellene om og om igjen.

Kurs og demo har helt klart mer effekt da de ansatte får en interaktiv fremvisning av innholdet.

Eksempel på info tidligere sendt ut:

https://easysolutions.atlassian.net/wiki/x/AgBZ

Kost per enhet / ansatt pr. mnd

Kurs etter avtale.
Sikkerhetsinformasjon til ansatte sendes ut kostnadsfritt der vi ser behov for å sende ut slikt. 

Leverandøreasy:solutions



2Premium spamfilter
Utdypende informasjon

Standard spamfilter i Office 365 er svakere enn hva man som oftest har behov for.

Microsoft har en utvidet utgave av spamfilteret til en ekstra kostnad per bruker. Denne gir mer granulær kontroll for hva som skal blokkeres og tillates og varsler også dersom du forsøker å navigere fra en e-post til en eksponert webside / ressurs. Sistnevnte dekkes allerede av DNS beskyttelsen vi har anbefalt implementert tidligere.


Mimecast er en premium spamfilterleverandør hvor alle vedlegg teståpnes i et lukket miljø hos leverandøren av filteret - samt at det utføres alle sjekker Microsoft sitt utvidede spamfilter tilbyr.

Kost per enhet / ansatt pr. mnd

Microsoft: 17,-

Mimecast: fra 60,-

Leverandøreasy:solutions forhandler og forvalter både Mimecast og Office 365 for kunden



AlvorlighetsgradBLÅ






Trussel

Utdaterte enheter

Sikkerhetsrisiko

Ansattes enheter er sjelden up-to-date på versjoner av operativsystem og verktøy.

Dette gir en større angrepsoverflate. Sikkerhetsverktøy som SentinelOne og Umbrella DNS vil ta bort majoriteten, men for å sikre bedriften ytterligere er det viktig med oppdatert programvare hos klientene.

RisikoenhetAlle enheter i selskapet med tilgang til selskapets systemer.
TilkoblingstypeKabel, WiFi, VPN, easy:cloud, OneDrive, Mail
Tilgang tilAlle systemer
Sikkerhetsnivå idag

Risiko hos alle brukerne som ikke har oppdatert sine maskiner / mobiler.

easy:solutions anbefalingImplementer anbefalt sikkerhetstiltak 1 for alle brukere / enheter med tilgang til selskapets data.
Anbefalte sikkerhetstiltak
1Implementer management system som tvinger oppdatering av enheter
Utdypende informasjon

Det fins en rekke systemer for å påtvinge og kontrollere at klienter har siste versjon av en programvare. Den per idag mest aktuelle og dekkende løsningen for dere vil være Microsoft EMS som også er nevnt ovenfor ift kryptering av enheter.


Alternativt har easy:solutions en løsning som kan oppgradere klienter.

Kost per enhet / ansatt pr. mnd

Alternativer:

Per klient - easy:solutions MDM - 19,-
Per bruker - Microsoft EMS med MDM - fra 75,-
*Sistnevnte alternativ innebærer langt mer enn kun management 

Leverandøreasy:solutions forhandler og forvalter både MDM og Office 365 for kunden





AlvorlighetsgradGRØNN




Trussel

Ytterligere informasjon om EMS - Enterprise Mobility + Security

Sikkerhetsrisiko

Alle ovennevnte scenarioer hvor EMS er nevnt.
Sensitive dokumenter ment for spesifikke personer.

RisikoenhetAlle enheter i selskapet med tilgang til selskapets systemer.
Tilkoblingstype-
Tilgang tilAlle systemer
Sikkerhetsnivå idag

-

easy:solutions anbefaling

Implementering av systemet vil gi granulær kontroll og god sikkerhet for sensitive dokumenter.

Man vil kunne kontrollere hvem som leser hva - og få informasjon om hvem som leser hva.











For ytterligere informasjon, se; lexit.no