Någon försöker logga in på min tjänst! Vad ska jag göra och tänka på?


IT-säkerhet är komplicerat och tekniken förändras hela tiden.

Det är viktigt att se till att alla de tjänster, system och verktyg som ni använder i er verksamhet är säkra. Inte bara så att de fungerar väl utan även för att hålla ute obehöriga.

 

Visste du att även en lugn dag sker ca 5-6000st olika försök per timme i genomsnitt.

Av dessa är det kanske något hundratal som är lite mer avancerade och per dag är det vanligtvis några fler, ca några hundra olika lite mer genomtänkta attacker som faktiskt skulle kunna vara farliga för system med "för låg säkerhet".

Skulle man i ett nätverk använda en "dålig" brandvägg, dvs en brandvägg som inte klarar att leva upp till de krav som ställs på företagstjänster och serverdrift (exempelvis enkla konsumentbrandväggar för några tusenlappar styck som tyvärr förekommer på vissa företag där man inte gjort en ordentlig behovsanalys för sin verksamhet och IT-behov) så skulle sannolikt ett mycket stort antal av dessa intrångsförsök eller nyfikna snokande lyckas, i många fall med katastrofala konsekvenser.

Som synes av sifforna ovan är det totalt uteslutet att inte använda riktiga brandväggar och om någon försökt tuta i er att man ska sätta er server direktansluten mot Internet så vet ni nu hur ni ska bedömma deras så kallade kompetens inom området.

 

En snabb parentes om konsumentbrandväggar, dvs brandväggar som lider kraftigt av den hysteriska prispress som råder för produkter med målgruppen hemanvändare och små företag: dessa produkter är inte bra, säkra, funktionsmässigt dugliga och är inte designade för att stå i drift 24/7 med den belastning och de funktioner som det innebär och krävs för en firewall som ska skydda tex en enkel webserver.

Bara driften, dvs till och med att det bara går ström igenom produkten och även om det knappt går någon trafik, sliter på produkten och en billigare produkt kommer tveklöst att falera. Det är verkligen värt varenda krona att inte snåla med servertjänster, funktioner för infrastruktur och särskilta de viktiga säkerhetsfunktionerna. Detta gäller även kompetens, att tro att man in-house ska lösa problem som ligger långt utanför verksamheten och kräver unik expertkompetens är ett farligt och ödesdigert misstag som allt för många gör.

Har du läst hit och tvekar om ni verkligen själva ska göra delar av IT-säkerhetsarbetet och systemadministrationen det innebär så bör ni slå en signal.

Är ni 100% övertygade om att ni ska göra det själva så bör ni verkligen slå oss en signal, risken är stor att ni har en ofullständig behovsanalys!

 

IT-säkerhet ÄR svårt. Ingenting konstigt med det, ert företags huvudsakliga arbete är också svårt för personer som våra IT-tekniker som saknar kompetens inom ert område.

Vi har personal med expertkompetens inom IT-säkerhet och dift av affärskritiska serversystem, dra gärna nytta av vår långa erfarenhet och kunskaper inom området.

 

Vad är "försök"?

Någon har försökt logga in på er tjänst? Kanske har de försökt gissa VDs lösenord till mailen? - man kan vid en första anblick tro att en så enkel sak inte är så farligt.

I själva verket är det början på vad som kan utvecklas till en total katastrof. Varför? Jo, flera orsaker - inte minst att kunna obemärkt röra sig i era system, snoka, stjäla information och agera i någon annans namn men även begära ut lösenord via epost och nå andra tjänster. Just tjänster med inloggning som E-post, SSH, FTP, Webbaserade tjänster är oerhört viktiga att skydda. Särskilt om ni slarvar och använder liknande eller kanske till och med samma lösenord på flera olika tjänster.

Inte sällan försöker man komma åt externa funktioner som tex facebook, twitter eller instagram och därifrån "gå vidare". Kanske kan man få lösenordet på köpet från en annan tjänst och direkt logga rakt in i mailen och nu börja stjäla information eller ännu värre saker. Mer om detta nedan.

 

Majoriteten av de försök som utförs är idag ganska simpla och går faktiskt att skydda sig mot med ganska enkla metoder men underskatta aldrig vikten av att ha alla system och rutiner säkra, personal måste vara medvetna om säkerhet och hantera information och lösenord på ett säkert sätt.

Med enkla rutiner och genom att tänka igenom i förväg så är ni beredda och förebygger de allra flesta problemen så de inte behöver inträffa.

 

 

 

Vår personal med expertkompetens inom bland annat systemdesign, nätplanering, IT-säkerhet och serverdrift hjälper er gärna att både förebygga, följa upp och förbättra men även om ni har drabbats av en incident som behöver hanteras på rätt sätt.

 

Regel 1:

Förlita er aldrig på att (poteniellt dåliga och utdaterade) system tar hand om det där med säkerheten åt er.

Det gör de nämligen icke! Datorer är i regel korkade och gör bara det man säger åt dem.

Exempelvis: Har du en automatiserad funktion som sköter övervakning av en tjänst så gör den bara det du sagt åt den och om omvärlden förändrats behöver även funktionen förändras också.

 

Med SirV får ni en effektiv, automatiserad och pålitlig funktion som sköter såväl övervakning av själva systemet (tex hårdvara) och i många fall upptäcker fel redan innan de inträffar så att man kan sätta in förebyggande insatser (som att byta en hårddisk innan den hunnit gå sönder) som kontroll av att tjänster (tex mjukvara, lokala och externa resurser) fungerar som de ska och meddelar er och/eller vår support vid eventuella problem.

SirV klarar även att automatiskt blockera användare som gör många misslyckade försök och bidrar till att höja säkerheten markant så att ni har en bättre möjlighet att stå emot de försök som tveklöst kommer att inträffa från den sekund er server/tjänst driftsätts.

Det SirV eller något annat system, hur väl genomtänkt det än är, kan göra åt er är att rädda er från problem som uppstår vid dålig säkerhet, tex räcker det med att en enda av era användare har ett dåligt lösenord - kan man utifrån logga in på en tjänst så kan man troligtvis gissa sig fram till lösenord, även om man har funktioner som fördröjningar vid misslyckade inloggningsförsök eller till och med att användare och/eller IP-adresser blockeras helt vid misslyckade försök så kommer obehöriga utan tvivel förr eller senare att kunna logga in på den användares konto som har ett dåligt lösenord, därför:

 

Regel nummer 2:

Utgå alltid från att saker som kan gå fel förr eller senare kommer att gå fel. Detta gäller inte bara hårddiskar som tveklöst fallerar (enligt statistiken inom 1-3 år normalt sett, vilket är anledningen att man måse övervaka alla sina serversystem och använda RAID och en pålitlig backup-tjänst) utan även att fel som kan begås av användare kommer att ske. Handhavandefel är faktiskt den största orsaken till att intrångsförsök kan lyckas eller att man behöver återställa filer från en backup (oavsiktlig radering, man raderar fel fil helt enkelt).

Om ni planerar för katastrofen så kan ni lita på er IT. Om ni väljer att inte planera för att fel kan inträffa så har ni en felaktig behovsanalys.

 

Viktigt! Skydda användarnamn och lösenord

Använd aldrig lösenord som är enkla att gissa, se gärna denna artikel med tips på hur man skapar bra lösenord som ändå är enkla att hantera i vardagen, om ett lösenord innehåller ett vanligt ord så går det snabbt att knäcka. Att lägga till månadens namn, en siffra eller liknande hjälper föga. Lösenordet skall vara svårt att knäcka; Långt, innehålla många olika typer av tecken (siffror, stora och små bokstäver, andra tecken som &;=] osv) och bytas ofta.

Tänk på: Användarnamnet är något många helt missar att skydda. Om en obehörig person enkelt kan lista ut användarnamnet (user, admin, root eller liknande) så behöver de bara knäcka själva lösenordet - minst halva jobbet är klart. Bjud inte obehöriga på detta utan se till att alltid och uteslutande använda användarnamn som är svåra att lista ut:

 - Undvik personnamn (tex Claes Andersson ska inte få användarnamn av type: claes, claesandersson, om man absolut måste så välj i så fall claeander42 eller något sådant men bäst är om han har ett användarnamn som är omöjligt för obehöriga att lista ut eller gissa sig till).

 

 - Undvik korta användarnamn (tex claes är uteslutet).

 - Om möjligt lägg till tecken (andra tecken än bokstäver) även inuti användarnamn.

 - Använd olika syntax, längd och utformning för olika användarnamn, om möjligt även på samma system. Vet man Lisa Svenssons användarnamn och lösenord så ska man inte kunna gissa sig till Claes Anderssons användarnamn och lösenord på ett enkelt sätt).

 

Försök om möjligt utforma alla tjänster så att en obehörig person som måste gissa sig till ett lösenord och användarnamn kommer att behöva generera flera misslyckade inloggningsförsök. Detta kommer att skapa loggar och trigga funktioner i övervakningssystem så att användaren i många fall helt enkelt blockerar sig själv från att kunna göra flera försök eller så att er (eller vår) personal som sköter den dagliga övervakningen och driften för systemen i värsta fall "bara" manuellt ser försöken och kan agera.

Tänk på att det med ett enkelt script är möjligt att göra tusentals inloggningsförsök på bara några sekunder. Det finns färdiga "kit" på nätet som gör en vanlig datoranvändare med obefintliga kunskaper om IT-säkerhet till en farlig cracker som på kort tid kan bryta sig in i era affärssystem, lagringstjänster, epostsystem, servrar och stödsystem vilket skapar både skada, oreda och problem men självklart också kan leda till allvarligare problem.

 

Misstänkter ni att ett system är komprometterat MÅSTE ni agera omedelbart. Börja med:

 

1. Kontakta vår support. Vår drift/jour nås dygnet runt på 08-91 55 44. Be om hjälp att reda ut ärendet om ni inte är 100% säkra på att ni själva har kompetens att leda utredningen. Är det ett system som vi ansvarar för (tex en Dedikerad Server) kan det dessutom vara så att ni har en skyldighet att informera oss. Ett samtal är enkelt, går snabbt och ett problem som ni själva kanske bedömmer som litet vid en första anblick kanske vår personal kan förstå bättre och det till synes lilla problemet kanske är betydligt mer omfattande än vad ni själva först trott.

 

2. Säkra bevis. Här krävs expertkompetens inom IT-säkerhet och serveradministration. Det är viktigt att göra en ordentlig bedömning. Startar ni tex om systemet kanske det är omöjligt att spåra exakt vad som skett och en mer omfattande åtgärd i ett senare steg blir den enda vägen att gå.

 

3. Säkra systemet. Tex: har obehöriga tagit sig in i systemet så stoppar ni snarast möjligt alla möjligheter för obehöriga att fortsätta använda systemet på något sätt. Detta görs lämpligen tillsammans med steg 2.

 

4. Få igång tjänster som berörs. Är systemet ett så kallat single point of failure, dvs det finns inga backup-system så kommer nu driftstörnignar att kunna inträffa. Nya tillfälliga system behöver sättas upp och ta hand om driften/lasten under tiden arbetet med att söka igenom och åtgärda det första systemet pågår.

Vi har här flera olika typer av tjänster som är enkla att få igång snabbt, tex VPS eller CDN kan vara bra genvägar till snabba lösningar som löser ett problem på ett enkelt sätt snabbt.

 

5. Identifiera risker. Var systemet anslutet till andra system? Andra nätverk? Förutsätt att ALLT annat som är anslutet, kan nås från det drabbade systemet, också är osäkert och behöver åtgärdas. Blockera alla möjligheter för användare att nyttja dessa system och gå manuellt igenom ALLT. Vid första misstanke: säkra bevis, analysera vilka följdproblem som inträffar/kan inträffa, sök igenom och åtgärda (se nedan). Detta steg kommer i de flesta fall leda till många och tidskrävande arbetsuppgifter. Se till att ni har personal med rätt kompetens i den omfattning som behövs, ta in hjälp från compartment ABs konsulter om ni inte redan gjort så. Gör inte misstaget att ta genvägar för att spara tid - en dåligt genomförd analys och åtgärd innebär att problem finns kvar och är nästan värre än att inte göra någonting alls.

Detta är ett tidskrävande steg och det måste få ta tid. Bulla upp med kaffe, bra musik, snacks och mat, ser det ut att bara bli en lång natt kan det räcka med lite motivasions- och koncentrationshöjare men planera för att det uppstår följdproblem - ni vill inte ha ALL er personal med viktig expertkompetens utslagen förmiddagen efter när dessa följdproblem uppstår, låt folk jobba i skift och vara redo att (utvilade) komma tillbaks och fortsätta.

Ser ni direkt att det kommer att krävas dygnet-runt-arbete under flera dygn så är det viktigt att direkt lägga upp en bra arbetsplan - helst medan ni är på steg 2 och 3 så att ni redan från början får upp arbetstakten på ett sätt så att ni kan jobba på i högt tempo oavbrutet tills problemet är löst.

 

Tänk på: säkrar ni inte spår så kan andra komma tillbaks till er i efterhand. Har ni haft obehöriga användare i ett system så kan det mycket enkelt ha använts för att begå andra brott på Internet. Om inte ni kan uppvisa att det inte var ni själva så kommer ni att framstå som om det var ni själva som begick dessa brott. Hur som helst så är det tveklöst ni som ansvarar för det som hänt på de aktuella systemen så det ligger i ert intresse att veta vad som hänt, förstå hur det kunnat hända och skydda er så det inte kan hända igen. Väljer ni att inte göra detta arbete själva utan lägga ut det på compartment så är inga mer glada än vi - vi vet hur man utför den typen av uppdrag på ett effektit sätt men att INTE utföra detta steg är inte ett alternativt. Vi repeterar igen: att sopa problem av den här typen under mattan är inte möjligt, det är inte bara omoraliskt, korkat, potentiellt olagligt (i flera fall definitivt olagligt och med 100% säkerhet ett eller flera avtalsbrott), skadar andra och er själva och bidrar till ett sämre Internet utan dessutom så kommer ni inte att kunna besvara frågor i ett senare skede. Gör ni inte utredningen så vet ni ju faktiskt inte vad som skett, hur, av vilka, varför och vad de kommit över eller utfört. I iert namn. Att skydda ett företag mot dessa risker är en självklarhet och är det våra system ni använder är det ett absolut krav från vår sida som inte är förhandlingsbart (alla Internetoperatörer och tjänsteleverantörer har en skyldighet att stänga av kunder som missköter sig).

Har ni själva produktion av IT-tjänster i egen regi så är det än värre; ni är en egen operatör på Internet i det här avseendet och ni har ett ansvar gentemot andra, Internet som sådant, era leverantörer och det är ni som inte bara riskerar att bli avstängda med de följdproblem som det medför utan även hållas ansvariga för vad som hänt.

 

Summering: man gör ett ordentligt arbete här, även om det är 5 på morgonen efter och man helst vill avrunda så kan man inte göra ett slarvigt jobb i det här läget. Anlita experter som har vana och kompetens för att utföra uppdraget.

Installera INTE om systemet i detta moment, analysera först. Dra ut näterkskablar eller annat för att tydligt och med 100% säkerhet stänga av system som ni inte vet om ni kan lita på.

Notera alla utstående frågor, vad som görs, vad som skjuts upp.

Dokumentera allt. Efter många timmars slit när folk börjar bli trötta så är dessa anteckningar livsviktiga för att förstå var ni befinner er.

 

7. Dokumentera, gärna för mycket.

 

8. Nu först kan vi börja med åtgärder.

Tänk en extra gång innan du installerar om ett system. Tänk på att alla sammankopplade system måste hanteras. Detta gäller även nätverk och resurser som går att nå från ett potentiellt drabbat system. I och med att system startas om, installeras om eller ändras går det inte längre att fortsätta utreda i dem.

Om du väljer att inte installera om, tänk till en extra gång även då. Det är väldigt enkelt att installera dolda bakdörrar, skapa och kryptera dolda sektioner på ett filsystem (även till synes oanvända delar av tex en hårddisk kan innehålla information som enbart är synlig om man vet hur man ska titta så för dig - om du inte vet hur du ska "titta" så är de ej synliga). Vet du att ditt system är säkert? Om inte kan du behöva installera om det.

Gå igenom ev system för snubbeltrådar, EWS (Early Warning Systems), attackloggningsfunktioner och liknande och se vad som behöver förbättras (ja, något behöver bevisligen förbättras om vi är i den här situationen). Saknas bra system för tex snubbeltrådar och nätverksövervakning så bör detta nu införskaffas. Tex Sniff är en typ av produkt som bör finnas i varje serverrum.

Notera förbättringar som behöver göras. Finns det vissa säkerhetsbrister som av någon anledning "måste" finnas med i de nya systemen och inte kan rättas till så måste detta noteras, övervakas och om möjilgt kompenseras för med annan branväggskonfiguration eller liknande.

9. Ta ställning till vilka förbättringar som omedelbart behöver göras för Brandväggar, AntiVirus, manuell och automatiserad övervakning, regelbundna kontroller för att hantera förebyggande insatser och åtgärder i efterhand för fel som uppstått. Skapa och använd Accesslistor (ACL) för att begränsa och reglera tillgång till system, tjänster och funktioner.

Stäng portar som inte måste vara nåbara (ens med accesslistor) och ersätt med VPN där det är möjligt. Se till att säkra VPN-accesserna.

10. Kontrollera, dubbelkolla och prova att driftsätta i teorin, gå igenom alla steg, se vad som kan falera. När torrsimmningen är klar utan problem, testa att gå igenom stegen på ett system innan det sätts i drift - fungerar det i praktiken? behöver konfiguration uppdateras? behöver mjukvaror installeras eller uppgraderas? Dokumentera.

Driftsätt ett system under kontrollerade former, övervaka loggfiler och testa att skicka igenom trafik. Ser allt ok ut? prova med resterande system, om möjligt ett i taget för att upptäcka eventuella missar och fel.

Använder ni lastbalansering (finns stöd i bland annat Nidavellir för lastbalansering) så övervaka varje nod i varje pool när ni lägger till dem, notera eventuella varningar från lastbalanseraren och skapa riktig trafik och se att varje enskild nod fungerar felfritt.

Används andra typer av kluster så görs motsvarande kontroller där. När vi nu driftsätter det nya systemet vill vi vara 100% säkra på att allt fungerar som det ska och att inga fel finns kvar från den föregående versionen som drabbades av problem.

11. Övervaka. Minst de närmsta dygnen ska ni (någon, tex vår personal) bevaka systemet och notera om tex blocklistor behöver uppdateras, fel som upptäcks måste rättas till och oönskad trafik mot systemet måste hanteras. Du vill helst se i realtid om någonting går rejält fel, dels går det snabbare att åtgärda men framför allt så ser du exakt vad som går fel och varför - information som tar längre tid att gräva fram i efterhand och i vissa fall inte går att få fram.

12. Se till att era rutiner för övervakning, systemförvaltning och drift samt kanske även supportfunktionen är uppdaterade med den aktuella informationen och dra lärdom av de fel och problem som inträffade och lägg in det i det ständigt pågående projekt för förbättringsarbete som åtminstone er systemförvaltning ska ansvara för.

Nu kan ni pusta ut och passa på att fira med en raspberry pi eller annat lämpligt ;)

 

Läs mer om våra konsulttjänster, serverhostingtjänster och supporttjänster på compartment.se

Senast uppdaterad:
2015-02-13 13:49
Av: :
compartment AB
Ny version:
1.1
Resultat av röstning:0 (0 röster)

Du kan inte kommentera den här frågan

Chuck Norris has counted to infinity. Twice.

Inlägg i den här kategorin

Taggar


bannerbyte.eu