Enkle tips for å øke sikkerheten på endepunktene dine

Herding og god administrasjon av endepunktene er viktig for å beskytte seg mot trusler. Endepunkter er alle fysiske enheter som er koblet til et nettverkssystem og de er ofte inngangsdøren for interne brukere som gjør feil, brukere som bevisst bryter regler eller målrettede angrep av kriminelle. Jørgen Styrmo Borghagen er seniorkonsulent hos Aztek og jobber med dette hos en kunde der det er strenge krav og høyt fokus på sikkerhet. I denne artikkelen deler han noen av sine tanker rundt god sikkerhet på endepunktene.

Hos kunden jobber jeg tverrfaglig med dyktige ressurser fra flere faggrupper. Det er høyt fokus på beskyttelse av smarttelefoner og windows arbeidsflater. Disse skal levere god sluttbrukeropplevelse, men samtidig være tilstrekkelig beskyttet. Dette er to behov i direkte konflikt der det er viktig å finne rett balanse. Et godt tips er å se på sikkerhetsherding som en løk med flere lag med beskyttelse. Det handler om å ha mange beskyttelseslag som sammen utgjør sterk beskyttelse. Desto flere lag i løken, jo lettere er det å håndtere unntak i enkelte nødvendig sikkerhetstjenester. NSM sine grunnprinsipper gir en god oversikt, og jeg vil anbefale alle å ta utgangspunkt i disse. Basert på dette har jeg laget en liste over noen av de viktigste aktivitetene jeg har fokus på rundt endepunktsikkerhet i 2022.

Oversikt
Skaff deg oversikt over alle endepunkter i ditt miljø. Gjør jevnlig revisjon basert på flere kilder for å sikre at du har fått med alle. Kryssjekk datagrunnlaget og sikre at endepunktene er innrullert i riktige tjenester. Det er viktig å fange opp endepunkter som faller utenom eller ikke er i henhold til krav.

Hold deg oppdatert
Sårbarhet utgjør en stor risiko og det finnes mange bevis på at sårbarheter har endt i sikkerhetsinnbrudd hos flere selskaper. Kjør derfor kontinuerlig scanning av endepunktene for 3. parts programvare, firmware/driver og oppdateringer. Jeg anbefaler å scanne alle, og ikke kun et utvalg som kun vil gi en indikasjon i miljøet. I tillegg er det viktig med verktøy som kan kjøre automatiske prosesser slik at oppdateringen går raskt nok. Det gjelder både oppdatering av HW-komponenter der leverandører ofte leverer oppdateringsverktøy, og tjenester som automatisk oppdaterer 3. parts applikasjoner på endepunktene. Dersom man er ikke ønsker automatisk oppdatering bør man bruke tid på en gradvis utrulling som sikrer at feil oppdages før det går ut til alle brukere. Håndter unntak som unntak og ikke la unntakene bli en standard!

Beskytt og begrens administrativ tilgang
Med privilegert tilgang på endepunktet mister man kontrollen. Det er derfor viktig å sikre forskjellig passord på alle endepunkter og rotere passord regelmessig. Der sluttbrukere trenger/må ha administrativ tilgang, opprett en egen bruker som kun benyttes til de oppgavene som krever denne tilgangen. Det er betydelig høyere risiko og bruke privilegerte brukere permanent.

Zero Trust
Zero Trust er et konsept der du ikke automatisk stoler på enheter/brukere, men kontinuerlig validerer tilgangen basert på flere målbare parametere. Du samler flere parameter i autentisering. Det kan for eksempel være lokasjon og enhetsinformasjon (compliance status, operativsystem etc). Dette prinsippet kan brukes til autentisering til både infrastrukturtjenester som VPN, Wifi men også sluttbrukertjenester. Resultatet er at du kan hindre uønsket tilgang til infrastruktur og tjenester for personer som ikke skal ha tilgang på en sikrere måte enn kun via brukernavn og passord.

Herding etter beste praksis
Det finnes flere kilder til anbefalte sikkerhetsherding på endepunkter. Microsoft selv har lenge tilbydd anbefalte innstillinger gjennom «security baseline» og flere andre sikkerhetsinstanser tilbyr det samme. Bruk dette som et utgangspunkt og ta høyde for at enkelte tjenester/endepunkter trenger unntak. En gjennomtenkt struktur gjør det lettere å gi enkeltunntak slik at ikke alle unntak må gis til alle endepunkter. Mange små tiltak gjør sammen herdingen god. Det å kun bruke tradisjonell antivirusbeskyttelse basert på kjente signaturer er rett og slett ikke godt nok. Gjør også løpende revisjon av herdingen gjennom automatiske tjenester og/eller med ekstern revisjon/penetrasjonstest.

Deteksjon og hendelseshåndtering
For å oppdage uønskede hendelser trenger man alarmsystemer som varsler basert på mange indikatorer og ikke bare kjente signaturer. Flere «Extedend Detection and Response» (XDR) løsninger bruker tusenvis av indikatorer for å detektere angrep. Det er samtidig viktig med gode integrerte sikkerhetsløsninger som gir verdifull aggregert data fra flere kilder. Dette gjør det lettere å se hendelser i sammenheng med hverandre og begrense skadeomfang raskere.

Segmentering
Begrens mulighet til vertikal og horisontal bevegelse i miljøet. Horisontal blokkering vil hindre at uvedkommende kan bevege seg mellom endepunkter, og en vertikal blokkering vil hindre at de kommer seg innover i miljøet og får tak i enda mer privilegerte tilganger. Jeg anbefaler å implementere en «Tiering modell» der du skiller adminkonto og brukerkonto, i tillegg til god nettverkssegmentering, for eksempel ved hjelp av mikrosegmentering og lokal brannmur.

Trenger din bedrift en sikkerhetsgjennomgang eller tips til hvordan dere kan øke sikkerheten på endepunktene dine så har Aztek ressurser som kan bistå dere med dette. Vi hjelper deg i gang eller gir tips til det arbeidet som allerede er gjort.