Personlig Zero Trust?
'Når ingen ting stemmer' passer på deler av hverdagen for de fleste. Inspirasjon til en kritisk gjennomgang av gamle (og nye) vaner – og målestokker. Bygger vi fremtiden eller fikser vi på historien?
Forskjellen er enorm – ikke minst med hensyn til (digital) sikkerhet. 'Så godt vi kan' var den gamle målestokken. 'Så godt som mulig' er den nye – gitt at vi definerer 'mulig'. Der synder de fleste - profesjonelt og privat. Men unntakene finnes. Her er ett av dem - til inspirasjon og ettertanke.
En sikkerhets- og nettverks-ekspert vi kjenner (i California), overlater ingen ting til tilfeldighetene. Omstendighetene, jobben og personlige interesser kvalifiserer et sikkerhets-fokus utenom det vanlige – på våre kanter. Dessuten - i motsetning til de fleste av oss – handler han først, snakker etterpå – og forteller aldri hele historien.
I California brenner det bokstavlig talt rundt ørene på mange. Enorme branner, røykproblemer, strømstans over lengre perioder, opptøyer og hamstring i forbindelse med pandemien og ikke minst valget. Robusthet, cyberforsvar, praktisk beredskap er tettere på. Akutte nødvendigheter snarere enn prosesser mot mer langsiktige mål, som er en alminnelig holdning lokalt. Her har vi mye å lære. For om utfordringene ikke er like, er mange av dem beslektet. Og pandemien har gitt oss alle en ny definisjon av akutt: Tidligere teoretiske trusselbilder er plutselig aktuelle. Da er forberedelser ikke lenger luksus på fritid, men nødvendigheter for overlevelse.
Hva gjør en (litt paranoid) teknolog for å bygge robusthet, sikre seg, holde hjulene i gang? Her er noen ideer - hentet direkte fra Silicon Valley der de er høyeste virkelighet hos én av våre kontakter:
- Isolasjon: Ingen sammenkobling av hjemmenettverk og jobb - i dette tilfellet 'jobbene'. Ingen grunn til å stole på dem, av mange ulike årsaker. Derfor - all jobbkontakt via skjermdeling eller web fra utstyr uten lokale forbindelser – og som dertil er fritt for private 'eiendeler': Dokumenter, passord/nøkler, kontakter, filer, innloggingsinformasjon etc.
- Separasjon: I hjemmenettverket har alle hovedfunksjoner separate VLANs: WiFi (internett), lokal lagring, underholdning, sikkerhet (overvåking), telefoni (voip) etc. Ingen ruting mellom dem og intrusion detection (Snort) i ruteren (pfSense, se Generasjonsskifte i nettverket: Fra SDN til 6-pack og P4). Gjester får WiFi-tilgang via eget gjestenettverk - som finnes på de fleste aksesspunkter i våre dager (Ubiquity i dette tilfellet). Ingen deling av passord og nøkler.
- Kryptering: Cloud-lagring (AWS/Box/Dropbox etc.) krypteres med hjelpemidler som Boxcryptor og Cryptomator, pluss 'filename scrambling' – som fjerner enhver kobling mellom navn og innhold. Irriterende hvis vi skulle ha behov for en snarvei inn i arkivet, og tilsvarende effektivt.
- Passord: Automatiske, lange og kompliserte passord over alt via 1Password eller tilsvarende, som også lagrer kredittkort-info og annen kritisk 'småinformasjon'. Lagres kryptert i skyen, tilgjengelig på alle enheter, aksess kun via personlig nøkkel kombinert med valgt tofaktor autentisering. Verktøy som 1Password legger også til rette for 'sikre' brukernavn - der brukernavnet ikke er e-postadressen. Da kan navnet gjerne være '3(&dpzz$j^k' – en enorm fordel i tilfelle nettstedet skulle bli hacket. Som bruker ser vi navnet omtrent like lite som passordet.
- Webtjenester: De færreste av oss har egne web-tjenester, men vår kontakt har flere – WordPress-baserte med tofaktor autentisering (kode-brikker eller digitale tjenester som Authy, aldri SMS) og sertifikater som roteres hver måned (Let's Encrypt). Alt godt gjemt bak CloudFlare's CDN og revers proxy tunneller (se SECaaS: Agentene overtar) så ingen IP-adresser er synlige. Anonymisering og DDoS-beskyttelse.
- Backup av private data: Rimelig paranoia betyr blant mye annet å ha eget lagringsnettverk og egne NAS-systemer for personlige data – som også trenger backup. Først speiling (rsync) via kryptert kanal til en pålitelig lokasjon i nærheten. Dernest cloud-backup, som er akseptabelt hvis mekanismen er god nok. ARQ og Synology Hyperbackup er 'godkjent' av vår kontakt, og lagrer til Wasabi og AWS – med rotasjons-regimer som vi med litt humor karakteriserer som 'for viderekomne'.
- Privacy: SIM-swapping får lite oppmerksomhet, men er en reell risiko og et voksende problem i takt med at telefonnummer blir ID-nummer og telefonen den fysiske nøkkel til mange tjenester. Vanskelig å beskytte seg mot fordi mekanismene er utenfor vår kontroll. Men litt kreativitet hjelper, og vår kontakt anbefaler: Opprett en gmail-konto som brukes kun som gjenopprettingsadresse for alle tenkelige konti. Kontoen skal ikke finnes på noen mobile enheter, kun en hjemmemaskin. Dermed blir det umulig for SIM-swappere å endre passord på våre konti – gjenopprettingsmeldingene kommer aldri frem. Ikke bombesikkert, men en skikkelig nivåheving (det finnes mekanismer som hever terskelen ytterligere).
- En naturlig innledning til neste punkt: Aldri SMS til autentisering eller godkjenninger. Her synder de fleste av oss daglig, både privat og profesjonelt. Og SMS er bedre enn ingen ting, men representerer et nivå som for mange ikke lenger er akseptabelt. Utsatt ved SIM-swapping, men like mye på grunn av svakheter i den bakenforliggende teknologien - kjent som SS7. Kjente utfordringer for sikkerhets-spesialister - og sterke argumenter for å holde SMS unna våre sikkerhetsregimer.
- Sporing på nett: Muligens selve rosinen i pølsen, noen vil kalle det reell paranoia – å velge en nettleser som blokkerer all sporing (Brave) og en søkemotor som gjør det samme (DuckDuckGo). Og toppe det hele med anonymisert nettaksess via Tor-nettverket, som anonymiserer alt og som mange tror kun brukes av de med ugler i mosen. Realiteten er mer nyansert.
Listen fortsetter – med elementer som ikke er relevante på våre kanter, men bygger videre på det samme bildet: Leave no stone unturned. Grundigheten og valgene bør være interessante for IT-profesjonelle flest – og relevante for mange, spesielt sikkerhets-ansvarlige. Vi skal ikke bare vite, men praktisere. Og gå foran som gode eksempler. Inklusive å bytte løsninger og valg vi gjorde for 6 måneder siden, med nye. Å være i forkant er en del av jobben.
For vår kontakt er dette den personlige delen av 'forsvaret', men både innstilling og tiltak passer for små og mellomstore foretak nærmest hvor som helst. Gjennomgangstonen er zero trust fra ende til annen, og poenget - i tillegg til eksemplenes verdi, er å gjøre tiltakene til kultur i stedet for noe 'sært som vi gjør fordi vi må'. Da har cyber-sikkerhet og cyber-forsvar fått et skikkelig løft. Da vil vi – først de 'digitalt profesjonelle', dernest 'folk flest' – få god cyberhygiene i blodet.
At det er mulig, har pandemi-tiltakene vist. Vi vasker, spriter, albuehilser og holder avstand mer eller mindre automatisk – etter noen få måneder. Vi responderer på forsvarstiltakene som vi gjør på sikkerhetsbelter: Som selvfølgeligheter – og vårt ansvar.
Legg igjen kommentar
Du må være innlogget for å kunne kommentere.