It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Tagg: övning

Muntlig övning ger också färdighet

Säkerhet för information kräver, precis som nationell säkerhet (läs: militär), övning.

Tyvärr finns det inte så många bra, vägledande exempel som är allmänt kända. Rick Rescorla som evakuerade Morgan Stanley från WTC är i och för sig ett men det är inte direkt it, övningar som Cyber Europe förekommer ibland men det är samarbete mellan stater,  emellanåt görs mindre övningar i disaster recovery lokalt på företag, det rör dock inte attacker.

Jag tänker mig lokala övningar som är scenariobaserade, oförberedda och som genomförs i verkligheten. Precis i stil med den övning som Facebook genomförde i höstas:

Early on Halloween morning, members of Facebook’s Computer Emergency Response Team received an urgent e-mail from an FBI special agent who regularly briefs them on security matters. The e-mail contained a Facebook link to a PHP script that appeared to give anyone who knew its location unfettered access to the site’s front-end system. […]

The FBI e-mail, zero-day exploit, and backdoor code, it turns out, were part of an elaborate drill Facebook executives devised to test the company’s defenses and incident responders. The goal: to create a realistic security disaster to see how well employees fared at unraveling and repelling it.

Jag ryser när jag läser artikeln. Fan vad bra. Trots detta är det alltså flera som ”absolut inte” vågar skicka privata meddelanden med Facebook.

Säkerhet handlar bara delvis om att förhindra intrång, att kunna upptäcka och agera är viktigare. Det är ett exempel på generella åtgärder mot specifika sårbarheter.

Tyvärr är de oerhört resurskrävande, ett billigare alternativ är det Försvarsmakten kallar muntliga stridsövningar. De kan förstås genomföras med mer eller mindre resurser, men på enklaste sätt:

  1. Samla patrullen,
  2. ge orientering om läget (”tivinote” för de som lärde sig den),
  3. delge patrullens order och
  4. ”prata igenom” hela lösandet av uppgiften från början till slut med hjälp av en karta.

Chefen som leder övningen ska förstås se till att lösandet inte går för smidigt utan regelbundet ta upp omfall: vad gör vi om det eller det händer?

Jag föreslog det här för den ansvarige på en säkerhetsgrupp på ett relativt litet svenskt företag för något år sen. Som alla andra så kämpade de med att de inte hade tillräckliga resurser. Trots detta verkade det som att de nästan alltid hade en timme över på fredagar efter klockan två…

Mitt förslag hette Halvtimmen (mest för att Timmen lät lite avskräckande, det kommer förmodligen att ta en timme), tanken var att man skulle samlas i ett konferensrum varje fredag, presentera ett scenario och sedan diskutera vad man skulle göra om det hände idag.

Det är två outputs som är relevanta här. Dels blir man snabbt varse om hur (dålig) kontroll man har, hur mycket man borde ha gjort tidigare och hur liten chans man har att hantera det (resurserna igen). Men framförallt blir man tvungen att öva, och det kostar inte mer resurser än den där halvtimmen eller timmen.

Om det dessutom kombineras med eftermiddagsfika är det ännu lättare att klämma fram ”gratistid”. Om du har rätt personal i säkerhetsgruppen kommer de gladeligen byta ut en ”vanlig” fika mot Halvtimmen.

Jag kan förstås inte publicera originalförslaget men jag hittade lite av mina anteckningar kring förslag på scenarion. Det går att komma på hur många som helst.

Halvtimmen

För varje scenario ska man fokusera på tre frågor:

  • Vad gör vi för att hantera situationen på en gång?
  • Hur borde vi har förberett oss på situationen?
  • Hur kan vi undvika att situationen uppstår i framtiden?

Den första frågan omfattar den muntliga stridsövningen, de övriga två fångar erfarenheter och det är dessa som kräver resurser utöver halvtimmen. Hör av dig om ni har tillämpat liknande muntliga övningar tidigare, det vore intressant att höra erfarenheter.

Annonser

Hälsa och säkerhet

Bloggrannen Cornucopia? skrev i veckan om AstraZenecas förargliga varsel i Södertälje och fick en kommentar från en läsare (Cornus fetstil):

Precis min spaning; och jag råkar vara utbildad läkare. Att KI eller AZ skulle syssla med att främja människors ”hälsa” är naturligtvis skrattretande absurt. Deras levebröd är just att människar har ohälsa, och där finns alltså inget som helst incitament att främja någon ”hälsa”. Hälsa främjas, precis som du skriver, av motion, tallriksmodellen, solsken, meningsfullt socialt liv, närhet, och i bästa fall kärlek. Lejonparten av dagens läkemedel har i princip syftet att minska biverkningarna från felaktig kost, stillasittende, och ensamhet. Att främja hälsa är extremt enkelt och billigt – mycket svårt att tjäna pengar på dvs. Att producera molekyler kallade läkemedel har däremot stora profitmarginaler.

Det kan vara det nyktraste jag läst på länge och jag kan inte låta bli att dra paralleller till säkerhetsbranschen. Det är svårt att tjäna pengar på säkerhetsarbete genom att:

  1. Förorda ordning, reda och disciplin.
  2. Hävda att man inte ska lägga all kraft på att förebygga problem.
  3. Säga att säkerhet är enkelt, det handlar bara om att göra det.
  4. Förespråka öppenhet gällande säkerhetsproblem.
  5. Tjata om att övning är viktigt.

Vad sysslar jättarna i branschen med? De stora är de som utvecklar och säljer produkter. Jag undrar om det verkligen är att gå för långt att använda den andra meningen i citatet ovan för att beskriva de flesta.

Analogin haltar lite. Vi har nämligen en extraordinär omständighet i vår bransch, något vi i princip bara delar med Polisen och Försvarsmakten; vi har intelligenta, antagonistiska motståndare. Motståndare gör säkerhet svårt. Inom ”hälsovården” har man inga intelligenta motståndare.

Det är fortfarande en mycket tänkvärd liknelse.

Rick Rescorla

Det tråkiga med att arbeta med säkerhet är att det är lite action på riktigt. Även om intrång är vanligare än de flesta tror så är det forfarande relativt ovanligt. Det handlar huvudsakligen (förhoppningsvis) om rutiner och förberedelser. Dessutom, ju hårdare du jobbar i den gråa vardagen, desto mindre chans är det att det blir ”allvar”.

Soldater har en liknande situation. Boken Bravo Two Zero, om en grupp från brittiska specialförbandet SAS som ska sabotera kommunikationsledningar i Irak under Gulfkriget,  inleds med ”Every soldier hopes for a major war in his lifetime. This one was mine.”

Som bekant förespråkar jag övning.

Rick Rescorla var sedan i början av 90-talet säkerhetschef på Morgan Stanley. Morgan Stanley har länge varit en av de största hyresgästerna i World Trade Center och Rescorla hade under 1992 påpekat för WTC-ägarna att säkerheten i garaget borde skärpas. Ett exempel på en attack som Rescorla föreslog var att köra in och detonera en bil med sprängämnen. Den 26 februari 1993 hände just detta. Sex personer omkom och något tusental skadades.

Vid evakueringen 1993 tyckte Rescorla att det gick för långsamt och efter att förslag om att byta kontorsbyggnad hade nekats från ledningen införde han regelbundna, oförberedda utrymningsövningar. Man kan enkelt tänka sig att det knorrades en hel del varje gång 3 000 personer fick släppa allt, ställa upp i korridoren och gå ner för trapporna två och två, påhejade av en säkerhetschef med tidtagarur och megafon.

Många av de anställda på Morgan Stanley slussar en hel del pengar under en arbetsdag så det handlar inte om några billiga övningar. IT-avdelningen var nog inte heller särskilt förtjusta över att backupbanden skulle förvaras i en annan byggnad på andra sidan bukten.

Rescorla såg det första planet träffa det andra tornet från sitt kontor på morgonen den 11 september 2001. Morgan Stanleys anställda var alltjämt informerade om att de inte skulle lyssna till vad hyresvärden sade åt dem i sådana här situationer (de uppmanade alla att stanna) och började på Rescorlas initiativ utrymma byggnaden. Precis som vanligt. Den här gången ljöd nationalsången och gamla, brittiska soldatvisor från säkerhetschefens megafon under evakueringen.

Omkring 15 minuter senare, när det andra planet träffade den byggnad som Morgan Stanley fanns i, var majoriteten av deras 2 700 anställda, och några hundra besökare som råkade vara där, ute ur byggnaden. Recorla och tre av hans assistenter gick åter in i byggnaden för att fortsätta evakueringsarbetet.

Beroende på vilken källa man väljer att lita på så förlorade Morgan Stanley sex eller tretton av sina medarbetare den 11 september. Fyra av dem var Rescorla och hans tre assistenter.

Från artikeln A Survival Guide to Catastrophe i Time:

Between songs, Rescorla called his wife. ”Stop crying,” he said. ”I have to get these people out safely. If something should happen to me, I want you to know I’ve never been happier. You made my life.” Moments later, he had successfully evacuated the vast majority of Morgan Stanley employees. Then he turned around. He was last seen on the 10th floor, heading upward, shortly before the tower collapsed. His remains have never been found.

Hollywood-aktigt? Ja, definitivt. Rescorla lämnade två barn efter sig och var dessutom dekorerad veteran från Vietnamkriget. Det är sånt här det görs filmer om. Riktigheten i informationen om sådana här sensationella historier ofta väldigt skakig så man ska ta det med en nypa salt.

Faktum kvarstår, i säkerhetsbranschen är det sällan allvar men det kan vända väldigt snabbt. Kommer man att ha kontrollen och rutinen som krävs för att hantera det? Det är en viktig fråga oavsett om ett flygplan plötsligt krashar in i byggnaden bredvid dig eller om en kollega kommer in och frågar om du har skapat ett konto med namnet x_marty på den viktiga servern.


Stefan Pettersson

Cyber Europe 2010

Apropå att inte kasta teknik, att öva tycker jag är bra. PTS (och Sitic) deltog i den europeiska övningen Cyber Europe 2010 igår, det hela råddades av Enisa:

The main objective of the exercise is to bring the Member States together and enhance the Member States’  communication and coordination efforts during a crisis. The exercise will test Member States’ abilities  to  find  the  right contacts and assess the competences in the other Member States during a large scale crisis.

Övningen är huvudsakligen intriktad på att testa kommunikation och kommunikationsvägar så den är inte särskilt säkerhetstekniskt inriktad. Detta förtar dock inte de generella fördelarna med en övning:

Exercises are an important mechanism to assess preparedness measures against cyber threats, natural disasters, and technology failures. They enable authorities to target specific weaknesses and increase cooperation among relevant stakeholders. Exercises identify interdependencies, stimulate continuity planning, train and educate people.

En officiell rapport kommer i början av nästa år, förhoppningsvis släpper PTS/Sitic egna lessons-learned också.

Trevlig helg!


Stefan Pettersson

Drift

Idag var en av de där läskiga dagarna när man jobbar på drift, disaster recovery-övningar. Idag provade vi hur de viktiga servrarna klarade av ett plötsligt strömavbrott. Oavsett hur bra koll man (tror att man) har på hur tjänsterna på en server fungerar är det rätt nervöst att dra ut sladdarna när den är uppe i nästan två hundra dagar uptime… Naturligtvis gick det inte som planerat (det gör det aldrig):

  • 07:00-08:00 klipp strömmen till servrar, håll tummar
  • 08:00-10:00 få tjänster att fungera igen innan någon märker något, tandgnisslan
  • 10:00-12:00 lura ut hur man undviker problemen nästa gång, ljus i tunneln
  • 12:00-18:00 ändra configs och uppdatera dokumentation, lite bättre än igår

Drift
Server- och nätverksdrift är relativt osexigt, vissa kallar det till och med ”förvaltning” för att göra det ännu värre. Jag skulle dock argumentera för att det är under driftfasen som säkerhetsarbetet har störst betydelse. Tyvärr har det blivit modernt att, nästan uteslutande, problematisera applikationsutvecklingen och säga att det är där slagen kan vinnas i framtiden. Undertecknad inkluderad. Vi har nog rätt. På sikt. Men inte riktigt än.

Men egentligen är det ganska enkelt. Brandväggar, patchar, långa lösenord, övervakning, åtkomstkontroll, logghantering och alla andra grejer är det som håller oss flytande medan vi fortfarande lever med dåligt utvecklade system. Det är inte utvecklare som håller våra nätverk säkra. Inte än. Det är fortfarande driften som kan bära största vikten.

(Med reservation för dålig drift… naturligtvis.)