Vad är nätverkssäkerhet? Nätverkssäkerhet kan användas på flera sätt för att skydda ditt nätverk, i olika delar av nätverket. Eftersom alla verksamheter behöver använda internet och digitala tjänster är det viktigt att sätta gränser och se till att inget skadligt innehåll kan komma in i ditt nätverk – särskilt om du har känslig eller hemligstämplad information. Det kan röra sig om fysisk säkerhet där fysiska komponenter i nätverket endast kan nås av de som behöver komma åt dem. Det finns också teknisk nätverkssäkerhet där data och system i nätverken är skyddade. Till sist finns administrativ säkerhet som innebär att det finns policyer och processer för t.ex. åtkomst till nätverket.
När och varför behöver du nätverkssäkerhet?
Om du arbetar med känslig information är nätverkssäkerhet högst nödvändigt. Nätverkssegmentering minskar risken och begränsar skadan av en cyberattack. Utan segmentering finns det risk att känslig information kan läckas eller manipuleras, samt att malware och ransomware kan sprida sig okontrollerat och snabbt. Attackerare går oftast inte direkt mot målet, till exempel eldistributionen. I stället nästlar de sig in via svaga punkter långt ute i arkitekturen, via mejl eller kundtjänst, som ett sätt att nå målet. Statsunderstödda attackerare har dessutom tålamod, är beredda att jobba långsiktigt, gör allt i små steg och ligger tyvärr ofta steget före. Den krassa verkligheten är att verksamhetens styr- och kontrollsystem kan vara angripna utan att det märkts.
Det är dock varken praktiskt eller ekonomiskt försvarbart att skydda all information på samma sätt. För att skydda kritisk information och kritiska system måste nätverkssegmentering tillämpas, genom en kombination av fysisk och logisk separation.
Logisk och fysisk separation
Var behövs fysisk separation? Den absolut mest skyddsvärda informationen kräver fysisk separation. I enkla ordalag handlar det om att skapa en isolerad ö utan koppling till omvärlden. Detta minimerar riskytan – angriparen måste sitta vid själva datorn som innehåller den skyddsvärda informationen. Fysisk separation är ytterst effektiv, men för att den ska fungera praktiskt i dagens värld, måste ett kontrollerat informationsutbyte möjliggöras utan att ge avkall på isoleringen.
Men när använder man logisk separation? Överallt förutom när man skyddar kritisk information eller kritiska system. Kontorsnätverk bör använda logisk separation. Olika delar av verksamheten skapar sina egna zoner – ekonomi, marknadsföring, försäljning, kundservice etc. – var och en med olika befogenheter, så som Identifiering och Åtkomsthantering (IAM). Som medarbetare har du bara tillgång till det som rör ditt jobb. Du når relevanta dokument, inte hela mappstrukturen. Logisk separation fungerar som fortets inre ringmurar. Den försvårar för angripare att attackera vidare inom systemen och få tillgång till hela IT-miljön.
Läs mer om olika sätt att skydda sitt nätverk på!
Hur implementerar jag nätverkssegmentering?
Att segmentera en IT-miljö kan vara en mycket komplex uppgift som omfattar många olika kompetenser och som kan få stor påverkan på pågående verksamhet. Komplexiteten beror på saker som hur stor miljön är, hur nuläget ser ut, budget, vilken personal som står till förfogande och viljan hos ledningen.
Nedan följer fem steg som man kan ha som utgångspunkt när man börjar planera sitt segmenteringsprojekt.
1. Skapa en zonmodell
2. Definiera vad som ska segmenteras
3. Gör en säkerhetsanalys av ingående system
4. Partitionera systemen enligt zonmodellen
5. Implementera, testa och driftsätt
Läs vår guide om hur du börjar med nätverkssegmentering!
Vilka är fördelarna med zonindelning och nätverkssegmentering?
Zonindelning av ett IT-system görs både av säkerhetsmässiga och funktionella anledningar. Generellt sett är den bakomliggande drivkraften att minska risken för olika typer av störningar i systemet. Säkerhetsmässigt handlar zonindelning om att samla tillgångar med samma typ av skyddsbehov med avseende på sekretess, integritet, tillgänglighet och åtkomst. Ju högre krav som ställs på skydd av ett system desto mer kostar det att bygga och underhålla systemet och skyddsmekanismer vilket gör att man av ekonomisk hänsyn vill sträva efter att minimera storleken på system med höga krav på skydd.
Detta innebär att man genom zonindelning bör försöka samla tillgångar med högt skyddsbehov och separera dessa från tillgångar med lägre skyddsbehov. Med segmentering menas att man har separata zoner för sina tillgångar, men oftast tillåter man ändå viss kommunikation mellan dessa zoner. I vissa lite mer extrema fall kan isolering eller ”galvanisk separation” vara aktuellt och då tillåts ingen nätverksbaserad kommunikation mellan zonerna.
Läs mer om zonindelning!
IT/OT-integration
Ett exempel på hur du kan separera dina system och nätverk via zonindelning, men ändå låta dem kommunicera säkert, är IT/OT-integration.
Historiskt har OT-system ofta varit helt frikopplade från omvärlden. I takt med samhällets digitalisering har behovet att koppla samman OT med omvärlden ökat. IT och OT kopplas därför samman, och ofta använder man samma typ av teknik inom IT och OT. De skilda behoven inom IT och OT leder lätt till tekniska konflikter som kan vara utmanande att hantera.
Separera IT och OT fysiskt med zonindelning
Genom att separera IT och OT i separata segment kan man undvika att sårbarheter eller störningar inom IT påverkar OT. För att undvika risker som följer av misstag i konfiguration eller funktion bör man använda fysisk segmentering (zonindelning). Det innebär att det är separat hårdvara som används för IT respektive OT.
Använd en datadiod i zongränsen för dataflöden ut från OT
Det säkraste sättet att koppla samman ett datanät, som inte skall kunna påverkas utifrån, med omvärlden är att använda datadioder. Alla dataflöden ut från OT som kan hanteras med datadioder medför en förenklad säkerhetsanalys, helt enkelt därför att datadioden är så lättanalyserad och säker, eller mer korrekt: har så hög assurans.
Tillåta viss information i zongränsen
För de dataflöden där datadioder inte är lämpliga kan man istället använda system som säkerställer informationsflödet, som till exempel ZoneGuard. För att undvika att skadlig kod kan komma in och påverka processen gäller det att strikt separera och kontrollera alla dataflöden över zongränsen. Den säkraste metoden är att strikt styra den information som tillåts passera zongränsen. Genom att förhindra till exempel transportprotokoll undviker man helt många av de risker som man annars skulle utsatts för.
Läs mer om säker IT/OT-integration!
Olika typer av nätverkssäkerhet
Det finns många sätt att skydda sitt nätverk på – här är några av dem.
VPN-krypton
Ibland är det nödvändigt att kommunicera över Internet, men informationens känslighet kan hindra dig från att öppet kunna skicka den till mottagaren. Lösningen är att använda ett VPN-krypto (Virtual Private Network). VPN-krypton kan användas för att skydda ditt nätverk, medan du är ansluten till Internet, genom att skapa säkra och privata tunnlar mellan en enhet och ett nätverk, eller mellan två nätverk. På så sätt kan du vara ansluten till Internet, men informationen du skickar till andra enheter inom det privata nätverket krypteras och skickas säkert genom tunnlarna, vilket resulterar i trafik som inte kan läsas av någon utanför ditt privata nätverk. Du skyddar därmed ditt nätverk genom att skydda hur informationen flödar mellan enheter eller nätverk.
Många krypteringslösningar är huvudsakligen mjukvarubaserade, som de lösningar som används för distansarbete. Dessa lösningar är enkla att använda och inte så dyra, men är inte gjorda för information på högsta säkerhetsnivå. Rent mjukvarubaserade lösningar räcker helt enkelt inte för att tillhandahålla säkerhet på toppnivå på grund av sårbarheter för avancerade attacker, men de kan räcka för andra användningsfall.
Hårdvarubaserade krypteringslösningar är dyrare och kan vara lite mer komplicerade att hantera, men om du har känslig information eller information som behöver ett starkare skydd – vilket gör säkerhet högsta prioritet – bör hårdvarulösningar vara ditt val.
Läs mer om kryptering!
Brandväggar
En brandvägg skyddar ditt nätverk genom att endast tillåta viss trafik att komma in eller ut på ett nätverk. Den övervakar och filtrerar vilken trafik som är tillåten och vilken som blockeras baserat på dess konfiguration.
Med en brandvägg är det svårt att veta exakt vilken information som exporteras eller importeras till systemet. En brandväggskonfiguration blir ofta komplex, vilket ökar risken för felkonfiguration. Brandväggar separerar inte heller administration och dataflöde på ett sätt som skyddar informationen från insiders. Organisationer som har känslig information och som verkar inom kritisk infrastruktur, offentlig sektor eller försvarsindustrin, är i behov av att deras nätverk håller en högre säkerhetsnivå. Därför behövs fler lösningar än en brandvägg.
Datadioder
En datadiod är en cybersäkerhetslösning som säkerställer ett enkelriktat informationsutbyte. Denna hårdvaruprodukt, med sin höga assurans, bibehåller både nätverkets integritet genom att förhindra intrång samt nätverkets konfidentialitet genom att skydda den mest skyddsvärda informationen.
Datadioder är det felsäkra sättet att skydda känsliga system och konfidentiell data på. Datadioder är hårdvaruprodukter som placeras mellan två nätverk. En datadiod fungerar som en backventil vars funktion endast tillåter data att skickas framåt medan den blockerar all data i motsatt riktning. Eftersom det inte rör sig om mjukvara kan datadioden heller inte attackeras av skadlig kod, vilket också bidrar till hög assurans.
Läs mer om datadioder och hur de fungerar!
Security Gateways
En security gateway är en enhet som styr informationsutbytet som äger rum mellan olika säkerhetsdomäner.
Om du har skyddsvärd eller till och med säkerhetsklassad information behöver du en lösning som erbjuder säker och filtrerad dubbelriktad kommunikation. Således måste du både säkerställa dubbelriktad kommunikation och vara säker på att inget skadligt kommer in i ditt känsliga nätverk, men även att känslig information och data inte läcker till ett mindre känsligt och mindre skyddat nätverk.
Syftet är att tillämpa en strikt kontroll på informationsnivå under själva informationsöverföringen och minska cyberhot som exempelvis manipulation, dataläckage och intrång. En security gateway vidarebefordrar endast mottagen information när den följer dess policy som härleds till organisationens informationssäkerhetspolicy. Den policy som implementeras i en security gateway definierar accepterade strukturer, format, typer, värden och till och med digitala signaturer. När ett meddelande skickas från en säkerhetsdomän till en annan över en security gateway analyseras informationen i meddelandet enligt den konfigurerade policyn. Godkända delar av det mottagna meddelandet sätts in i ett nytt meddelande som skickas till den avsedda mottagaren i den andra domänen. På så sätt vet du att endast tillåten information passerar denna gräns.
Advenicas lösning heter ZoneGuard, läs mer om den här!
Säkerhetskultur
Oavsett hur säkert du bygger ditt nätverk måste du se till att din personal har en bra säkerhetskultur. Människor är den största risken ett företag har och misstag kommer att göras. Men, med en bra säkerhetskultur minskar risken.
I en bra säkerhetskultur är alla medvetna om riskerna och har både kunskap och vilja att genom sitt agerande bidra till att minska riskerna. Säkerhetstänkandet är en självklar del av verksamheten. Säkerhetskulturen har med andra ord en stor betydelse för hur man arbetar, prioriterar och på olika sätt skapar förutsättningar för medarbetarna att arbeta på ett säkert sätt. Ytterligare en sak som kännetecknar en god säkerhetskultur på en arbetsplats är att ledningen prioriterar och hanterar säkerhetsfrågor på alla nivåer i verksamheten och att de är en del av kulturen.
Några enkla konkreta åtgärder som alla kan följa är följande:
- Har du något av värde hemma eller på arbetsplatsen så låser och larmar du samt håller koll på vem som får komma in. Tänk likadant med digital information.
- Använd inte samma lösenord till allt – och använd gärna tvåfaktorsidentifiering när det går
- Tänk på att använda bra lösenord och lämna aldrig ut lösenordet till någon annan
- Undvik att surfa på publika wi-fi nät där säkerheten inte är den bästa
- Klicka inte på länkar i misstänkta phishing-mail och rapportera till IT-avdelningen så fort du misstänker att du blivit utsatt för ett phishing-försök.
- Försök ha regelbundna ”boost-sessions” där ni pratar om säkerhet och påminner om vilka säkerhetspolicys som finns, samt går igenom innehållet i dessa.
- Ha uppdaterade enheter – dvs genomför alla uppdateringar. Anledningen är att dessa uppdateringar innehåller säkerhetsförbättringar som du givetvis ska se till att ta del av
Behöver du hjälp med din nätverkssäkerhet? Tveka inte att kontakta oss!