Att vara leverantör inom kritisk infrastruktur innebär många utmaningar. En påtaglig utmaning uppstår vid integrationen mellan komplexa SCADA-system med affärssystem vilka har olika typer av krav på sig. Utmaningarna är många när det kommer till att tryggt och säkert sammankoppla IT-nätverk. Nätverkssegmentering är nödvändigt för att lyckas.
Vad är nätverkssegmentering?
En viktig del i att förbättra din cybersäkerhet är att arbeta med nätverkssegmentering. Nätverkssegmentering i datanätverk innebär att dela upp ett datanätverk i delnätverk, där var och en är ett nätverkssegment. Fördelarna med sådan splittring är främst för att förbättra prestanda och förbättra säkerheten.
Varför behövs nätverkssegmentering?
Många verksamheter har en IT-arkitektur som grundar sig i system som designades under en politiskt mer harmonisk tid. Ofta har arkitekturen byggts ut med åren, samtidigt som det har blivit vardag att få aktuella uppgifter på till exempel sin elförbrukning, att beställa tjänster via webben 24/7 eller att jobba på distans. Resultatet är att SCADA-system, affärssystem och webben är sammankopplade. Därför är det också svårt att ha överblick över hur många vägar det finns in till den skyddsvärda informationen. Först när dedikerade analyser eller tester görs, till exempel genom en risk- och säkerhetsanalys, kan alla kryphål upptäckas.
För att säkra den mest skyddsvärda informationen bör strikt nätverkssegmentering tillämpas, där fysisk separation kombineras med logisk separation.
Det är dock varken praktiskt eller ekonomiskt försvarbart att skydda all information på samma sätt. För att skydda kritisk information och kritiska system måste nätverkssegmentering tillämpas, genom en kombination av fysisk och logisk separation. Fysisk separation innebär att säkerhetszoner definieras och fördelas på olika fysiska hårdvaror. Logisk separation innebär att olika zoner eller nätverkstrafik tillåts samexistera på samma hårdvara eller i samma nätverkskabel vilket gör den mindre tydlig och därmed medför lägre förtroende för separationsmekanismens styrka än vid fysisk separation.
Var är fysisk separation viktig?
Den absolut mest skyddsvärda informationen kräver fysisk separation. I enkla ordalag handlar det om att skapa en isolerad ö utan koppling till omvärlden. Detta minimerar riskytan – angriparen måste sitta vid själva datorn som innehåller den skyddsvärda informationen. Fysisk separation är ytterst effektiv, men för att den ska fungera praktiskt i dagens värld, måste ett kontrollerat informationsutbyte möjliggöras utan att ge avkall på isoleringen. Med certifierade lösningar som uppfyller militär standard kan man uppnå både funktion och säkerhet.
Var är logisk separation lämplig?
Överallt utom just för den mest skyddsvärda informationen. Inom kontorsnätverk bör logisk separation tillämpas. Verksamhetens olika delar skapar egna sfärer – ekonomi, marknad, försäljning respektive kundtjänst etc. – med olika behörighet. Som medarbetare har du bara tillgång till det som rör ditt jobb. Du når relevanta dokument, inte hela mappstrukturen. Logisk separation fungerar som fortets inre ringmurar. Den försvårar för angripare att attackera vidare inom systemen och få tillgång till hela IT-miljön. Uppdelningen i logiska delar görs med produkter som minskar riskytan och därmed begränsar åverkan vid cyberattacker.
Läs mer om logisk separation!
Varför bör nätverkssegmentering tas på allvar?
Alla verksamheter, inom såväl den offentliga sektorn som näringslivet, måste aktivt öka sin beredskap för cyberattacker. NIS-direktivet höjde kraven på informationssäkerhet inom kritisk infrastruktur. GDPR innehåller stränga sanktioner om personuppgifter hanteras oriktigt. Nya säkerhetsskyddslagen skärper kraven ytterligare på svenska verksamheter från 1 april 2019. Framförallt är informationssäkerhet en strategisk fråga som kan avgöra verksamhetens konkurrenskraft, lönsamhet, tillväxt och framtid. Effektiva säkerhetsåtgärder står oftast för en bråkdel av kostnaden vid en potentiell skada. Cyberattacken 2017 kostade Maersk cirka 300 miljoner USD1 – vad hade skyddet kostat?
Vad händer utan nätverkssegmentering?
Nätverkssegmentering begränsar skadan vid en cyberattack. Utan segmentering finns det risk att känslig information kan läckas eller manipuleras samt att malware och ransomware sprider sig okontrollerat och snabbt. Attackerare behöver inte gå direkt mot målet, till exempel eldistributionen. Istället nästlar de sig in via svaga punkter långt ute i arkitekturen, via mejl eller kundtjänst, som ett sätt att nå målet. Statsunderstödda attackerare har dessutom tålamod, är beredda att jobba långsiktigt, gör allt i små steg och ligger tyvärr ofta steget före. Den krassa verkligheten är att verksamhetens styr- och kontrollsystem kan vara angripna utan att det märkts. Än.
Räcker brandväggar?
Brandväggar idag har sällan en tydlig skiljelinje mellan protokoll och information, vilket gör dem sårbara i sig. Få brandväggar erbjuder hög assurans; hela batcher kan vara manipulerade. Väl uppkopplade blottas angreppspunkter. När brandväggar dessutom hanteras genom molntjänster, innebär själva outsourcingen ytterligare exponering. Brandväggar ska användas till det de är tänkta för – ett ypperligt yttre skydd. Som logisk separation bör brandväggar från flera olika tillverkare användas och kompletteras med regelverk som innebär att flera personer måste godkänna regeländringar och förstå konsekvenserna om brandväggen slås av eller på. För det mest skyddsvärda krävs alltid fysisk separation.
För kontorsnät med begränsad tillgång till skyddsvärd och verksamhetskritisk information kan det vara en kostnadseffektiv och bra lösning att hantera brandväggar via molntjänster.
Kan logisk separation lösas via VLAN? VLAN är en utmärkt teknik för logisk separation. Dock ger det attackeraren möjlighet att välja den svagaste länken för att attackera målet. Från säkerhetssynpunkt är därför alltid en kombination av logisk och fysisk separation att rekommendera.
Hur implementerar jag nätverkssegmentering?
Att segmentera en IT-miljö kan vara en mycket komplex uppgift som omfattar många olika kompetenser och som kan få stor påverkan på pågående verksamhet. Komplexiteten beror på saker som hur stor miljön är, hur nuläget ser ut, budget, vilken personal som står till förfogande och viljan hos ledningen.
Nedan följer fem steg som man kan ha som utgångspunkt när man börjar planera sitt segmenteringsprojekt.
- Skapa en zonmodell
- Definiera vad som ska segmenteras
- Gör en säkerhetsanalys av ingående system
- Partitionera systemen enligt zonmodellen
- Partitionera systemen enligt zonmodellen
Läs mer om vad de här 5 stegen innebär i vår guide överst på den här sidan “5 steg för nätverkssegmentering” samt i vårt White Paper “Skydda kritiska system och information med nätverkssegmentering”.
Vilka är fördelarna med zonindelning och nätverkssegmentering?
Zonindelning av ett IT-system görs både av säkerhetsmässiga och funktionella anledningar. Generellt sett är den bakomliggande drivkraften att minska risken för olika typer av störningar i systemet. Säkerhetsmässigt handlar zonindelning om att samla tillgångar med samma typ av skyddsbehov med avseende på sekretess, integritet, tillgänglighet och åtkomst. Ju högre krav som ställs på skydd av ett system desto mer kostar det att bygga och underhålla systemet och skyddsmekanismer vilket gör att man av ekonomisk hänsyn vill sträva efter att minimera storleken på system med höga krav på skydd.
Detta innebär att man genom zonindelning bör försöka samla tillgångar med högt skyddsbehov och separera dessa från tillgångar med lägre skyddsbehov. Med segmentering menas att man har separata zoner för sina tillgångar, men oftast tillåter man ändå viss kommunikation mellan dessa zoner. I vissa lite mer extrema fall kan isolering eller ”galvanisk separation” vara aktuellt och då tillåts ingen nätverksbaserad kommunikation mellan zonerna.
Exempel på hur nätverkssegmentering kan användas – Centraliserad logginsamling
Nätverkssegmentering är en uppgift som kan lösas på ett mycket kraftfullt sätt med hjälp av datadioder. Se följande exempel på hur detta kan appliceras: Alla de zoner som levererar logginformation skyddas med en datadiod vardera. Dataflödet enkelriktas i riktning mot loggsystemet. Ett gemensamt loggsystem kan därmed utnyttjas oavsett hur många zoner som levererar data till loggsystemet. Om någon av zonerna innehåller hemlig information måste antingen loggsystemet skyddas på motsvarande konfidentialitetsnivå, alternativt måste logginformationen från en sådan zon filtreras så att loggsystemet inte kontamineras med hemlig information. Det kan dock leda till att värdet av logginformationen minskar eftersom fritextdata ofta måste filtreras bort, vilket leder till att logginformationen kan bli svårare att tolka.
Läs mer om Nätverkssegmentering i vårt White Paper #13 “Skydda kritiska system med nätverkssegmentering”!
Läs mer om skydd av Kritisk Infrastruktur i vårt White Paper Sju strategier för skydd av kritisk infrastruktur!
Tips på vägen:
- Det finns inga genvägar till informationssäkerhet. Man måste arbeta systematiskt med tillgångar, hot och risker.
- Kartlägg och testa hela IT-arkitekturen. Var sitter de olika systemen ihop?
- Var noggrann i bedömningar. Vem behöver behörighet? Vilken information rör det sig om? Hur blir flödena garanterat säkra och effektiva?
- Välj säkerhetslösningar vad gäller drift, tillgänglighet och anpassningsbarhet utifrån attackarens perspektiv och worst-case-scenario.
- Prioritera fysisk separation för det mest skyddsvärda.