Learning Centre / Artiklar / Vad är nätvekssegmentering?
Artiklar

Vad är nätvekssegmentering?

min läsning
Advenica article image

Att försörja kritisk infrastruktur innebär många utmaningar, särskilt när man integrerar komplexa SCADA-system med affärssystem som har olika krav. För att lyckas är nätverkssegmentering avgörande.

Introduktion till nätverkssegmentering

En viktig del av att förbättra din cybersäkerhet är att arbeta med nätverkssegmentering. Nätverkssegmentering i datanätverk innebär att man delar upp ett datanätverk i delnät, där varje del utgör ett nätverkssegment. Fördelarna med en sådan uppdelning är främst att förbättra säkerhet och prestanda.

Frågor vi tar upp i den här artikeln

Varför behövs nätverkssegmentering?

Många verksamheter har en IT-arkitektur som grundar sig i system som designades under en politiskt mer harmonisk tid. Ofta har arkitekturen byggts ut med åren, samtidigt som det har blivit vardag att få aktuella uppgifter på till exempel sin elförbrukning, att beställa tjänster via webben 24/7 eller att jobba på distans. Resultatet är att SCADA-system, affärssystem och webben är sammankopplade. Därför är det också svårt att ha överblick över hur många vägar det finns in till den skyddsvärda informationen. Först när dedikerade analyser eller tester görs, till exempel genom en risk- och säkerhetsanalys, kan alla kryphål upptäckas.

Det är dock varken praktiskt eller ekonomiskt försvarbart att skydda all information på samma sätt. För att skydda kritisk information och kritiska system måste nätverkssegmentering tillämpas, genom en kombination av fysisk och logisk separation. Fysisk separation innebär att säkerhetszoner definieras och fördelas på olika fysiska hårdvaror. Logisk separation innebär att olika zoner eller nätverkstrafik tillåts samexistera på samma hårdvara eller i samma nätverkskabel vilket gör den mindre tydlig och därmed medför lägre förtroende för separationsmekanismens styrka än vid fysisk separation.

För att säkra den mest skyddsvärda informationen bör strikt nätverkssegmentering tillämpas, där fysisk separation kombineras med logisk separation.
- Cybersäkerhetsingenjör

Var är fysisk separation avgörande?

Den absolut mest skyddsvärda informationen kräver fysisk separation. I enkla ordalag handlar det om att skapa en isolerad ö utan koppling till omvärlden. Detta minimerar riskytan – angriparen måste sitta vid själva datorn som innehåller den skyddsvärda informationen. Fysisk separation är ytterst effektiv, men för att den ska fungera praktiskt i dagens värld, måste ett kontrollerat informationsutbyte möjliggöras utan att ge avkall på isoleringen. Med certifierade lösningar som uppfyller militär standard kan man uppnå både funktion och säkerhet.

Var är logisk separation lämplig?

Överallt utom just för den mest skyddsvärda informationen. Inom kontorsnätverk bör logisk separation tillämpas. Verksamhetens olika delar skapar egna sfärer – ekonomi, marknad, försäljning respektive kundtjänst etc. – med olika behörighet. Som medarbetare har du bara tillgång till det som rör ditt jobb. Du når relevanta dokument, inte hela mappstrukturen. Logisk separation fungerar som fortets inre ringmurar. Den försvårar för angripare att attackera vidare inom systemen och få tillgång till hela IT-miljön. Uppdelningen i logiska delar görs med produkter som minskar riskytan och därmed begränsar åverkan vid cyberattacker.

Advenica article image

Varför bör nätverkssegmentering tas på allvar?

Alla verksamheter, oavsett om de verkar inom industri, infrastruktur, myndigheter eller försvar, måste aktivt stärka sin beredskap mot cyberattacker.

NIS-direktivet har höjt kraven på informationssäkerhet för kritisk infrastruktur, medan GDPR innebär strikta sanktioner vid felaktig hantering av personuppgifter. Utöver regelefterlevnad är informationssäkerhet en strategisk fråga som direkt kan påverka ett företags konkurrenskraft, lönsamhet, tillväxt och långsiktiga överlevnad.

Effektiva säkerhetsåtgärder kostar vanligtvis bara en bråkdel av den potentiella skada som en cyberincident kan orsaka. Till exempel uppskattas cyberattacken mot Maersk 2017 ha kostat företaget cirka 300 miljoner dollar — hur mycket hade skyddet kostat?

Vill du hitta rätt lösning för dig?
Vi är här för att hjälpa dig.

Kontakta oss

Vad händer utan nätverkssegmentering?

Nätverkssegmentering begränsar skadan vid en cyberattack. Utan segmentering finns det risk att känslig information kan läckas eller manipuleras samt att malware och ransomware sprider sig okontrollerat och snabbt. Attackerare behöver inte gå direkt mot målet, till exempel eldistributionen. Istället nästlar de sig in via svaga punkter långt ute i arkitekturen, via mejl eller kundtjänst, som ett sätt att nå målet. Statsunderstödda attackerare har dessutom tålamod, är beredda att jobba långsiktigt, gör allt i små steg och ligger tyvärr ofta steget före. Den krassa verkligheten är att verksamhetens styr- och kontrollsystem kan vara angripna utan att det märkts.

Räcker brandväggar?

Brandväggar idag har sällan en tydlig skiljelinje mellan protokoll och information, vilket gör dem sårbara i sig. Få brandväggar erbjuder hög assurans; hela batcher kan vara manipulerade. Väl uppkopplade blottas angreppspunkter. När brandväggar dessutom hanteras genom molntjänster, innebär själva outsourcingen ytterligare exponering. Brandväggar ska användas till det de är tänkta för – ett ypperligt yttre skydd. Som logisk separation bör brandväggar från flera olika tillverkare användas och kompletteras med regelverk som innebär att flera personer måste godkänna regeländringar och förstå konsekvenserna om brandväggen slås av eller på. För det mest skyddsvärda krävs alltid fysisk separation.

För kontorsnät med begränsad tillgång till skyddsvärd och verksamhetskritisk information kan det vara en kostnadseffektiv och bra lösning att hantera brandväggar via molntjänster.

Kan logisk separation lösas via VLAN?

VLAN är en utmärkt teknik för logisk separation. Dock ger det attackeraren möjlighet att välja den svagaste länken för att attackera målet. Från säkerhetssynpunkt är därför alltid en kombination av logisk och fysisk separation att rekommendera.

Advenica article image

Hur implementerar man nätverkssegmentering?

Att segmentera en IT-miljö kan vara en mycket komplex uppgift som omfattar många olika kompetenser och som kan få stor påverkan på pågående verksamhet. Komplexiteten beror på saker som hur stor miljön är, hur nuläget ser ut, budget, vilken personal som står till förfogande och viljan hos ledningen.

Här är fem steg som du kan använda som en utgångspunkt när du börjar planera ditt segmenteringsprojekt:

  1. Skapa en zonmodell

  2. Definiera vad som ska segmenteras

  3. Gör en säkerhetsanalys av ingående system

  4. Partitionera systemen enligt zonmodellen

  5. Partitionera systemen enligt zonmodellen

Intresserad av att utforska produkter för nätverkssegmentering?
Läs mer om våra datadioder här:

Läs mer

Vilka är fördelarna med zonindelning och nätverkssegmentering?


Zonindelning av ett IT-system görs både av säkerhetsmässiga och funktionella anledningar. Generellt sett är den bakomliggande drivkraften att minska risken för olika typer av störningar i systemet. Säkerhetsmässigt handlar zonindelning om att samla tillgångar med samma typ av skyddsbehov med avseende på sekretess, integritet, tillgänglighet och åtkomst. Ju högre krav som ställs på skydd av ett system desto mer kostar det att bygga och underhålla systemet och skyddsmekanismer vilket gör att man av ekonomisk hänsyn vill sträva efter att minimera storleken på system med höga krav på skydd.

Detta innebär att man genom zonindelning bör försöka samla tillgångar med högt skyddsbehov och separera dessa från tillgångar med lägre skyddsbehov. Med segmentering menas att man har separata zoner för sina tillgångar, men oftast tillåter man ändå viss kommunikation mellan dessa zoner. I vissa lite mer extrema fall kan isolering eller ”galvanisk separation” vara aktuellt och då tillåts ingen nätverksbaserad kommunikation mellan zonerna.

Hur kan nätverkssegmentering användas för centraliserad logginsamling?

Nätverkssegmentering är en uppgift som kan lösas på ett mycket kraftfullt sätt med hjälp av datadioder. Se följande exempel på hur detta kan appliceras: Alla de zoner som levererar logginformation skyddas med en datadiod vardera. Dataflödet enkelriktas i riktning mot loggsystemet. Ett gemensamt loggsystem kan därmed utnyttjas oavsett hur många zoner som levererar data till loggsystemet. Om någon av zonerna innehåller hemlig information måste antingen loggsystemet skyddas på motsvarande konfidentialitetsnivå, alternativt måste logginformationen från en sådan zon filtreras så att loggsystemet inte kontamineras med hemlig information. Det kan dock leda till att värdet av logginformationen minskar eftersom fritextdata ofta måste filtreras bort, vilket leder till att logginformationen kan bli svårare att tolka.

Här är några tips:

  • Det finns inga genvägar till informationssäkerhet. Man måste arbeta systematiskt med tillgångar, hot och risker.

  • Kartlägg och testa hela IT-arkitekturen. Var sitter de olika systemen ihop?

  • Var noggrann i bedömningar. Vem behöver behörighet? Vilken information rör det sig om? Hur blir flödena garanterat säkra och effektiva?

  • Välj säkerhetslösningar vad gäller drift, tillgänglighet och anpassningsbarhet utifrån attackarens perspektiv och worst-case-scenario.

  • Prioritera fysisk separation för det mest skyddsvärda.

FAQ

Varför behöver vi skydda vår information?

  • Tillgänglighet: Så att informationen är åtkomlig när den behövs.

  • Integritet: Så att vi kan lita på att informationen är korrekt och inte har manipulerats, ändrats eller förstörts av obehöriga parter.

  • Konfidentialitet: Så att endast behöriga personer kan ta del av den.

Vad är det huvudsakliga syftet med cybersäkerhet?

Det huvudsakliga syftet med cybersäkerhet är att skydda system, nätverk och data från digitala hot såsom obehörig åtkomst, cyberattacker och dataintrång. Cybersäkerhet hjälper organisationer att säkerställa att deras information förblir konfidentiell, korrekt och tillgänglig när den behövs.

Vad är nätverkssegmentering?

Nätverkssegmentering innebär att man delar upp ett datanätverk i mindre delnät, eller segment. Detta bidrar till att öka säkerheten genom att begränsa åtkomst och innesluta potentiella hot, och kan även förbättra nätverkets övergripande prestanda.

Vilka organisationer bör implementera nätverkssegmentering?

Organisationer som hanterar känslig information, såsom inom försvar, myndigheter, infrastruktur och industri.

Vilka är bästa praxis för nätverkssegmentering?

  1. Skapa en zonmodell

    För att strukturera segmenteringsprojektet med zonindelning bör du skapa en zonmodell som definierar vilka typer av zoner du har och vilka säkerhets- och tillitskrav du har på de säkerhetsfunktioner som separerar zonerna.

  2. Definiera vad som ska segmenteras

    Definiera vilket system eller vilka system som ska segmenteras och därmed ingå i segmenteringsprojektet. Det är mycket viktigt att projektets omfattning är tydligt definierad och väl kommunicerad till alla inblandade.

  3. Genomför en säkerhetsanalys av system

    Systemen som ingår i segmenteringsprojektet behöver klassificeras utifrån sin känslighet. Klassificeringen bör utföras löpande av organisationen, men en säkerhetsanalys kan identifiera system och information som inte har klassificerats.

  4. Placera systemen enligt zonmodellen

    Placera systemen enligt zonmodellen. Placeringen baseras på krav på säkerhet, tillgänglighet, funktionalitet och operativt ansvar. Förståelse för hur de olika systemen kommunicerar med varandra på nätverksnivå är centralt.

  5. Implementera, testa och driftsätt

    För att segmenteringsprojektet ska gå från pappersprodukt till verklighet behöver olika komponenter (applikationer, brandväggar, switchar etc.) konfigureras om och i vissa fall måste nätverk delvis byggas om. De olika säkerhetslösningarna konfigureras, testas och driftsätts.


    Vill du veta mer om våra produkter? Vi erbjuder avancerat dataskydd inom flera områden. Kontakta oss. Vi är här för att hjälpa dig.

Vilka är fördelarna med nätverkssegmentering?

Nätverkssegmentering hjälper organisationer att stärka sin cybersäkerhet genom att minska risker och begränsa effekten av cyberattacker. Utan den finns en risk att känslig information kan läcka eller manipuleras, och att skadlig kod och ransomware kan spridas okontrollerat och snabbt.

Våra sektorer

Försvar

Skydda människor och länder

Defence Defence

Myndigheter

Bevara befolkningens integritet och sekretess

Authority Authority

Infrastruktur

Säkerställ att kritisk infrastruktur levererar

Infrastructure Infrastructure

Industri

Säkerställ den dagliga driften

Industry Industry

Kontakta oss

Boka ett demo, möte eller be om en offert. Vi är här för att hjälpa dig.

rickard nilsson sales person advenica

Rickard Nilsson

COO