Cybersäkerhetens historia är längre än man tror – redan innan internet fanns det hot som behövde avvärjas. För varje nytt hot behöver säkerheten kunna möta det och ibland måste nya lösningar skapas. Men en lösning som funnits länge och som än idag är ett säkert tillvägagångssätt är segmentering.
Segmenteringens historia
Segmentering är inte något som från början har sitt ursprung i IT, utan har betydligt bredare användning. Även fängelser, vallgravar och dörrar är klassiska exempel på hur man kan dela upp saker och hålla vissa saker inlåsta. Inom IT finns mängder med teknik för segmentering i form av filtrerande nätverksprodukter, så som routrar, switchar och brandväggar. Det har under åren uppfunnits lösningar som adresserat de hot som varit aktuella just då. Många har fyllt sin funktion, men har under tiden blivit mer eller mindre intressanta beroende på utvecklingen av infrastrukturen och attacksätt.
IT-segmentering
Det var vanligt i början av internet-eran att endast använda brandväggar som segmenteringslösning mellan internet och LAN/WAN. Ur ett effektivitetsperspektiv var detta smidigt eftersom hela nätverket var en fri zon där allt och alla kunde kommunicera med varandra och vad som helst kunde kopplas in i nätverket. I jämförelse med dagens begrepp ”zero trust” kan detta sätt kallas ”based on trust”. Man litade helt enkelt på segmenteringen – det som var på insidan var säkert och det som var på utsidan var osäkert. Idag vet vi mer om hur attackerare utnyttjar nätverk och sanningen är ju den att de flesta attacker händer på grund av att en enhet i nätverket utnyttjas och då får man även tillgång till andra enheter i nätverket.
Denna risk öppnade upp för frågan – behöver alla dessa enheter kommunicera med varandra? Och om de måste göra det, på vilket sätt kommunicerar de och hur kan vi blockera all annan trafik? Det handlar även om att hitta en balans mellan säkerheten och produktiviteten. Vissa tekniker för fysisk separation, så som air-gap, är en väldigt effektiv säkerhetsmetod som kan användas för nätverk med hög sekretess, integritet och tillgänglighet. Men i dagens samhälle finns då utmaningen att dessa system i högre utsträckning har mer behov än tidigare att kommunicera med omvärlden. Air-gap blir i detta perspektiv väldigt säkert, men minskar produktiviteten.
Läs mer om nätverkssegmentering!
Intern segmentering
Precis som ett fartyg har vattentäta skott som delar av fartyget i mindre sektioner, bör det interna nätverket delas upp på liknande sätt. Många är de exempel där en verksamhet drabbats av t.ex. ransomware och som försvarsmekanism för att minimera skadan stänger ner all IT-kommunikation. Men ingen verksamhet skulle komma på idén att stänga ner sin verksamhet för att det finns hot på internet. Med andra ord, man litar på sin segmentering mot internet. Om man då har liknande skyddande skott internt, varför ska hela verksamheten stängas ner och inte bara det drabbade segmentet? Om syftet med en attack är att störa verksamheten så kan motåtgärder vara en del i framgången av en attack.
Segmentering genom enkelriktning
För att hitta det gyllene läget mellan säkerhet och produktivitet kan man börja fundera på att enkelrikta kommunikationsflödet. I ett scenario där ett känsligt nätverk, exempelvis ett nätverk som styr produktion, behöver skicka statistik till ett mindre känsligt nätverk för analys. Det finns inget behov av kontinuerlig kommunikation från det mindre känsliga nätverket till det känsliga nätverket, alltså behövs kontinuerlig kommunikation endast i en riktning. Då bör man överväga att använda sig av en lösning som säkerställer enkelriktad kommunikation – så som en datadiod. Datadiodens grundfunktion tillåter endast kommunikation i en riktning. Med smart teknik kan dubbelriktade protokoll (TCP) hanteras så länga data endast ska gå i en riktning.
Läs mer om datadioder!
Styrkan i historia
Vi vet att det inte finns några gyllene lösningar och att ”katt och råtta-leken” fortsätter mellan försvarare och antagonister. Vi kommer behöva utveckla och bygga nya försvarsmekanismer, men segmentering fungerar och kommer fortsätta att fungera. Det betyder inte att bara för att man har segmenterat är man utan risk, det betyder bara att konsekvenserna blir mindre och attackerna långsammare. Tillbaka till jämförelsen med fartyg, vattentäta skott förhindrar inte incidenter. Men förloppets hastighet sänks och därmed kan liv, monetära värden och miljö räddas.
Behöver du hjälp med segmentering? Tveka inte att höra av dig till oss!