Identiteten som den nya perimetern

Hoten mot våra data, medarbetare och vårt framtida välstånd är numera en realitet även i styrelserum och ledningsgrupper. Jag tänker inte ägna någon tid åt ytterligare skrämsel. Istället lägger jag mitt fokus på den nödvändiga tankeförflyttningen som behövs för att inte vara i underläge mot de som inte vill vårt bästa. Det här blir den första, av fem, ”artiklar” som syftar till att stötta i den förflyttningen.

När skydden inte är svaret

Under de senaste två decennierna har hoten ständigt förfinats och utnyttjar både sårbarheter i standardprotokoll/system, samt i allt högre utsträckning användares godtrogenhet. I artikeln ”Cybersäkerhet en integrerad del av digitaliseringen”, skriven för 18 månader sedan, beskriver jag skiftet som har skett och fortsätter att ske. Artikeln ”Tre nya linjer till ett offensivare försvar”, som jag skrev för 17 månader sedan, beskriver hur maskinlärande och algoritmer behövs för att möta upp hoten.

Idag, efter nästan fem månader på Microsoft i min nuvarande roll, har jag kommit till en rad nya insikter som en fortsättning på mitt tidigare tänk. Den första insikten är också den som är tyngst i all sin enkelhet: Istället för att stå rotad i tankesättet att skydda sig mot hoten är det betydligt mer konstruktivt att alltid utgå ifrån att någon har skaffat sig obehörig åtkomst till dina system. Genom den positionsförflyttningen inser man snabbt hur viktigt det är med teknik och processer för att i realtid upptäcka när något har hänt. I den förflyttningen ryms, bland annat, dagens tema: Identiteten som den nya perimetern!

Perimeter med konfidens

Den stora majoriteten av organisationer har en extremt god kontroll över vilka medarbetare man har och vilka kontrakt som reglerar avtal med externa parter. Först när någon person har blivit anställd, eller fått ett kontrakt undertecknat, skapas användarens behörigheter till informations- och kommunikationssystem. På IT-språk kallas det för att någon har blivit en ”användare”. Den del som representerar en användare är en unik användaridentitet som presenteras via en, eller många, användarkatalog(er). I användarkatalogen skapas olika former av associationer till olika grupper (HR, Finance, Sales, Sektionschef, för att ta några exempel) och i många fall skapas även olika former av policies som styr användarens arbetsplats (traditionellt en dator, i allt större utsträckning en bärbar sådan).

Nu för tiden är många medarbetare rörliga i sina uppdrag, oavsett om det handlar om säljare, vårdpersonal, servicetekniker eller poliser. Dessutom ställs allt högre krav på fullödiga mobila arbetsverktyg som snabbt startar och gör medarbetaren produktiv. Det, i kombination med hotbilden gör att säkerhetslandskapet blir än mer komplext, precis som bild 1 visar.

Bild1

Bild 1. Komplext säkerhetslandskap.

På Microsoft har vi sett att identiteten lämpar sig extremt väl för att sätta en kontextuell perimeter kring. I ett första läge handlar det om att holistiskt sätta ett sammanhang kring användaren och dennes användning (enheter, appar, dataanvädning). Utifrån den holistiska vyn kan en kontextuell åtkomstbedömning (conditional access) skapas som baserat på identitetens vägda risk antingen ger åtkomst, ger begränsad åtkomst, kräver ytterligare bevis från användaren (Multifactor Authentication, MFA) eller blockerar åtkomsten. Hela perimetern med sin kontext bygger på intelligenta signaler från Microsoft Intelligent Security Graph där beteenden och heuristik genom maskinlärande ger rätt signaler till rätt beslut. Bild 2 sammanfattar de stegen.

 

Bild2

Bild 2. Identitet i ett säkerhetskontext.

I och med att grunden kring identitetens perimeter är förankrad är det tre konkreta steg som skapar precis beskrivna kontext (bild 3).

 

Bild3

Bild 3. Tre-stegsraket.

Skydda vid tröskeln

Första steget är att skapa ett intelligent skydd vid tröskeln. I den här processen är det användarkatalogen Azure Active Directory (AAD) och Azure AD Identity Protection som gör jobbet. Genom att använda sig av intelligens via Microsoft Intelligent Security Graph kan våra kunder skapa riskbaserade bedömningar för varje enskild användares åtkomstförfrågningar. Baserat på den riskpolicy som din organisation säter upp skapas en åtkomst efter de förutsättningarna. Dessutom skickas ständigt signaler ifall att något som verkar helt legitimt potentiellt kan vara ett fall av någon som använder stulna användarnamn/lösenord.

Ett exempel på det: En användare som ansluter med rätt användarnamn, lösenord och från ett trådlöst nätverk i Sverige får begränsad åtkomst endast till organisationens e-post via webben och intranätet. I Microsofts graph har vi identifierat att en inloggning hos en av våra kunder har skett, men att den har utförts från en IP-adress som är känd för att sprida elakheter. Då kan vi signalera att just den identiteten sannolikt är utsatt för en risk. Något som inga traditionella säkerhetsskydd skulle ha upptäckt. Bild 4 visar schematiskt hur det ser ut.

 

Bild4

Bild 4. Att skydda på tröskeln.

Att skydda data mot oavsiktliga fel

De allra flesta organisationer (kanske samtliga) har kreativa och duktiga medarbetare. Om IT-avdelningen inte levererar rätt verktyg är det vanligt att medarbetarna köper den tjänsten/funktionen ”på stan”. Utifrån ett IT-governanceperspektiv är det här grå-IT/osanktionerad IT/skugg-IT… Kärt barn har många namn. Funktionellt uppnår medarbetarna det de behöver för att göra sitt jobb, men kan helt oavsiktligt utsätta sin organisation för mängder av risker. Den mest uppenbara är att känsligt data hamnar i fel händer. Andra risker finns också. Att någon hackergrupp kapar användardatabasen hos en extern aktör och därigenom får en lista med användarnamn/lösenord att använda sig av är en uppenbar risk. En annan risk är när medarbetare slutar sin anställning så finns mängder av konton/organisationsdata kvar över många ställen.

För att kunna få synlighet i detta och skapa grunderna för ordning och reda ingår tjänsten Cloud App Security som en del i identitetsstoryn.

För de medarbetare som är helt mobila och inte enbart använder en dator som organisationen tillhandahåller uppstår andra utmaningar. Det handlar om mobila enheter där många samtidiga generationer av mobila operativsystem ska hanteras. I kontexten med kontextbaserad åtkomst har Microsoft utvecklat tjänsten Intune för att införliva enheten i identitetsskyddet. Genom Intune kan både enheterna, applikationerna på enheterna och informationen som hanteras på enheterna/apparna policystyras.

Azure Information Protection är en tjänst som på ett enkelt sätt gör det möjligt att klassificera och tillämpa skydd på information i e-post och dokument. Genom att koppla den här funktionen till övriga funktioner inom identitetsskyddet skapas en mycket kraftfull och sammhållen funktion för ett modernt skydd. Dessutom finns intelligensen som upptäcker risker och hot kopplade till identiteten. Bild 5 visar kort de olika beskrivna delarna.

Bild5

Bild 5. Att skydda data runt identiteten.

Upptäck attacker i realtid

Att i realtid upptäcka när en identitet har blivit utsatt för ett hot är en förutsättning för att motverka förluster av information, förvanskningar av information, sabotage, stillestånd eller utpressning i form av lösensumma för kapad/krypterad information (ransomware).

Advanced Threat Analytics är en teknik som nyttjar intelligent maskinlärande för att förstå när en användare har blivit utsatt för något som annars förblivit okänt för andra säkerhetsskydd. Den jobbar med olika former av beteendedetektering och heuristik för att ge signaler som har substans.

Bild6

Summering

Genom att använda sig av intelligenta maskinlärande algoritmer och koppla det till en sammanhållen enhet som syftar till att sätta en perimeter kring identiteten förflyttas skydden mot en mer hållbar framtid. När du även förändrar tankesätt och utgår ifrån att alltid vara utsatt för intrång öppnas möjligheten att jobba på flera nivåer. Dessutom lever du inte i en föresats om säkerhet som egentligen är falsk.

I och med den här första och grundläggande artikeln hoppas jag att du får tankeföda som hjälper dig att påbörja förflyttningen. I nästa artikel kommer jag att djupdyka ner i de mobila enheterna och ge lite mera tankeföda avseende den mobila utmaningen. Hoppas att du har fått nytta av investerad tid i att läsa detta. Pinga mig gärna med en kommentar.

Elementärt Watson

Efter IBMs annonserade fortbildningsinsats inom cybersäkerhet för Watson har det varit tyst. Under tiden har jag ägnat egen tid åt lite efterforskningar och formulerar några egna tankar om satsningen.

Att maskinerna lär i en svindlande hastighet är inget nytt. Det som är nytt är hur ett antal samverkande faktorer nu bidrar till en exponentiell tillväxttakt för det lärandet:

  • Moores lag som gäller både processorer, uppkopplade enheter och tillväxten i digitaliserat data. Systemmässigt finns nu oanad kapacitet distribuerad i datacenter uppe i himlen (läs molnen) och dessutom finns oändligt med data att använda kraften till att analysera
  • Oändliga kombinationsmöjligheter att använda sig av systemdelar, kombinerat med data
  • Matematiska modeller för att skapa algoritmer för inlärning, spårning av sammanhang och förståelse för mönster som avviker från det ”normala”

IBM myntade tidigt begreppet ”Pervasive Computing” och förutsåg just ett scenario enligt punkterna ovan. Satsningen med Watson inom cybersäkerhet är rätt steg att ta, speciellt med tanke på konkurrensen. Microsoft har gjort stora insteg i området med Azure ML och Amazon AWS ML är ett annat exempel på en molnjätte som satsar på prediktiva analyser och maskininlärning.

Det jag ser med IBMs placering av Watson i skolbänken är en kommande uppköpsvåg av företag inom cybersäkerhetsområdet. Gissar på att det här blir en transformativ satsning för IBM och ett tillväxtområde av rang.

Offensive intelligence-led cyber defense

Tre nya linjer till ett offensivare försvar

Ägnar med stor fascination mycket tid åt frågor som rör smartare skydd mot kriminella och vandaler i vårt digitala landskap. Slås av hur ofullständigt uppdaterade många av oss är i frågorna (privat såväl som professionellt). Många organisationer som aktivt har jobbat med cybersäkerhetsfrågorna genom åren har en god grund att stå på. Främst i fråga om medvetenheten om frågan, men även när det gäller effektivt försvar mot olika former av intrång eller försök att stoppa verksamheten. Modellen att jobba med säkerhet på djupet (defense in depth) har blivit ett väletablerat begrepp. Nu sker även en förskjutning mot mera policybaserat säkerhetsskydd på djupet.

Slide2

Bild 1. Säkerhet på djupet – Ett ramverk mot kända it-angrepp.

Som min grovt förenklade bild visar är en etablerad modell med säkerhet på djupet ett adekvat försvar mot kända brottsförsök. Välj vilken organisation som helst av idag och de som arbetar med cybersäkerhetsfrågorna kan vittna om ett otal försök till illegala aktiviteter varje dag. Lyckligtvis stoppas den absoluta majoriteten genom de skydd och förmågor som finns enligt modellen. De som kommer igenom hanteras av den del i organisationen som har till uppgift att reducera skador av inträffade incidenter.

Utmaningen ligger i att hantera det som inte är känt och som ingen har utvecklat någon form av signaturer eller skydd mot. Men, det kan hanteras genom effektiv beredskap mot det okända.

Att titta mot molnen

Molnet har varit på mångas läppar genom de senaste 6 – 7 åren. Utifrån ett verksamhetsperspektiv kan molntjänster vara en enorm konkurrensfördel för att snabbt göra något på marknaden. Just ”TTM”, Time To Market, är en av USP:arna för molnleverantörer och affärsområdeschefer gillar snabbrörlighet. Många som jobbar med cyberförsvar har stora utmaningar i att få till nuvarande karta att passa in i modellen med säkerhet på djupet.

Slide3

Bild 2. Molnformationer ingår inte fullt ut i modellen.

Det finns ett antal goda hjälpmedel att gratis ta hjälp av, exempelvis de guider som Cloud Security Alliance Sverige tillhandahåller. Men, molntillväxten är en rejäl utmaning för cybersäkerheten. För, i ärlighetens namn är det inte bara ljusa, fina och fluffiga moln som växer.

Slide4

Bild 3. Svarta moln finns där – även om de inte syns.

Darknet kallas även för the deep web eller dark web. Namnen är ett begrepp för hemliga nätverk som har någon form av kryptering som skyddar mot insyn från det öppna Internet. Det mest uppmärksammade sådana nätverket idag är Tor (The Onion Router). För den som vill starta en kriminell bana i cyberrymden finns välsorterade marknadsplatser att besöka för att förse sig med rätt verktyg.

Effektivare offensivt försvar

Som rubriken för det här inlägget lyder är det tre nya linjer i ett offensivt försvar som jag har tittat på. Illustrerar först med en bild och förklarar därefter kort vad jag menar.

Slide5

Bild 4. Tre nya offensiva försvarslinjer.

Den första linjen som symboliseras av ett förstoringsglas handlar om att skaffa dig intelligens genom inhämtning och analyser av det mörka Internet. Att förstå vad som är på gång innan det finns färdiga skyddsmekanismer gör att en organisation kan förebygga lyckade attacker genom olika former av manövrer.

Den andra linjen är det jag beskrev i mitt tidigare inlägg om intelligence-led cybersecurity. Det handlar om att föra in matematiska algoritmer som hittar abnormalt beteende. Resultaten kommer med största sannolikhet att initiera mera specifika kartläggningar av det mörka Internet för att förstå hoten i detalj. Den här offensiva försvarslinjen skulle slarvigt kunna kallas för att ”förstå det okända”.

Den tredje linjen är en direkt fortsättning från mitt förra inlägg om Illusive Networks och idén med honungsfällor. För att köpa dig tid att hitta rätt manövrer och/eller permanent skydd mot okända hot ser jag den här formen av förmåga som viktig. Tekniken handlar i korthet om att jobba med desinformation och illusioner. Banditen som angriper dig vill efter lyckat inbrott i din digitala milö kartlägga alla dina tillgångar. Något som honungsfällan aktivt tillåter genom att skapa nya tekniska miljöer vartefter som kartläggningen pågår. För att skapa hög trovärdighet kan även mängder av falska person-, kontokorts- och transaktionsuppgifter laddas i falska databaser. Givetvis är det nonsensdata, men det vet förhoppningsvis inte brottslingen i andra änden. På så vis skapas tids- och manöverutrymme för att säkra tillgångarna.

Avslutar med att föreslå ett begrepp för de tre nya linjerna: ”Offensive intelligence-led cyber security”.

Uppdatering: Tack till mina otroligt duktiga kollegor Peter Reuterås och Andreas Pardeike för upplyftande diskussioner.

Cybersäkerhet en integrerad del av digitaliseringen

Traditionellt it-säkerhetsarbete handlar om att bygga lager på lager med säkerhetsskydd i kombination med ett informationssäkerhetstänkande med utbildningsinsatser och ledningssystem för informationssäkerhet. Men, tänk om det är onödigt arbete och bortkastade pengar? Enligt artikeln ”The No. 1 problem with computer security” är det precis så som det förhåller sig.

Personligen vill jag inte skriva under på de starka påståenden som artikelförfattaren kommer med. Jag har sett, och ser, många exempel på gott förhållningssätt till cybersäkerhetsfrågorna här hemma. Men, generellt saknas en dimension: Tidsenliga underrättelser om faktiska hot och vilka reella risker för den aktuella organisationen de faktiska hoten gör. Just när det kommer till den aspekten skriver jag under till fullo på artikelförfattarens slutsatser.

Innan jag ger mig i kast med uppgiften vill jag först göra en självdeklaration. Min ståndpunkt när jag skriver om cybersäkerhet utgår ifrån åskådningen att informationssäkerhet vs it-säkerhet har spelat ut sin roll. Jag respekterar de som vill ha akademiska övningar om definitioner, men tar ett holistiskt grepp kring cybersäkerheten som en vital del i digitaliseringen som pågår.

Evolutionen har hänt

Vi har med stormsteg gått från paradigmet med fortifiering och in i en öppen/komplext sammankopplad värld.

Slide05

Paradigmskifte i hotens karaktär/syfte

De senaste 5 åren har paradigmet för hotbilden ändras på ett radikalt sätt. Från akademiska syften, script kiddies och nyfikna busar har hoten blivit reella och motiverade av specifika syften. Till detta kommer helt nya former av uppkopplade saker som hanterar information i våra globala nät. Bilden nedan försöker på ett högst övergripande plan åskådliggöra hoten och tiden vi har på oss att agera.

Slide06

För att ta steget in i den digitala tidsåldern behöver cybersäkerhetsfrågorna adresseras med hjälp av modeller för cyber intelligence. Dessutom behövs tätare sammanfogning av säkerhetsarbete mellan it-funktionerna och verksamhetssidan så att organisationen jobbar orkestrerat.

Som framgår av bilden har hotaktörernas motiveringar av att utföra attacker skiftat radikalt. Från nyfikenhet/bus till organiserade kriminella organisationer som bygger brottssyndikat baserat på digitala intrång. Borta är tiderna när medierna rapporterade om virusangrepp i stor skala. Dagens kriminella jobbar systematiskt för att tjäna maximalt med pengar och samtidigt undvika rubriker i medierna. Det finns tydliga mål och syften med attackerna för att tjäna maximalt med pengar, samtidigt som den potentiella skadan för målen är oskattbar.

Som om inte det vore nog otäckt pågår statligt finansierade initiativ för att muta in sin del av informationsherraväldet på internet.

”Big Data” behöver hitta in i cybersäkerhetskvarteren

Samhällsvetare gör det, underrättelsetjänsterna gör det, börsmäklarna gör det, medicinföretagen gör det och snart gör varje affärsutvecklare med självaktning det. Jag talar förstås om formuleringen av relevanta knäckfrågor och analyser av rätt data (kallas populistiskt för ”Big Data”) för att komma till de mest tillförlitliga svaren. Med de hypoteserna görs sedan beslut och investeringar. Inom cybersäkerhetsområdet har det varit si och så med den varan. Ett skifte anas från min horisont. Och då gäller det

inte analyser av historiska data (loggar, baselineavvikelser, penetrationstester eller något liknande). Istället ser jag svarta lådor med smarta algoritmer som i realtid rapporterar faktiska avvikelser när de inträffar.

För, hur goda tekniska säkerhetsskydden än är och hur väletablerade operativa säkerhetscentra (SOC) som är på plats handlar det om reaktivitet. Genom att koppla in realtidsanalyser kring hotutveckling skapas plattformen för att agera aktivt och ligga steg i steg med de faktiska hoten. Med faktiska hot menar jag de hot som på något vis skapar skada för ens organisation. Skadan kan handla om:

  • Stöld av intellektuell egendom, forskningsdata, finansiella data, personuppgifter eller liknande
  • Förvanskning av företagets informationstillgångar
  • Inlåsning av känslig information i syfte att utpressa organisationen på tillgångar
  • Spionage i ”stealth mode” med syften att gynna andra parter
  • Misskreditering av organisationen genom att bryta ner operativa processer eller genom att förvanska tjänster till organisationens kunder/medborgare/intressenter

Mitt förslag att förstärka cybersäkerhetsområdet är en modell enligt följande:

Slide07

Modellen handlar om att bygga in intelligens genom algoritmer som upptäcker hot innan de kan ställa till skada. Dessutom handlar det om att kunna härleda hoten för att skapa förståelse för vilka intressen som finns där ute och vad deras motivation består i. Lärdomar som förenklar vidareutvecklingen av intelligensen så att rätt investeringar i säkerhetsskydd kan göras. Det vill säga investeringar mot faktiska risker mot just din organisation.

Ser att vi rör oss åt det hållet och gör därför min nyorientering mot cybersäkerhetsfrågorna. Den här resan kommer bli för intressant för att inte delta mera aktivt. Framförallt ser jag framför mig missionen att få våra ledande befattningshavare i svenska organisationer förstå att det nya hotlandskapet till stor del styrs av brottssyndikat. Ett risk- och intelligensbaserat cyberförsvar är därför av vital betydelse för fortsatt prosperitet.

Reinvent 2015 – nyorientering mot cybersäkerhet

När jag startade bloggen it-strategen för snart fyra år sedan var tanken att servera matnyttiga strategiska tankar om it och verksamhetsnytta. Jag tog avstamp från ett holistiskt/funktionalistiskt tankesätt där varje enskild komponent påverkar helheten. Lite som kaosteorierna om fjärilseffekten. Under 2015 har jag ägnat massor av tanketid åt livet, digitaliseringen, verksamhets-/samhällsutvecklingen och kunskap/förmågor i omvälvningen som pågår med hyperfart.

Idag är tiden mogen att göra något konkret inom ramen för ”Reinvent 2015”. En sådan konkret handling är att orientera om ”it-strategen” mot området cybersäkerhet. Jag klär nu på mig mina tidigare chefssäkerhetsrådgivarkläder med tillbehör och gör strategiska resor genom de digitala autostradorna. Synliga, såväl som mera dolda på djupet.

Orsak – verkan

Under projektet med min senaste bok, ”Svenska IT-säkerhetshandboken 1.0”, hade jag den stora förmånen att umgås med planetens skarpaste hjärnor inom sina specifika kunskapsområden. Efter bokens lansering har helt nya former av hot mot samhället sett dagens ljus:

  • Statsfinansierade trojaner som ger sig på fabriker för anrikning av uran
  • Attacker mot myndigheter och regeringar från aktivister som sympatiserar med någon de anser vara orättvist behandlad
  • Massavlyssning av data- och telefontrafik
  • Stöld av intellektuell egendom
  • Och en hel del annat…

Vi befinner oss vid en brytpunkt där begreppet cyberbrottslighet behöver pensioneras och det gamla hederliga begreppet ”brottslighet” ta dess plats. Jag ser att det pågår arbete i den riktningen, men det kan vara för sent om det arbetet inte tar fart på allvar.

Som effekt av allt detta väljer jag nu att fokusera på frågor som rör cybersäkerhet och då utifrån ett intelligensbaserat perspektiv. Säkerhet på djupet, lager-på-lager-säkerhet, multi-perimeter-säkerhet och all annan form av teknisk säkerhet hjälper lite om det inte finns ett ramverk som bygger på datainsamling, analys och intelligenta beslut.

Måndag den 5 oktober kommer jag att publicera min första artikel som tittar just på en övergång mot intelligence-led cybersecurity. Till dess önskar jag trevlig helg.

Länkar

FBI – Cyber Crime

Polismyndighetens arbete mot it-brott

Department of Homeland Security

National Cybercrime Unit

Internetsweden