Lyssna

7 Segmentera och kontrollera åtkomst i nätverket

För att skydda organisationens it-miljö är det avgörande att segmentera nätverket för att begränsa och övervaka trafikflödena mellan olika delar av systemet. Det är också viktigt att säkerställa att endast godkänd utrustning tillåts ansluta. Genom att kombinera dessa två åtgärder minskas risken för intrång, spridning av skadlig kod och obehörig åtkomst.

Nätverket bör delas upp i olika segment där trafiken mellan segmenten noggrant kontrolleras och filtreras. Det gör det möjligt att skydda it-miljön mot både interna och externa hot och att begränsa skadorna om en angripare lyckas ta sig in. Samtidigt måste organisationen se till att endast godkänd utrustning ansluter till nätverket. Obehörig utrustning måste identifieras och blockeras, för att förhindra åtkomst till organisationens system och tjänster.

Risker med otillräcklig segmentering och otillåten utrustning

Många organisationers nätverk sträcker sig utanför kontorslokalen. Det kan ske genom att informationssystem är utkontrakterade, att det trådlösa nätverket når utanför byggnaden, eller genom VPN-uppkopplingar. När it-miljön ansluts till internet eller externa nätverk ökar risken för attacker.

Om nätverket inte segmenteras korrekt kan en angripare röra sig från den plats där de tagit sig in till andra känsligare delar av it-miljön. Detta gör det lättare för dem att kartlägga system och skaffa högre behörigheter. Utan segmentering blir det även enklare att sprida skadlig kod mellan klientdatorer och servrar, särskilt om all trafik tillåts fritt inom samma nätverkssegment.

Om otillåten utrustning ansluts till nätverket, till exempel via ett oskyddat trådlöst nätverk eller ett nätverksuttag, kan angripare få tillgång till systemet och använda det som en språngbräda för vidare attacker. Bristen på övervakning av både inkommande och utgående trafik kan förvärra situationen, eftersom angriparna kan använda organisationens nätverk för att kommunicera med externa servrar oupptäckt.

Exempel från verkligheten

En organisation hade både inpasseringssystem, fastighetsdriftssystem och administrativa system på samma nätverk. Vid en uppdatering i de administrativa systemen slutade nätverket fungera, vilket resulterade i att medarbetarna inte kunde använda sina passerkort. Hade nätverket varit segmenterat skulle denna påverkan ha undvikits och säkerheten ökat, eftersom ett problem i ett system inte hade kunnat sprida sig till andra delar.

Rekommenderat arbetssätt

Skydda nätverket genom att segmentera det fysiskt och logiskt, baserat på informationssystemens funktion och känslighet. Använd brandväggar, switchar och routrar för att begränsa trafiken mellan segmenten och övervaka denna noggrant. Endast nödvändig trafik bör tillåtas och klient-till-klienttrafik bör undvikas där det inte behövs. Systemadministration bör utföras från särskilt skyddade segment och utvecklingsmiljöer ska hållas separerade från produktionsmiljön.

Tillåt endast godkänd utrustning att ansluta till nätverket och utbilda personalen om vikten av detta. Använd både aktiva och passiva åtgärder, som 802.1X, för att identifiera och övervaka ansluten utrustning. Skapa en lista över alla nätverksanslutna enheter och minska möjliga angreppspunkter genom att stänga av oanvända nätverksportar och skydda nätverksutrustning med lås och loggar.

Tänk på att

  • Det är lika viktigt att hålla obehörig utrustning borta från nätverket som att hålla obehöriga personer borta från lokalerna.
  • Privata enheter kan utgöra en risk och bör endast tillåtas i avskilda nätverksdelar.
  • Dokumentera trafikflöden och brandväggsregler samt revidera dessa regelbundet.
  • Trafik från betrodda partners måste övervakas och filtreras för att undvika att deras system används för attacker.