Vad innebär NIS2 för dig som arbetar med nätverk?
NIS2 ställer nya krav på organisationer som arbetar med nätverk. Jag (Simon Lundgren) har tillsammans med min kollega Rasmus Hammarborg, som är IT säkerhetsspecialist, gått igenom NIS2 och MCFs råd om säkerhetsåtgärder och utbildning. I den här bloggen beskriver vi hur lagstiftningen påverkar nätverksinfrastrukturen. Samt hur den kan vara en viktig pusselbit i organisationens säkerhetsarbete.
1. Dokumentation av din nätverksinfrastrukturen
Börja med att samla information om den interna, digitala infrastrukturen. Använd en Configuration Management Database (CMDB) för att kartlägga dina IT-tillgångar och deras relationer med varandra, både mjukvara och hårdvara. Enligt remissen ska du dokumentera er interna nätverksinfrastruktur och dess koppling till Internet. Det inkluderar interna och externa servrar, applikationer och molntjänster. Använd data från exempelvis Network Management System (NMS) och loggning från brandväggar, switchar, controllers och routrar.
När du har kartlagt nätverksinfrastrukturen kan du analysera vilken kommunikation som sker internt och externt. Utifrån det skapar du en riktlinje för vilken kommunikation som är tillåten. Gör det i samverkan med applikationsägare i verksamheten. De har information om vilka tjänster och portar applikationen använder. NGFW-brandväggar (Next-Generation Firewall) är ett bra verktyg för att logga portar, applikationer och tjänster som körs internt och externt.
2. NIS2 intrångsskydd
NGFW-brandväggen är en av de viktigaste byggstenarna för att säkra sin miljö. Intrångsskydd och detektering är avgörande verktyg för att motverka cyberattacker. Intrusion Prevention System (IPS) detekterar och nekar trafik med skadlig kod i realtid. Det blockerar även trafik som försöker exploatera kända sårbarheter i system. Med alla sina funktioner skyddar NGFW-brandväggen din interna miljö effektivt mot intrång.
3. Segmentering och Zero Trusts krav i NIS2
För att inte överbelasta brandväggen rekommenderar jag att blockera trafik så nära källan som möjligt. Det stärker också skyddet mot skadlig trafik, intrång och dataläckage. Blockera på switchar, accesspunkter och routrar som fattar beslut innan trafiken når brandväggen. Ett bra verktyg för detta är Network Access Control (NAC), som identifierar, autentiserar och auktoriserar användare och enheter.
NAC är en viktig del i en Zero Trust-strategi och förhindrar att skadlig kod sprids, exempelvis via mikrosegmentering. Har verksamheten implementerat identitets- och policybaserad auktorisering av nätverks- och applikationsflöden uppfyller den samtidigt flera säkerhetskrav i NIS2. NIS2 kräver att gästnätverk segmenteras. Det går att göra via avgränsade nätverk, VLAN, policybaserad, identitetsbaserad eller applikationsbaserad segmentering, eller en kombination. Segmentering bör även tillämpas för miljöer i produktion, utveckling, test och utbildning, både inom och mellan IT och OT. Detsamma gäller VPN-kommunikation till leverantörer, partners och molntjänster.
Traditionella VPN-klienter ersätts i allt större utsträckning av Security Service Edge (SSE). SSE är en molnbaserad säkerhetsarkitektur byggd på Zero Trust-principer. Med SSE skapar du enhetliga och granulära accessregler över hela organisationen. Det centraliserar säkerhetsfunktioner som policy enforcement, trafikinspektion och identitetsbaserad åtkomstkontroll, oavsett var användare och enheter befinner sig.
4. Behörighetshantering och autentisiering
En annan byggsten är autentisering, auktorisering och loggning, som ska vara implementerade i verksamheten för alla system. Använd individuella användaruppgifter och flerfaktorsautentisering för autentisering. Tillämpa dessutom principen om minsta möjliga behörighet för användare och system. Det begränsar den potentiella skadan om någon tar sig in i miljön. Jag har sett verksamheter som använder standardlösenord som aldrig bytts – det är mycket farligt.
5. Övervakning och loggning
God spårbarhet kräver loggning av obehöriga åtkomstförsök, aktiviteter, förändringar och åtkomsthändelser. Det gäller för autentiserade användare, applikationer och tjänster, både vid interna och externa attacker.
Idag finns flera verktyg för detaljerad spårning av cyberattacker. NGFW-brandväggar loggar nätverkstrafik. EDR-agenter (Endpoint Detection Response) övervakar och blockerar skadliga aktiviteter på slutenheter. SSE-plattformar loggar användarsessioner och identitetsbaserade åtkomsthändelser till applikationer och tjänster.
Verktygen täcker olika områden. Brandväggar fokuserar på nätverkstrafik och applikationsflöden. SSE hanterar identitets- och åtkomstbaserade händelser. EDR övervakar aktiviteter och potentiella hot på klienter och servrar. För att korrelera händelserna och underlätta incidenthantering bör verksamheten samla allt i ett Security Information and Event Management-system (SIEM).
6. Redundans och säkerhetskopiering
Backup av konfiguration och systeminformation gör att ni snabbt kan återställa nätverksenheter vid driftstörningar, mjukvarufel, korruption eller konfigurationsfel. Utvärdera därför strategiskt hur länge ett system får vara otillgängligt innan ni återställer det. Bestäm också hur mycket data som är acceptabelt att förlora. I min erfarenhet är detta långt ifrån en självklarhet i verksamheter. Ta reda på vad driftstopp och förlorad data faktiskt kostar er.
När ni vet vilken trafik som är kritisk kan ni implementera redundans för den kommunikationen och tillhörande system och tjänster. Glöm inte redundanta försörjningssystem som elförsörjning. Även dessa ska utvärderas, hanteras och övervakas för att undvika avbrott.
7. Incidenthantering
Vid en incident där data läcker, försvinner eller förvanskas behöver ni snabbt identifiera problemet. Det gäller vad som hände, när det hände och varifrån. SIEM kan automatiskt skapa en incident i verksamhetens incidenthanteringsplattform. Larm når er via brandvägg, SIEM, NMS, molntjänster och telemetri från nätverksenheter.
Förbered er även proaktivt inför en eventuell eskalering. Definiera roller, ansvarsområden och befogenheter i förväg så att ni vet hur de fördelas vid en kris. Träna dessutom på ett intrångsscenario och ta fram en tydlig incidenthanteringsprocess. Den ska beskriva hur ni rapporterar och hanterar intrång, när ni rapporterar till Computer Security Incident Response Team (CSIRT) och i vilka scenarion en polisanmälan är aktuell.
Avslutningsvis
För dig som arbetar med nätverk innebär det att infrastrukturen får en ännu mer central roll i säkerhetsarbetet. Det tycker jag är roligt och jag hoppas att vi som arbetar med nätverk kan hjälpas åt och att denna blogg är en bit på vägen. Jobbar du på en kommun? Vi har skrivit ett blogginlägg som bättre rör de utmaningar ni ställs inför här.
Simon Lundgren
Nätverkstekniker Aranya AB
