Kapittel 12: Operativt IT-sikkerhetsarbeide

For å sikre at de tekniske kravene til tjenester og applikasjoner er oppfylt, utfører USIT kontinuerlig flere typer operative tester og rutiner.

12.1 Proaktiv testing

Dette er en del av det proaktive og forebyggende arbeidet med informasjonssikkerhet. Dette arbeidet gjøres som en standard del av innføringen av nye tjenester. Avhengig av tjenestens beskaffenhet er det tre deler i dette arbeidet.

1. ROS-analyser

Dette er dekket i egne dokumenter, og omhandles følgelig ikke her.

2. Teknisk gjennomgang

Ved innføring av nye tjenester gjøres det vanligvis en gjennomgang av de ulike komponentene som tjenesten eller systemet består av. Dette gjøres vanligvis av folk fra IT-sikkerhetsgruppen eller CERT, eventuelt med bistand av annet teknisk personell på USIT. Sammen med systemeier eller ansvarlig for tjenesten går man gjennom kvaliteten på de ulike komponentene. Man vurderer eksempelvis

  • Om komponentene er egnet for oppgaven eller oppgavene
  • Hvor godt komponentene er integrert med hverandre
  • Hvor godt komponentene er integrert med UiOs øvrige IT-systemer
  • Hvor godt systemet håndterer brukere, grupper, autentisering og autorisasjon
  • Hvor oppdaterte komponentene er
  • Hvilke muligheter systemet har for konfigurasjon, og hvordan dette gjøres
  • Om systemet eller komponentene bør integreres med andre systemer på UiO
  • Om systemet bør overta oppgaver som i dag gjøres av andre systemer.
  • Hvilke protokoller som benyttes, i hvilke versjoner
  • Hvilke typer data håndteres av systemet
  • Hvilke krav systemet stiller til tjenermaskiner og klienter
  • Om systemet bruker gammeldagse eller utdaterte teknologier
  • Hvordan systemet lagrer dataene, hvor lenge og i hvilke formater
  • Hvordan systemet håndterer oppdatering av de ulike komponentene, samlet eller hver for seg
  • Hvordan systemet håndterer og krypterer elektronisk kommunikasjon
  • Hvordan systemet samhandler med skytjenester og komponenter utenfor UiO
  • Hvordan systemet finner seg til rette i UiOs nettverk og inndeling i ulike soner
  • Hvilke enheter ved UiO er ansvarlig for hvilke deler av systemet
  • Hvordan systemet logger aktivitet, herunder feilsituasjoner som oppstår
  • Hvordan systemet kan overvåkes for å sikre informasjonssikkerheten
  • Hvilket ansvar leverandøren av systemet har overfor UiO

Mange av disse elementene berører andre enheter og fagfelter, og det er også vanlig at mange av de samme elementene vil dukke opp i en ROS-analyse.

3. Penetrasjonstesting

Noen systemer bør gjennomgå en penetrasjonstest. Her tester man konkret hvor godt tjenesten beskytter dataene som tjenesten håndterer. Dette gjøres vanligvis av personale utenfor USIT. Meningen er å avdekke feil i den tekniske konfigurasjonen, og svakheter i f. eks. autentisering, autorisasjon, kryptering og dataflyt.

12.2 Aktiv testing

Dette er en del av det aktive og operative arbeidet med informasjonssikkerhet.

1. Operative tester

USIT tester jevnlig om den konkrete beskyttelsen av dataene er god nok, altså om den operative informasjonssikkerheten er tilfredsstillende. Dette kan f. eks. være å teste om konfigurasjonsparametre er riktig satt, eller om kontrollen med brukere og tilganger er god nok. Dette er et pågående arbeid, men følger ikke nødvendigvis faste planer. Dersom man oppdager feil eller mangler, blir dette meldt inn til drift eller systemeier, slik at det kan bli rettet. Dette er altså et operativt tillegg til de tiltak som f. eks. gjøres som følge av ROS-analyser.

2. Portscanning

USIT arbeider kontinuerlig med å oppdage når tilganger til tjenester og maskiner er mer åpne enn de skal være. Dette kalles portscanning, og brukes til å oppdage når tjenermaskiner og klienter kjører tjenester de ikke skal kjøre. Det danner også viktig datagrunnlag for å kartlegge hvordan tjenestene i nettet er bygget opp, og brukes til både planlegging og operative inngrep når man oppdager anomalier eller uønskede tjenester. Feil som oppdages rettes fortløpende ved henvendelse til drift eller systemeier.

3. Trussel-etterretning

USIT overvåker kontinuerlig det IT-sikkerhetsmessige trusselbildet, og følger med på hvilke aktører som kan utgjøre en fare for universitetets informasjonssikkerhet. Dette inkluderer kunnskap om sårbarheter, uønsket programvare og trender i dette fagfeltet. Her samarbeider man med flere aktører i UH-sektoren og i andre IT-sikkerhetsmiljøer, både nasjonalt og internasjonalt. Målet er både å forebygge datalekkasje og uønsket tilgang til nettverket og informasjonsressursene, men også å dynamisk hele tiden vite hvilke indikatorer og parametre man konkret skal se etter i IT-infrastrukturen som kan være tegn på uønsket aktivitet. På grunn av at dette fagfeltet hele tiden endres, er det viktig å bruke tid og ressurser på å holde seg faglig oppdatert.

4. Stikkprøver i logger

USIT samler inn loggdata fra mange deler av virksomheten. Dette gjøres som en del av grunnsikringen. For å avdekke svakheter i informasjonssikkerheten tar USIT jevnlig ulike former for stikkprøver i dette omfattende materialet. Her kan man f. eks. oppdage feil i konfigurasjonen eller konfigurasjonsstyringen, eller mangler i tilgangskontroll og autorisasjon. Dersom det må gjøres tiltak, følges dette opp med drift eller systemeier på vanlig måte.

5. Retting av sikkerhetsfeil

Selv om det kontinuerlige arbeidet med å installere oppdateringer til programvare fra ulike leverandører er en del av grunnsikringen, gjøres dette også utenom grunnsikringen. USIT følger med på flere ulike kilder til informasjon om slike oppdateringer, og gjør hele tiden vurderinger av i hvor stor grad vi er utsatt i hvert enkelt tilfelle. Dette arbeidet ledsages av testing av tjenester og programvare for å se om dette vil kunne ramme oss og skape problemer for informasjonssikkerheten. Noen ganger fører dette til at tiltak må iverksettes, for eksempel oppdatering av spesiell programvare eller implementering av midlertidige løsninger.

6. Automatiske rapporter

For å gjøre det lettere å følge med på den IT-tekniske og operative allmentilstanden til informasjonssikkerheten, får USIT jevnlige rapporter fra egenutviklede overvåkningsrutiner. Disse oppsummerer og rapporterer om forskjellige deler av infrastrukturen. Dersom det må gjøres tiltak, følges dette opp med drift eller systemeier på vanlig måte.

7. Anomalideteksjon

Gjennom utstrakt bruk av rapporter, statistikk, logging og overvåkning, vet USITs IT-sikkerhetspersonell mye om hva som er normalt i IT-infrastrukturen. Dette gjør det lettere å avdekke anomalier, altså når noe ikke oppfører seg normalt. Dette er ofte et tegn på noe uønsket, som kan være av betydning for informasjonssikkerheten. Enkelte av verktøyene som brukes, har også innebygget funksjonalitet for dette, slik at disse vurderingene kan gjøres automatisk og maskinelt. Å oppdage anomalier er anerkjent i fagfeltet som et viktig fokusområde, og det er viktig å kjenne normal oppførsel. Eksempler kan være

  • hva er normal nett-trafikk til ulike tider på døgnet?
  • hvilke versjoner av hvilke programpakker er i bruk, og i hvilket omfang?
  • hvor mange brukere logger inn i ulike systemer til hvilke tider?
  • hvilke systemer brukes av hvilke brukermiljøer, til hvilke tider?
  • hvilke andre land er det nett-trafikk mot, når på døgnet, og i hvilket omfang?
Publisert 28. feb. 2017 13:17 - Sist endret 27. nov. 2017 12:51