Fortinet Security Day genomfördes nyligen.
En dag fylld av det senaste inom cybersäkerhet i form av föredrag samt berättelser från såväl kunder som partners.
Dessutom en djupdykning inom Zero Trust.
Årets upplaga hölls på Scandic Continental mitt emot Stockholms Centralstation och genomfördes som ett hybridevent vilket gjorde det möjligt att följa eventet på plats eller digitalt. En av huvudsponsorerna var Exclusive Networks som är Fortinets globala värdeadderande distributör. Dagens moderator var Maria Moin som guidade oss genom en fullspäckad och intressant dag.
Ett koncept som är lika enkelt som svårt!
Ett av flera föredrag hölls av Mikael Gustafsson och ämnet var Zero Trust (ZT). Han är Systems Engineer på Fortinet. Han inleder med att förklara att även om det är mycket teknik inblandat är det ytterst ett tankekoncept som i grunden handlar om att inte lita på något eller någon, inte ens dina medarbetare eller företagets egna system.
Det skiljer sig med andra ord från ett klassiskt perimeterskydd där man utgår ifrån att allt som finns ”innanför” brandväggar och i den egna IT-miljön är säkert.
En av utmaningarna med ZT är att det bygger på att vi inte ska lita på någon eller något. Det kan givetvis skapa spänningar på en arbetsplats, i en affärsrelation eller i andra sammanhang.
”En sak som bromsar införandet av Zero Trust är kostnader och då handlar det inte bara om investeringar i den tekniska plattformen. En viktig del av konceptet är utbildning av personalen så att de fullt ut förstår hur de själva ska hantera lösenord och till exempel mail som kan vara en del av ett phishingförsök eller en ransomwareattack. En annan sak, som är lika viktig, är att få en förståelse för att mina medarbetare kan vara skeptiska till det som jag skickar till dem. Att skapa en förståelse i en organisation för att det är ok att vara misstänksam är en framgångsfaktor för en lyckad implementering av Zero Trust!”, förklarar Mikael när vi får chansen till ett enskilt samtal med honom under dagen.
Att Zero Trust blir allt viktigare står klart för oss när han berättar att den amerikanske presidenten Joe Biden i början av år 2022 utfärdade en presidentorder som innebär att alla amerikanska företag ska införa ZT-konceptet.
Finns det någon enskild aktivitet som företagen bör ta tag i generellt sett, frågar vi Mikael.
”Då väljer jag lösenordshanteringen. I princip alla stora attacker bygger på stulna lösenord och andra ID-uppgifter”, svarar han snabbt.
”Det faktum att vi arbetar så decentraliserat gör det svårare att skydda sig, därför är det bra om vi inte litar på någon var vi än befinner oss när vi är uppkopplade. Under år 2021 var de globala intäkterna för ransomwaregrupperna 602 miljoner dollar (!), varav den ledande gruppen tjänade runt 180 miljoner dollar. Det utgör givetvis ett otroligt incitament för de cyberkriminella att fortsätta och dessutom utöka sin verksamhet”, avslutar Mikael Gustafsson vårt samtal.
Bekännelser från en etisk hackare
Ovanstående rubrik är hämtad rakt av från ett mycket intressant föredrag som David Jacoby höll. Han är IT-säkerhetsexpert och en erkänt duktigt föredragshållare. Han medverkade i SVT:s serie Hackad som sändes under hösten 2021 men hans CV inom säkerhetsrelaterade ämnen går hela 25 år tillbaka i tiden. Han driver bolagen Sprinkler Security Sweden tillsammans med Bahnhof och det privata bolaget Unbreached AB.
Han refererar bland annat till ett säkerhetstänkt, som även Mikael nämnde, som heter Assume Breach vilket i korthet innebär att du ska utgå ifrån att du redan är hackad även om du inte har upptäckt det än. Det kan synas som ett pessimistiskt synsätt men det gör att du blir mer aktivt i ditt säkerhetstänk jämfört med att tänka att det händer inte mig.
David vet vad han pratar om eftersom vi på hans CV även kan läsa den intressanta titeln Etisk hackare, vilket innebär att han på uppdrag från sina kunder använder samma tekniker och metoder som en hackare för att identifiera sårbarheter och brister i deras produkter och infrastruktur så kunderna kan täppa till dem.
Vi ber honom berätta mer om den delen av hans verksamhet.
”Jag erbjuder företag som vill testa sin IT-säkerhet att hacka dem. Självklart hackar jag bara företag som har bett mig att göra det. Det är därför jag är en etisk hackare. Jag arbetar med scenariobaserade hack. Det första jag gör är att fråga företaget vad är det viktigaste som ni har att skydda? Detta är viktigt för att hitta rätt fokus för kunden, en bank kanske har andra säkerhetshot och krav än exempelvis ett annat företag? För mig är det viktigt att hjälpa kunderna skydda sin kärnverksamhet. Därefter startar jag ett hack som fokuserar på just det som kunden har bett mig att testa. Jag vet inte riktigt om jag ska vara glad eller ledsen över resultaten, men oftast så lyckas mina hack vilket kan ses som ett tecken på att många företag inte har det säkerhetsskydd de behöver”, svarar han med ett leende men med ett allvar i blicken.
Low Hanging Fruits
I IT-säkerhetens barndom var hackarnas mål mer inriktad på att påvisa att de hade lyckats, till exempel genom att det dök upp en dödskalle med en text på bildskärmarna. Utvecklingen har gått fort och vi har svårt att hinna med att bemöta nya hotbilder. David menar att även om hackarnas syften har förändrats så är deras tillvägagångssätt i stort sett desamma på grund av att vi som är konsumenter av digitala tjänster inte har bytt mönster eller på stor skala börjat använda de säkerhetsfunktioner som faktiskt finns tillgängliga.
”Detta är en stor fråga men jag tror två viktiga aspekter är att företagen och dess medarbetare är för slarviga när det gäller hantering och utformning av lösenord. Många förstår inte hur våra tjänster hänger ihop och hur viktig varje individ faktiskt är. Även lagstiftningen släpar efter, många av de regler och lagar vi följer idag är framtagna för ett kommersiellt syfte och inte för att på riktigt förhindra IT-säkerhetsproblem eller bekämpa brott. Detta är tydligt då det fortfarande finns stora utmaningar mellan privat och offentlig sektor när det gäller att utreda och bekämpa cyberbrott. Men det positiva är att vi verkligen är på rätt väg, framtiden ser ljusare ut när det gäller bekämpningen av den globala cyberkriminaliteten”, förklarar David.
Vad är det första som företag ska ta tag i, så kallade Low Hanging Fruits, för att öka sitt IT-skydd, frågar vi.
”Det första som de ska se över är att identifiera sina attackytor, titta över lösenordspolicyn och aktivera dubbelautentisering (Multi-factor Authentication, MFA). Därefter är det dags att utbilda personalen. Det tredje steget är att genomföra en nätverkssegmentering så att inkräktarna inte kommer åt hela nätverket vid ett intrång. Många av de brister jag hittar hos kunder går att utnyttja på grund av dålig nätverkssegmentering och accesskontroll”, svarar David Jacoby och vi tackar för ett intressant samtal med honom.
En dag full av förväntningar
Eftermiddagen fylldes av tre olika spår; Zero Trust, Security Operations, Fortinets partners har ordet. Dagen avslutades sedan med ett mingel där det fanns gott om möjligheter att utbyta erfarenheter och stämma av förväntningar.
Självklart fanns det även förväntningar hos Fortinet inför Security Day. Vi ber deras Sverigechef Lars Berggren att berätta om sina egna.
”Mina förväntningar var att vi skulle få fram det samlade budskapet under dagen, vi hade lagt upp agendan så att det fanns en röd tråd i det man behöver fundera över för att skydda sig på ett effektivt sätt. Vi visade under seminariet att alla tekniska lösningar måste hänga ihop och kommunicera med varandra för att erhålla ett gott skydd. Men det räcker inte bara med teknologier utan det handlar även om psykologi och att förstå hackare, vad de vill uppnå, varför och hur de attackerar verksamheter. Vi kunde under dagen ge svar på dessa frågeställningar men också mycket annat, inte minst att vi skapade en mötesplats för kunder och partners”, svarar Lars.
Ser Fortinet några speciella trender just nu inom IT-säkerhet?
”De två största trenderna just nu är konvergensen och konsolideringen. Det handlar dels om konvergens mellan IT- och OT-lösningar och behovet av att dessa skall kunna samexistera i ett plattformstänk med ett gemensamt management men också sammanflätningen mellan nätverk och IT-säkerhet. För den senare är det viktigt att säkerhetsfunktionerna är inbyggda i infrastrukturen från början”, svarar han och fortsätter.
”Konsolidering till färre antal leverantörer och punktlösningar till ett plattformstänk drivs bland annat av behovet att kunna öka visibilitet och reducera kostnader. Gartner kallar idén för en “Cybersecurity Mesh Architecture”, vi kallar den för “Fortinet Security Fabric”. Trenden är att allt fler organisationer skyddar sin verksamhet med en bred, integrerad och automatiserad mesh-plattform för cybersäkerhet, vilket är helt avgörande för att minska komplexiteten och öka säkerhetseffektiviteten i dagens expanderande nätverk”, förklarar Lars.
Vilken är den största utmaningen nu för era respektive kunder?
”Det är definitivt utmaningen och svårigheterna för företag/organisationer att värdera vilken affärsrisk de står inför och att kunna allokera rätt resurser och investeringar för att säkerställa och skydda sin affär och verksamhet”, säger Lars Berggren.
Vi önskar Fortinet och Exclusive Networks all lycka i det fortsatta arbetet med att skapa effektiva lösningar för skydd mot cyberkriminalitet.