3 sätt att säkra gamla ouppdaterade system

Programvara som är kritisk för företaget och som inte uppdateras kan vara mål för cyberkriminella.

Författare: Christer Spörndly
Datum: 09.03.2016
Lästid: 4 Minuter

Är du ett av de företag som använder programvara som redan har nått end-of-life? Våra erfarenheter från området med våra kunder tyder på att de flesta företag har en handfull servrar och klientapplikationer som inte har blivit uppdaterade på ett tag – och inte kommer att uppdateras i den närmsta framtiden. Det är ofta affärskritisk programvara, som ERP, CRM, fakturerings- och reskontrasystem som företag förstår borde få bättre säkerhet.

Men… systemen är för gamla och för värdefulla att fixa med. Få personer på företagen förstår hur de ska lagas om de går sönder – förhoppningsvis är situationen inte fullt så illa som det här fallet från 2005. Men därför lämnas dessa system utan uppdateringar, trots att de skapar en öppning för de som attackerar att komma åt företagets nätverk.

På RSA-konferensen förra året, fastställde Mario Nunez, CEO på Onapsis att:

Över 95 % av de ERP-system som analyserats, var exponerade för sårbarheter som möjliggör för cyberattacker att ta full kontroll över företaget. I 100% av fallen hade information om dessa sårbarheter varit offentligt publicerade i över 5 år.

För att göra det hela värre, så rekommender inte den tillverkare eller leverantör av systemet som införde det, att förbättra säkerheten. Garantiklausuler, SLA (Service Level Agreement), support och fjärrhantering av underhåll (dom vill komma in lätt och du har inga val) skulle upphöra om du gjorde en liten förändring på ett utgånget system som sitter djupt inne i ditt nätverk.

Organisationer ”döljer” ofta dessa lösningar i sitt interna nätverk, och litar på att ingen kommer att komma åt det. Men så fort IT-nätverket har blivit igenomträngt, kan de som attackerar leta efter sätt att komma vidare till legacy systemen. Kanske genom den fjärruppkoppling som din leverantör har möjliggjort själv.

Så vad kan du göra?

Då det vore bäst att uppdatera dessa lösningar för de ovan nämnda orsakerna, är det inte alltid möjligt. Därför måste du leta efter andra vägar för att hålla dina system så säkra som möjligt. Och det finns olika sätt att göra det på från ett mer strategiskt beslut att flytta dom ut i molnet till att isolera dessa utdaterade system och begränsa tillgången till ett minimum.

Låt cybersäkerhets-rådgivaren Erka Koivunen förklara:

  1. Flytta ut de gamla systemen från ditt nätverk. Många moderna CRM, ERP och faktureringssystem har en molnbaserad (egentligen webbläsarbaserad) version av det gamla lokala systemet som du kanske använder. Jag säger inte att molnet magiskt kommer att lösa dina problem, dom ändrar bara form. Istället för att oroa dig för servrar som inte är uppdaterade, kommer du att behöva oroa dig för hur molnet lagrar din information och hur säkra är dina klienter inklusive webbläsare är. Att göra en förflyttning till moderna system, eller börja planera för att låsa in systemet, börjar med en förhandling med att omförhandla ditt avtal.
  2. Isolera servrarna, begränsa tillgången och spåra användning. Säkerställ att de icke uppdaterade och överexponerade servrarna ställs i ett isolerat nätverk. Ingen trafik ska gå in eller ut från systemet om det inte är nödvändigt och den andra parten är legitim. Påtvinga loggning för revision i varje nivå på server- och klientnoder i hela nätverket. Säkerställ att loggarna accessas och lagras någon merstans än i det potentiella inneslutna systemet, och övervaka aktivt varje spår och tecken på avvikande aktivitet.
  3. Identifiera användare som har ett affärsbehov och neka resten. Ta bort hotet som kommer från kontorsnätverket och andra servrar genom att segmentera accessnätverket och flytta dom priviligierade användarna till separata LAN. Sommarjobbare behöver troligtvis inte tillgång till faktureringssystemet, och hela kontorsnätverket måste inte ha tillgång till att komma åt lönesystemet, så se till att driva igenom det!
    Överväg att införa ett internt VPN för nyckelanvändare om nätverkets topologi är för platt innehålla strikta segmenteringar. Om det är för krångligt att flytta klienter till ett isolerat nätverk, fundera på att begränsa tillgången till sårbara tjänster genom att införa terminerande tjänster som exempelvis Terminal Service eller Citrix, vilka är isolerade från kontorsnätverket. Där kan du publicera klientapplikationer till användare i kontorsnätet även om applikationen körs från ett isolerat ställe. Detta kommer förresten lösa problemet med att behöva underhålla gamla webbläsare och utdaterade plug-ins som applikationen kan ha ett ohälsosamt beroende av. Den stora majoriteten av din klient-infrastruktur kommer att få alla de senaste uppdateringarna utan att behöva fundera på kompatibilitetsproblem med ditt legacy system.

Orginal foto av Miguel Virkkunen Carvalho

 


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s