Antaget intrång

En nödvändig övning för modern IT-säkerhet

Är man krass, cynisk eller kanske bara realistisk? Frågan handlar inte längre *om* en organisation kommer att bli utsatt för ett cyberintrång, utan när det sker och hur omfattande skadan blir. Och i antagandet är svaret på när enkelt: *nu* = intrånget pågår och angriparen har ett fotfäste! Insikten ligger till grund för konceptet ”antaget intrång” (assumed breach), en central del av både Zero Trust-arkitekturer och moderna IT-säkerhetsvalideringar.

Vad är ”Assumed Breach”?

I en ”assumed breach”-övning går man direkt till ett scenario där angriparen redan har ett fotfäste innanför brandväggen. Detta skiftar fokus till organisationens interna motståndskraft:

• Röra sig lateralt i miljön.
• Överföra verktyg och resurser.
• Nå sina mål – vare sig det handlar om att exfiltrera data, störa verksamheten eller något annat.

Syftet med en övningen är att utvärdera organisationens förmåga att:

1. Upptäcka pågående attacker.
2. Isolera hotaktörer.
3. Återställa säkerhet utan större driftsstopp eller dataförlust.

Skillnaden mellan ”Assumed Breach” och traditionell ”Red Teaming”

En traditionell ”red teaming”-övning simulerar hela attacklivscykeln, från inledande rekognosering och nätfiskeattacker till att uppnå specifika mål. Det är ofta en omfattande testning av både perimeterförsvar och interna skydd.

I en ”assumed breach”-övning hoppar man däremot över inträngningsfasen och fokuserar direkt på ett scenario där angriparen redan har ett fotfäste innanför brandväggen. Detta skiftar fokus till organisationens interna motståndskraft:

• Hur väl fungerar segmentering?
• Hur effektiv är loggning och övervakning?
• Hur snabbt och effektivt fungerar incidenthanteringen när perimeterförsvaret har brutits?

Zero Trust och vikten av segmentering – perimetern är död

Zero Trust-arkitektur bygger på tanken att säkerhetsbrott är oundvikliga och att hot kan finnas både inom och utanför organisationens nätverksgräns. Ett grundläggande element i denna strategi är segmentering , att separera kritiska tillgångar så att en angripare inte enkelt kan förflytta sig genom nätverk och system.

Skrivbordsövningar eller simuleringar av ”antaget intrång” gör vikten av segmentering tydlig och lyfter fram kritiska frågor som:

• Om en server komprometteras, vilka andra resurser kan angriparen nå?
• Hur snabbt kan vi upptäcka och isolera en hotaktör?
• Finns det tillgångar som saknar redundanta skydd eller där åtkomstkontrollen är för svag?

En analogi som vanligt: någon i familjen kommer hem ”vinterkräksjuk”

Tänk dig att någon i familjen kommer hem sjuk. Det är en uppenbart kaotisk situation som snabbt kan bli ohanterlig om man inte har en plan. Det handlar om att:

• Isolera smittan: Den som är sjuk hålls till en specifik plats, exempelvis en toalett, för att begränsa spridningen.
• Förebygg vidare spridning: Övriga i familjen tvättar händerna extra noga, använder handsprit och undviker gemensamma handdukar.
• Ha en kommunicerad beredskapsplan: Alla vet vad som gäller – från att städa mer noggrant till att undvika gemensamma utrymmen.

På samma sätt fungerar Zero Trust och antaget intrång i en organisation. Smittan är ett faktum. Segmentering av nätverket är som att begränsa sjukdomen till en del av huset. Stärkta hygienrutiner motsvarar förbättrad övervakning och åtkomstkontroll. En förutbestämd beredskapsplan ser till att alla vet vad som behöver göras för att minimera skadan.

Börja tänka ”Zero Trust”

Att utföra en ”assumed breach”-övning är inte bara en praktisk metod för att testa dina system, det är också ett bra första steg mot att tänka i termer av Zero Trust. Istället för att lita på att perimeterförsvaret håller angripare ute, bygger Zero Trust-säkerhet på antagandet att hot redan kan finnas på insidan. Precis som i vinterkräksjuke-analogin handlar det om att snabbt upptäcka, isolera och minimera skadan, innan det påverkar hela organisationen.

Dagens obekväma tanke: Antag ett intrång som pågår just nu. Någon är redan ”inne”. Är vi redo?