Netværkssegmentering

Angreb på it-systemer, hvad enten de kommer fra en medarbejder eller en ekstern hacker, kan bedst bremses eller begrænses i deres konsekvens ved at lave flere ”sikkerhedslag” i it-miljøet.

Brugerne og deres enheder (fx pc) udgør ofte et svagt punkt, idet brugerne skal have adgang til både internettet og det interne netværk, og de kan snydes (af ondsindede aktører) til uforvarende at kompromittere sikkerheden. Hvis de også kan koble eget udstyr til organisationens udstyr og it-systemer, kan det udgøre en særlig høj risiko.

Netværkssegmentering kan anvendes til at inddele netværket i flere segmenter og i øvrigt begrænse muligheden for kommunikation på tværs af segmenterne, hvorved et kompromitteret segment udgør en mindre risiko for de andre segmenter. Segmenteringen giver mere tid til at opdage et angreb, før det når frem til servere med særligt beskyttelsesværdige data. Dette kan kombineres med begrænsning af kommunikation internt i et netværkssegment for at øge sikkerheden yderligere.

Der altså tale om en forebyggende foranstaltning, som kan mindske sandsynligheden for, at der sker et alvorligt brud på sikkerheden i de dele af netværket, som indeholder vigtige it-systemer og fortrolige data. Samtidig kan netværkssegmentering i kombination med andre foranstaltninger (fx alarmer, logning, logovervågning) være en del af en opdagende foranstaltning, der kan mindske konsekvensen ved et ondsindet angreb, fordi angrebet opdages og standses tidligere.

Forskellige segmenter – fx bruger-pc’er, servere, gæstenet, netværk med IoT (Internet of Things) og kundenet – adskilles med firewalls eller lignende, og kommunikationsmulighederne imellem segmenterne lukkes eller begrænses til det allermest nødvendige (isolering af netværket).

Der, hvor det er muligt, anvendes hardware-firewalls, som opsættes professionelt efter et princip, hvor al kommunikation er spærret, undtagen den, som er fundet nødvendigt.

Systemer, der er svære at opdatere, og som derfor er mere sårbare (legacy-systemer eller industrisystemer), sættes på eget netværkssegment.

Backup lægges på et netværkssegment, der er separeret fra de produktionssystemer, som backup angår. Adgangen begrænses særligt her, således at administratorer er nogle andre end dem, der er administratorer på produktionssystemerne.

Der anvendes forskellige teknologier, fx anvendes et andet mærke firewall på internetforbindelsen end på den interne sektionering. Derved vil en sårbarhed i firewallen på internetforbindelsen ikke gøre det nemmere at komme længere ind i netværket.

Firewall-regler opsættes til at begrænse kommunikationsmuligheder mest muligt mellem disse netværk, og derudover opsættes de til at give alarm, hvis reglerne forsøges brudt. Logs fra disse firewalls, switches mv. opsamles og anvendes til at opdage og vurdere om aktiviteter er ondsindede.

Segmentering sker på flere niveauer, og ikke kun med firewalls: Hvor det er muligt begrænses det, hvilken type kommunikation (porte) en server accepterer, hvilke IP-adresser serveren accepterer kommunikation med, eller at serveren kun accepterer kommunikation fra enheder med et specifikt certifikat.

Privilegerede adgangsrettigheder isoleres til et enkelt netværk, således at en kompromitteret bruger-id med privilegerede adgangsrettigheder i dette segment ikke kan misbruges i andre segmenter af netværket.

Der implementeres adgangskontrol (log-in) og sikkerhedspolitikker for de enkelte segmenter, alt efter datas niveau af fortrolighed eller risikoen ved at de mistes/ændres. Politikkerne angiver bl.a. hvilket udstyr, der må kobles på de enkelte segmenter, og hvordan almindelige og privilegerede adgangsrettigheder styres indenfor hvert segment.

Det er primært en risikovurdering efter databeskyttelsesforordningens artikel 32, som skal vise, om foranstaltningen er relevant, idet risici er meget afhængige af, hvilket udstyr man har på netværket, og i hvilken grad det kan vedligeholdes sikkerhedsmæssigt – udstyr, som ikke kan vedligeholdes skal i højere grad isoleres (eller afskaffes).

Men uanset om alt udstyr kan holdes sikkerhedsmæssigt opdateret, kan der altid blive opdaget sårbarheder i opdateret udstyr. Endvidere vil normale it-brugere også udgøre en trussel gennem utilsigtede handlinger, og fordi de kan tilgå mere usikre netværk som fx internettet. Nødvendigheden af sektionering er derfor ikke afhængig størrelsen af it-miljøet. Risikovurderingen for et it-system, hvor der behandles personoplysninger, kan ikke nøjes med at angå det system, men skal inddrage alle tilknyttede systemer og netværk, uanset om disse er interne og regnes for at være ”sikre”.

Visse enheder på et netværk vil altid udgøre en særlig stor trussel, fordi de ikke kan styres sikkerhedsmæssigt, eller fordi det tillades, at kunder eller medarbejdere tilkobler eget udstyr.

Overvågningskameraer, medicinsk udstyr, sensor, og andet udstyr kan være koblet til internettet (IoT), og kan være sårbart og svært at holde sikkerhedsmæssigt opdateret. IoT kan være koblet til internettet, enten direkte eller via organisationens netværk. Der kan være flere kommunikationsmuligheder med en IoT (trådet, Wi-Fi, SIM-kort, bluetooth), og selv om man kun vælger at anvende den ene mulighed, kan de andre evt. blive taget i anvendelse, fordi enheden fra start indeholder malware, eller fordi en hacker aktiverer de andre kommunikationsmuligheder med henblik på at udnytte dem til overvågning eller ”dybere” adgang til organisationens netværk. Et andet problem ved IoT-enheder er, at deres software ofte ikke er lavet med sikkerhed i fokus, og softwaren kan ikke nødvendigvis opdateres (patches), hvis der opdages et sikkerhedsproblem. Der er derfor flere gode grunde til at isolere den type udstyr via segmentering. Se om beskyttelse af IoT-enheder i vejledning fra Center for Cybersikkerhed.

For statslige myndigheder: Se krav om netværkssegmentering i de tekniske minimumskrav for statslige myndigheder

Denne vejledning fra Center for Cybersikkerhed angiver netværkssegmentering som noget der generelt bør implementeres.