Kapittel 12: Operativt IT-sikkerhetsarbeide

For ? sikre at de tekniske kravene til tjenester og applikasjoner er oppfylt, utf?rer USIT kontinuerlig flere typer operative tester og rutiner.

12.1 Proaktiv testing

Dette er en del av det proaktive og forebyggende arbeidet med informasjonssikkerhet. Dette arbeidet gj?res som en standard del av innf?ringen av nye tjenester. Avhengig av tjenestens beskaffenhet er det tre deler i dette arbeidet.

1. ROS-analyser

Dette er dekket i egne dokumenter, og omhandles f?lgelig ikke her.

2. Teknisk gjennomgang

Ved innf?ring av nye tjenester gj?res det vanligvis en gjennomgang av de ulike komponentene som tjenesten eller systemet best?r av. Dette gj?res vanligvis av folk fra IT-sikkerhetsgruppen eller UiO-CERT, eventuelt med bistand av annet teknisk personell p? USIT. Sammen med systemeier eller ansvarlig for tjenesten g?r man gjennom kvaliteten p? de ulike komponentene. Man vurderer eksempelvis

  • Om komponentene er egnet for oppgaven eller oppgavene
  • Hvor godt komponentene er integrert med hverandre
  • Hvor godt komponentene er integrert med UiOs ?vrige IT-systemer
  • Hvor godt systemet h?ndterer brukere, grupper, autentisering og autorisasjon
  • Hvor oppdaterte komponentene er
  • Hvilke muligheter systemet har for konfigurasjon, og hvordan dette gj?res
  • Om systemet eller komponentene b?r integreres med andre systemer p? UiO
  • Om systemet b?r overta oppgaver som i dag gj?res av andre systemer.
  • Hvilke protokoller som benyttes, i hvilke versjoner
  • Hvilke typer data h?ndteres av systemet
  • Hvilke krav systemet stiller til tjenermaskiner og klienter
  • Om systemet bruker gammeldagse eller utdaterte teknologier
  • Hvordan systemet lagrer dataene, hvor lenge og i hvilke formater
  • Hvordan systemet h?ndterer oppdatering av de ulike komponentene, samlet eller hver for seg
  • Hvordan systemet h?ndterer og krypterer elektronisk kommunikasjon
  • Hvordan systemet samhandler med skytjenester og komponenter utenfor UiO
  • Hvordan systemet finner seg til rette i UiOs nettverk og inndeling i ulike soner
  • Hvilke enheter ved UiO er ansvarlig for hvilke deler av systemet
  • Hvordan systemet logger aktivitet, herunder feilsituasjoner som oppst?r
  • Hvordan systemet kan overv?kes for ? sikre informasjonssikkerheten
  • Hvilket ansvar leverand?ren av systemet har overfor UiO

Mange av disse elementene ber?rer andre enheter og fagfelter, og det er ogs? vanlig at mange av de samme elementene vil dukke opp i en ROS-analyse.

3. Penetrasjonstesting

Noen systemer b?r gjennomg? en penetrasjonstest. Her tester man konkret hvor godt tjenesten beskytter dataene som tjenesten h?ndterer. Dette gj?res vanligvis av personale utenfor USIT. Meningen er ? avdekke feil i den tekniske konfigurasjonen, og svakheter i f. eks. autentisering, autorisasjon, kryptering og dataflyt.

12.2 Aktiv testing

Dette er en del av det aktive og operative arbeidet med informasjonssikkerhet.

1. Operative tester

USIT tester jevnlig om den konkrete beskyttelsen av dataene er god nok, alts? om den operative informasjonssikkerheten er tilfredsstillende. Dette kan f. eks. v?re ? teste om konfigurasjonsparametre er riktig satt, eller om kontrollen med brukere og tilganger er god nok. Dette er et p?g?ende arbeid, men f?lger ikke n?dvendigvis faste planer. Dersom man oppdager feil eller mangler, blir dette meldt inn til drift eller systemeier, slik at det kan bli rettet. Dette er alts? et operativt tillegg til de tiltak som f. eks. gj?res som f?lge av ROS-analyser.

2. Portscanning

USIT arbeider kontinuerlig med ? oppdage n?r tilganger til tjenester og maskiner er mer ?pne enn de skal v?re. Dette kalles portscanning, og brukes til ? oppdage n?r tjenermaskiner og klienter kj?rer tjenester de ikke skal kj?re. Det danner ogs? viktig datagrunnlag for ? kartlegge hvordan tjenestene i nettet er bygget opp, og brukes til b?de planlegging og operative inngrep n?r man oppdager anomalier eller u?nskede tjenester. Feil som oppdages rettes fortl?pende ved henvendelse til drift eller systemeier.

3. Trussel-etterretning

USIT overv?ker kontinuerlig det IT-sikkerhetsmessige trusselbildet, og f?lger med p? hvilke akt?rer som kan utgj?re en fare for universitetets informasjonssikkerhet. Dette inkluderer kunnskap om s?rbarheter, u?nsket programvare og trender i dette fagfeltet. Her 欧洲杯在线买球_欧洲杯投注网站推荐@er man med flere akt?rer i UH-sektoren og i andre IT-sikkerhetsmilj?er, b?de nasjonalt og internasjonalt. M?let er b?de ? forebygge datalekkasje og u?nsket tilgang til nettverket og informasjonsressursene, men ogs? ? dynamisk hele tiden vite hvilke indikatorer og parametre man konkret skal se etter i IT-infrastrukturen som kan v?re tegn p? u?nsket aktivitet. P? grunn av at dette fagfeltet hele tiden endres, er det viktig ? bruke tid og ressurser p? ? holde seg faglig oppdatert.

4. Stikkpr?ver i logger

USIT samler inn loggdata fra mange deler av virksomheten. Dette gj?res som en del av grunnsikringen. For ? avdekke svakheter i informasjonssikkerheten tar USIT jevnlig ulike former for stikkpr?ver i dette omfattende materialet. Her kan man f. eks. oppdage feil i konfigurasjonen eller konfigurasjonsstyringen, eller mangler i tilgangskontroll og autorisasjon. Dersom det m? gj?res tiltak, f?lges dette opp med drift eller systemeier p? vanlig m?te.

5. Retting av sikkerhetsfeil

Selv om det kontinuerlige arbeidet med ? installere oppdateringer til programvare fra ulike leverand?rer er en del av grunnsikringen, gj?res dette ogs? utenom grunnsikringen. USIT f?lger med p? flere ulike kilder til informasjon om slike oppdateringer, og gj?r hele tiden vurderinger av i hvor stor grad vi er utsatt i hvert enkelt tilfelle. Dette arbeidet ledsages av testing av tjenester og programvare for ? se om dette vil kunne ramme oss og skape problemer for informasjonssikkerheten. Noen ganger f?rer dette til at tiltak m? iverksettes, for eksempel oppdatering av spesiell programvare eller implementering av midlertidige l?sninger.

6. Automatiske rapporter

For ? gj?re det lettere ? f?lge med p? den IT-tekniske og operative allmentilstanden til informasjonssikkerheten, f?r USIT jevnlige rapporter fra egenutviklede overv?kningsrutiner. Disse oppsummerer og rapporterer om forskjellige deler av infrastrukturen. Dersom det m? gj?res tiltak, f?lges dette opp med drift eller systemeier p? vanlig m?te.

7. Anomalideteksjon

Gjennom utstrakt bruk av rapporter, statistikk, logging og overv?kning, vet USITs IT-sikkerhetspersonell mye om hva som er normalt i IT-infrastrukturen. Dette gj?r det lettere ? avdekke anomalier, alts? n?r noe ikke oppf?rer seg normalt. Dette er ofte et tegn p? noe u?nsket, som kan v?re av betydning for informasjonssikkerheten. Enkelte av verkt?yene som brukes, har ogs? innebygget funksjonalitet for dette, slik at disse vurderingene kan gj?res automatisk og maskinelt. ? oppdage anomalier er anerkjent i fagfeltet som et viktig fokusomr?de, og det er viktig ? kjenne normal oppf?rsel. Eksempler kan v?re

  • hva er normal nett-trafikk til ulike tider p? d?gnet?
  • hvilke versjoner av hvilke programpakker er i bruk, og i hvilket omfang?
  • hvor mange brukere logger inn i ulike systemer til hvilke tider?
  • hvilke systemer brukes av hvilke brukermilj?er, til hvilke tider?
  • hvilke andre land er det nett-trafikk mot, n?r p? d?gnet, og i hvilket omfang?
Publisert 28. feb. 2017 13:17 - Sist endret 13. mai 2019 13:23
Del p? e-post