2018-12-21

Samtale med Cisco: Endelig på høyde med de beste

Allerede i 2006 snakket vi om selvbeskyttende nettverk. Tanken var genial, men teknologien var ikke helt på plass. Men nå er det altså virkelighet.

Thomas Tømmernes IT-sikkerhetsekspert

Kombinasjonen teknologi, kunstig intelligens og verdiøkende tjenester gjør at nettet blir mer eller mindre selvbeskyttende. Dette kan kobles sammen med virksomhetens «blålysteam» (Incident Response Team), og ved brudd på GDPR-reglene rapportere direkte til Datatilsynet.

Best på brannmurer

Gartner lager hvert år en oversikt over de beste leverandørene på nettverk og brannmurer, den såkalte 2018 Gartner Magic Quadrant for Enterprise Network Firewalls. Cisco plasserer seg helt i toppen som en av de fire store. De har ofte ligget noen runder etter de mer innovative brannmurleverandørene, som f.eks. Fortinet, Palo Alto og Check Point - som mer eller mindre legger hoveddelen av sine teknologier i brannmuren og således setter standarden for hva «next-generation firewall» (NGFW) bør være.

Cisco blant de fire beste

Jeg har snakket med Leif Sundsbø, leder for Cyber Security i Cisco Norge, om hva han tenker om Ciscos plassering i Gartner-kvadranten:

– Først og fremst er jeg ekstremt stolt over at Cisco Firepower, som er vår Next Generation Firewall (NGFW), er i «riktig» Gartner-kvadrant, sier Sundsbø.

– Det er 12 år siden forrige gang, så nå er vi tilbake for fullt. Selv om vi ikke har vært helt der vi ønsker, så har vi hatt et bra produkt, og har mange godt fornøyde kunder på vår brannmurportefølje.

”Vi kan nå kjøre flere virtuelle brannmurer på hver fysiske enhet.”

– Men så skal jeg ikke legge skjul på at vi har hatt noen tekniske utfordringer de siste 18 månedene. Dette ble i stor grad løst med versjon 6.2.3 som kom ut tidligere i år, og vi kan nå fokusere på ny funksjonalitet. Jeg vil derfor nevne noen av de viktigste vi har lansert i versjon 6.3, forteller Sundsbø.

– Først og fremst vil jeg trekke frem det som vi kaller for «multiinstant». Det betyr at vi kan kjøre flere virtuelle brannmurer på hver fysisk enhet. Da kan bedrifter med flere avdelinger isolere administrasjon og trafikkflyt fra hverandre gjennom reservasjon av ressurser i maskinvaren. Vi har hatt dette på ASA brannmurene, men ikke på NGFW. Dette er noe som vi vet at flere kunder har savnet.

– Det er også en forskjell på måten vi gjør det på nå i forhold til tidligere. Det er blant annet at vi nå kan vi gjøre en fullstendig separasjon av data og administrasjon, og da vil hver virtuelle brannmur få helt uavhengig CPU, minne og diskreservasjon. Dette gjør at brannmuradministratoren kan bestemme CPU-kjernefordeling for hver virtuelle brannmur - minne og disk blir dimensjonert automatisk basert på dette.

– Når det gjelder brannmurer så definerer vi vår NGFW som en såkalt «Threat Centric Firewall». Det betyr at vi fokuserer på sikkerhet, hva skjedde, hva var grunnen til at det skjedde og hvordan kommer vi tilbake der vi var før angrepet, også kalt «Before – during – after». I tillegg til god nettverkssikkerhet, må en NGFW også være trusselsentrisk for å stoppe avanserte, multi-vektor trusler, både kjent og ukjente.

– I tillegg gir vi også synlighet til hva som skjedde på et veldig detaljert nivå gjennom administrasjonsverktøyet som leveres med Firepower. Alternativt kan dette også sendes til et SIEM-verktøy.

Kobler global trussel med lokal kontekst

Sundsbø nevner også en ny spennende løsning som kommer; Cisco Threat Response.

«Threat Response» sammenstiller global trusselintelligens og lokal sikkerhetskontekst, noe som reduserer kompleksiteten ved automatisk å berike informasjon fra flere kilder og samle resultatene inn i et intuitivt format på ett sted. Cisco Threat Response identifiserer ondsinnet informasjon og kan raskere håndtere hendelser ved å vise truslene på nettverket gjennom å samle og kombinere trusselintelligens fra Cisco og tredjeparter.

”'Threat Response' sammenstiller global trusselintelligens og lokal sikkerhetskontekst.”

Det som også er verdt å nevne her er at brannmuren skjønner protokollene: scada, modbus, profinet.

Protokoller som blant annet brukes av IoT, smart-devicer, industri-styringssystem. Dette er viktig da flere og flere at denne type enheter kobles til nettet og dette er ofte enheter uten noen form for innbygget sikkerhet.

– Vi ser 80% av verdens internettrafikk

Til slutt nevner Sundsbø at de også har Cisco Talos. Dette er verdens største ikke-statlige etterretningsorganisasjon innenfor cybersikkerhet. I og med at Cisco «ser» 80 % av verdens internettrafikk har vi enorme mengder data som vi kan sjekke for skadevare og hver dag blokkerer vi seks ganger mer skadevare enn det er Google-søk i verden. - Når vi oppdager en ukjent skadevare vil vi på kort tid oppdatere alle Cisco-enheter globalt – en ekstra trygghet for våre kunder.

Vi som har jobbet lenge innenfor IT-sikkerhet vet at brannmuren er et kritisk punkt i ethvert nettverk, men dagens sikkerhetsløsninger inneholder så mye mer enn brannmur. Vi snakker kontroll på både nettverk og klienter, samt et verktøy for å samle alle logger på et sted.

Tenk helhet

Min påstand er at det som faktisk er enda viktigere enn brannmurer, er å planlegge og tilrettelegge for en helhetlig sikkerhetsarkitektur. Dette betyr også behov for klare prosesser for hvordan man skal håndtere en hendelse. Her kan Atea spille en viktig rolle med vårt NSM godkjente IRT-team, som jobber med hendelseshåndtering.

Jeg vet at mange har sittet på gjerdet og ventet på NGFW. Nå er tiden inne for å gjøre en oppgradering. En god sammenligning er at det nå er vinter, og det er ingen som føler seg sikker på gamle vinterdekk.

Inntil skrivelysten tar meg igjen,

Følg meg på twitter @TTmmernes for dagsferske oppdateringer