Målet med prinsippet: Virksomheten konfigurerer og tilpasser maskin- og programvare slik at det tilfredsstiller virksomhetens behov for sikkerhet. Det er etablert rutiner for sporing, rapportering og korrigering av sikkerhetskonfigurasjon på enheter, programvare og tjenester for å hindre angripere i å utnytte disse.
Hvorfor er dette viktig?
De fleste IKT-produkter leveres med en standardkonfigurasjon utviklet av produsent eller forhandler. Disse konfigurasjonene er vanligvis utviklet for å forenkle installasjon eller bruk, ikke for å tilby god sikkerhet. Åpne tjenester og porter, standardkontoer og passord, eldre (og ofte sårbare) protokoller og forhåndsinstallert programvare kan gi en angriper en rekke muligheter til å oppnå uautorisert tilgang. Systemer som ikke er eksplisitt konfigurert har mest sannsynlig sårbarheter som en angriper kan utnytte. Virksomheter må derfor herde IKT-produktene, eksempelvis ved å ta bort funksjonalitet det ikke er tjenstlig behov for samt fjerne standard-innstillinger og passord.
Tilhørende tiltak
Utdypende informasjon
Herding er en viktig del av den totale informasjonssikkerheten. Manglende herding av systemkomponenter er ofte en årsak til at angripere får fotfeste i virksomheten. Operativsystemer på klientmaskiner og servere, databaser, brannmurer, skytjenester, e-postklienter og nettverksutstyr er eksempler på IKT-produkter som bør herdes. Disse produktene bør installeres og konfigureres slik at kun ønsket funksjonalitet er aktivert. Unødvendig funksjonalitet bør fjernes eller deaktiveres, slik at man får mindre angrepsflate, færre sårbarheter og mindre arbeid med sikkerhetsoppdatering.
IKT-systemet er under kontinuerlig endring når løsninger først er idriftsatt. Eksempler er oppgradering av enheter og programvare, tilgang til data og tjenester basert på nye brukerbehov, endringer i trusselbildet, nyoppdagede sårbarheter med mer. Angripere utnytter ofte at sikkerhetskonfigurasjonen på komponenter i nettverket svekkes over tid. Angripere søker etter uendrede, sårbare standardinnstillinger og logiske hull i klienter, servere, brannmurer, rutere og svitsjer og utnytter dette for å omgå eller komme gjennom sikkerhetsbarrierer. Det er derfor viktig at konfigurasjonen oppdateres og verifiseres ved jevne mellomrom og at avvik registreres, rapporteres og håndteres på en effektiv måte.
Utvikling av konfigurasjons-innstillinger med god sikkerhetsfunksjonalitet er en kompleks oppgave. For å ta gode valg må potensielt flere tusen innstillinger vurderes, besluttes og implementeres på alle deler av IKT-systemet. Å etablere en sikker konfigurasjon krever teknisk kompetanse på komponentene som skal herdes. Man bør derfor støtte seg på eksterne aktører. Ofte er første skritt å henvende seg til leverandøren av IKT-produktet. Leverandøren vil ofte ha en anbefalt «best practice» for sikrere bruk av produktet, og kanskje også en nedlastbar samling av sikkerhets-innstillinger for de som har behov for sikkerhet ut over det som er standard. I tillegg kan andre nasjoners sikkerhetsmyndigheter ofte ha gode anbefalinger på detaljert herding.