Tell it to the Marines: Leadership Principles and Network Security
Det er efter lukketid på en fredag. Du taler med en fjernansat om at installere en næste generation af en firewall. Ingen trafik passerer gennem netværket, og nu sidder du fast på projektet, indtil det er rettet. Vedligeholdelsesvinduer uden for arbejdstid i weekenden i forbindelse med forbedring af cybersikkerheden kan være nogle af de mest stressende og risikofyldte projekter med lavt moralsk niveau, som en organisation gennemfører. Risikoen og stressen kan dog reduceres ved at anvende den planlægningsmetode, der anvendes af United States Marine Corps (USMC) Reservister. USMC’s planlægningsbegreber kan let tilpasses til cybersikkerhedsprojekter, hvilket øger chancerne for succes.
USMC’s taktiske planlægning fokuserer på at anvende seks troppeførende trin. Dette er den grundlæggende tilgang, som marinesoldaterne bruger til alle operationer. Marinesoldater har brugt disse trin (kendt under akronymet BAMCIS) til planlægning af alt fra marinekorpsets årlige fødselsdagsbal den 10. november til et angreb på en fjendtlig snigskytterede. BAMCIS er en forkortelse for: Begynd at planlægge, arrangere rekognoscering, foretage rekognoscering, færdiggøre planen, udstede ordren og føre tilsyn, og det er et centralt princip i marinekorpsets ledelse. BAMCIS’ mål er at indsamle oplysninger, lave en plan, udføre og sikre missionens succes.1
Med installation af en næste generations firewall som et illustrativt scenarie vil vi gennemgå disse troppeledende trin og identificere, hvordan de kan forbedre chancerne for, at udstyret virker ud af kassen, og mindske risikoen for at bruge en hel weekend på fejlfinding.
Trin 1: Begynd planlægningen
Missionsanalysen (eller projektplanlægningen) begynder her. Den dag, hvor der gives grønt lys, er den dag, hvor planlægningen skal begynde: Bestem, hvor længe den parallelle infrastruktur skal forblive på plads. Identificer hvilke ressourcer der vil være nødvendige under eventuelle hot-cut-migrationer. Kvantificer den indvirkning, som den nye netværkssikkerhedsinfrastruktur vil have på organisationens brugere. Forbered mange spørgsmål i løbet af dette trin. Du bliver nødt til at gøre nogle antagelser om projektet for at kunne begynde planlægningen. Hvis fjernkontoret ligger uden for USA, skal sprogbarrierer, kryptografiske eksportrestriktioner og toldspørgsmål tages op så tidligt som muligt. Det er svært at få succesfuldt implementeret netværkssikkerhedsinfrastruktur, hvis infrastrukturen eller ingeniøren sidder fast i tolden!
Trin 2: Arrangér rekognoscering
I konventionel krigsførelse er dette trin det sted, hvor du ville indsamle oplysninger om fjendens størrelse, kapacitet og svagheder. Men det, som dette trin i virkeligheden besvarer, er spørgsmålet: “Hvilke oplysninger mangler jeg for at opnå succes? “2 Brug alle tilgængelige samarbejdsmetoder for at sikre, at alle de oplysninger, der er nødvendige for en vellykket implementering af netværkssikkerhedsinfrastruktur, bliver opdaget længe før idriftsættelsen. Der bør indhentes fysiske krav som f.eks. strøm og køling, sikkerhedspolitikker, der styrer adgangen til infrastrukturen, og billeder af stedet. Afhængigt af organisationen kan det blive et projekt i sig selv at få de nødvendige afklaringer, men indhentning af disse oplysninger er afgørende for succes.
Tænk også på de oplysninger, der kræves fra udstyrsleverandøren. Uanset om du køber den næste generations firewall direkte fra leverandøren og installerer den selv eller stoler på en outsourcet løsningsleverandør, er det afgørende for succes at have disse oplysninger inden den faktiske implementering af infrastrukturen.
Trin 3: Foretag rekognoscering
Dette er her, hvor ledelsen bruger alle tilgængelige aktiver til at udfylde eventuelle informationsmangler, efter at rekognosceringen er blevet arrangeret. I tilfældet med den næste generations firewall er det her, vi ville analysere specifikationerne for at sikre tilstrækkelig plads, strøm og sikkerhed. Cybersikkerhedsinfrastruktur, der er placeret i et almindeligt rum med et nedhængt loft og bag en dør uden forhindring af bagudvending og ikke i et aflåst skab, er et problem, der venter på at opstå.3 Hvis din rekognoscering viser, at stedet ikke lever op til de krævede fysiske sikkerhedsstandarder, skal dette løses, inden du går videre. At nå ud til de teams, der er berørt af sikkerhedsinfrastrukturen, er nøglen til at udfylde de informationsmangler, der er nødvendige for at forhindre en smertefuld weekend-lang fejlfinding.
Trin 4: Færdiggør planen
I trin et blev der formuleret mange spørgsmål og antagelser for at få planen på plads. Nu er tiden inde til at besvare disse spørgsmål og undersøge alle disse antagelser. Du må ikke forelske dig i din plan. Peer review er afgørende. Når du f.eks. skriver installationsprocedurer, kan det tage fem minutter at finde en slåfejl i forbindelse med tilslutning af næste generations firewall. Hvis den tastefejl ikke bliver fundet, kan det tage mange timer at fejlfinde, hvorfor der ikke flyder nogen trafik. Begynd at tænke på alle de potentielle fejltilstande i forbindelse med implementeringen.4 Det sidste, man ønsker, er at være mindre sikker eller at vedligeholdelsesvinduet går ud over forventningerne, hvilket har en umådelig negativ indvirkning på organisationen. Den færdige plan skal tage højde for ændring af standardoplysningerne for den administrative konto, deaktivering af ubrugte porte og tjenester samt leverandørens anbefalede bedste praksis. Alt for ofte bliver disse udeladt, når man forsøger at få løsningen implementeret inden fristerne, så sørg for at medtage dem i planen.
Trin 5: Udstedelse af ordren
De fleste militære operationer indebærer udstedelse af en “Five Paragraph Operations Order”. Dette er et klart og kortfattet resumé af de væsentlige oplysninger, der er nødvendige for at gennemføre operationen. Vi tilstræber at have den samme slags klare og kortfattede instruktioner.5 Alle oplysninger til en vellykket implementering af netsikkerhedsinfrastruktur skal formidles til dem, der udfører arbejdet. Dette omfatter skriftlige instruktioner, brug af telefonmøder, virtuelle whiteboards og skærmbilleder. En bred kommunikationsplan kan løse mange problemer, før de får en chance for at blive til problemer. Selv om ingen ønsker at sidde fast i møder hele dagen, efter at de endelige instruktioner er sendt, bør man tage sig tid til at sikre en fælles forståelse længe før ændringen af netværkssikkerhedsinfrastrukturen begynder. Antag, at ingen rent faktisk læser dine e-mails eller lytter til dine idéer i mødelokalet, stil teammedlemmer spørgsmål om planen, og sørg for, at de svarer med de korrekte svar!
Trin 6: Supervisér
Uden supervision øges sandsynligheden for, at marinesoldater træffer dårlige beslutninger, f.eks. at de ikke drikker nok vand før en varm ørkenløb på tre miles til at de beruset udløser en brandalarm, som dækker flere fly i skum.6 Korrekt tilsyn kan på den anden side resultere i, at marinesoldater træffer kloge beslutninger, der ændrer historiens gang. Netværkssikkerhedsinfrastrukturprojekter er ikke anderledes. Tilsyn er afgørende for at sikre, at arbejdet udføres efter planen og i overensstemmelse med de fastsatte standarder. USMC anser tilsynet for at være det vigtigste element i troppeføring. Overvågning er ikke kun ledelsens ansvar. Alle projektdeltagere er ansvarlige for at sige fra, når de observerer noget utilfredsstillende, f.eks. manglende dokumentation eller dårlig gennemførelse af en firewalls regler for trafikfiltrering – som de ser det ske. Det er nemt at rette dokumentationen umiddelbart efter implementeringen, når en tilsynsførende kræver indsigt i, hvordan firewallen filtrerer trafikken. Det er svært at rette den flere år senere, når man skal fejlfinde, hvorfor et nyt program filtreres forkert.
Desto mere teammedlemmer er i stand til at øve ændringer i netværkssikkerheden, jo mindre sandsynligt er det, at de får produktionsafbrydelser på grund af ændringerne.
I betragtning af den stigende udbredelse af virtualisering og cloud-teknologier er det blevet lettere at øve infrastrukturprojekter for netværkssikkerhed i et kontrolleret miljø, før de frigives til produktion. Ligesom en infanteribataljonschef ville indgyde værdierne “træn hvordan du kæmper, kæmp hvordan du træner” i tropperne, når de forbereder sig til kamp, skal organisationens ledelse indgyde værdier relateret til korrekt testning og træning, før løsninger er i produktion. Jo mere teammedlemmer er i stand til at øve sig på ændringer i netværkssikkerheden, jo mindre sandsynlighed er der for, at de får produktionsafbrydelser på grund af ændringerne. De fleste vil være enige i, at en ny marinesoldat skal lære det grundlæggende i navigation på land i et kontrolleret træningsmiljø, før han forventes at navigere en patrulje, der er indsat i en krigszone. På samme måde skal cybersikkerhedspersonale have mulighed for at lære, hvordan deres konfiguration af netværkssikkerhedsinfrastrukturen vil påvirke organisationens data i bevægelse i en laboratoriemiljø, før den udrulles til produktionscyberspace.
Selv om hver organisation er unik, kan disse seks troppeførende trin, der stammer fra marinekorpset, anvendes i andre organisationer. Selv de mest civile organisationer kan anvende nogle få erfaringer fra militæret, som måske bare kan føre til færre smertefulde fejlfindingsoplevelser uden for arbejdstiden.
Hensigtsfraskrivelse: De synspunkter, der kommer til udtryk i denne artikel, tilhører forfatterne og repræsenterer ikke nødvendigvis synspunkterne hos de organisationer, de er tilknyttet.
Kilder
- http://www.marines.mil/Portals/59/Publications/MCWP%203-11.2%20Marine%20Rifle%20Squad.pdf
- http://www.trngcmd.marines.mil/Portals/207/Docs/TBS/B2B2367%20Tactical%20Planning.pdf
- Mitnick, Kevin D., og William L. Simon. Ghost in the Wires: My Adventures as the World’s Most Wanted Hacker. Little, Brown & Co., 2012.
- http://global.datacenterworld.com/dcwg18/Custom/Handout/Speaker0_Session1019658_2.pdf
- http://www.trngcmd.marines.mil/Portals/207/Docs/FMTBE/Student%20Materials/FMST/209.pdf
- https://www.stripes.com/news/pacific/drunk-marine-releases-fire-suppression-system-in-kadena-hangar-1.351940