Without IT asset management, cyber security becomes guesswork

🙏 Begin your IT security journey at the beginning, not in the middle.
Too many organizations jump straight into firefighting—patching vulnerabilities, responding to incidents, and buying new tools—without ever laying the foundation. The foundation is always IT asset management (ITAM). Without it, everything else is largely built on assumptions.

💾 Think about it: you wouldn’t order a backup server without knowing how much or what data you need to protect. And you wouldn’t buy a firewall without knowing what it is supposed to defend, or how much traffic it must be able to handle. The same logic applies to cyber security as a whole—you must start with ITAM, or everything else becomes guesswork.

👀 You cannot protect what you cannot see.
Without updated and reliable ITAM, risk assessments quickly turn into theory detached from reality. Many organizations say they have X critical systems, and that sounds reassuring. The problem is the Y systems they don’t know about—the ones set up by someone years ago, without documentation, still running in the background, and still connected to the network. X represents the assets you know and track, while Y represents the shadow IT: the forgotten, hidden, or undocumented systems that pose just as much risk, if not more.

⚽ It is a bit like football: to build a strong team, the coach must know exactly which players are on the field, their positions, and their strengths. Only then can he create a winning strategy. ITAM works the same way—without a complete view of all systems, you cannot build a secure IT environment that functions as a well-organized team.

🌐 Whether the environment is on-premises or in the cloud makes little difference; the challenge is the same.
You must know what you have before you can assess whether it is secure or not.

⚠️ At minimum, every device with an IP address must be accounted for.
But the real goal must be to cover all assets—including OT equipment and sensors that may not have their own IP address yet still impact operations and security. Without this broader view, the inventory remains incomplete and the risk picture distorted.

🔑 Frameworks agree:

• Norway’s NSM grunnprinsipper call for complete and updated asset overviews.

• ISO 27001 requires organizations to identify, classify, and manage assets throughout their lifecycle.

• The CIS framework starts with Inventory and Control of Enterprise Assets as Control 01—the very first step toward building a secure baseline.

🚢 Maritime regulations agree too:

• IMO 2021 requires cyber risk management to be integrated into the ship’s Safety Management System (SMS). A key part of this is maintaining an up-to-date inventory of all systems and assets as the basis for risk assessment.

• IACS UR E26 (mandatory for newbuilds contracted from July 2024) demands a complete inventory of hardware and software, along with network diagrams and lifecycle documentation, to ensure cyber resilience of ships.

✅ The message is clear: without ITAM, cyber security is reactive and based on assumptions. With ITAM, zero trust becomes possible, measurable, and sustainable.

PANOS 12.1 ORION installation on PA-440 and Panorama

PANOS 12.1 ORION installation on PA-440 and Panorama

Bad start on the Panorama for me:
Failed to create required free space. Free space: 2778 MB, Required space: 3717 MB


Found a guide for cloning Panorama disk to a new and larger disk. Only used 15 minutes to clone and remove the old disk.
https://docs.paloaltonetworks.com/panorama/10-2/panorama-admin/set-up-panorama/set-up-the-panorama-virtual-appliance/increase-the-system-disk-on-the-panorama-virtual-appliance/increase-the-system-disk-for-panorama-on-an-esxi-server#id27229f7c-6701-4fef-9ad7-cb630ea5cbcb

 

Guide worked perfect and I booted up Panorama with free space available.




PA-440:

Reboot take about 15 minutes.
....and some more waiting time before login is up and running.

Welcome to PAN-OS 12.1!

With this release, Palo Alto Networks extends and improves your security posture with our innovative approach. PAN-OS 12.1 provides passwordless authentication capabilities, additional quantum protections, expanded Device-ID capabilities, decryption enhancements, and more. Highlights include:

Passwordless Authentication for Kerberos Protected Applications—Enables your Palo Alto Networks firewall to act as a Kerberos Constrained Delegation (KCD) agent. This feature allows seamless access to enterprise applications using Kerberos authentication, eliminating the need for users to repeatedly enter credentials. Enhances security by reducing password-related vulnerabilities and improves productivity by streamlining access to multiple Kerberos-protected applications.

Quantum Key Distribution (QKD)—Provides protection for VPN key exchanges by using the ETSI GS QKD 014 standard, QKD, to provide a set of standardized API calls that enable a PAN-OS firewall to communicate with and request symmetric encryption keys from a QKD Device. The PAN-OS firewall acts as the secure application entity (SAE) device and makes API calls to the QKD device, called the key management entity (KME). Depending on the QKD vendor’s implementation, you can use TLSv1.3 to secure the key generation process.

Advanced Device-ID—Enables more granular and precise device-based policy recommendations by enhancing the existing Device-ID functionality. Advanced Device-ID enables the creation of least-privilege access policies by creating device object groupings based on device attributes. With Advanced Device-ID, you can now create more complex Device-ID objects by matching grouping criteria using multiple asset categories and attributes (10x more than before) such as asset type, device profiles, operating systems, site, location, subnet, risk, internet access, and user tag to match assets and enforce security policies based on changing security posture.

Post-Quantum Cryptography (PQC) SSL Support for PAN-OS Management—Supports PQC in TLSv1.3 for administrative access to firewalls and Panorama and facilitates a smooth adoption of PQCs as a proactive defense against PQC threats. This feature prioritizes maximum interoperability and adaptability to future PQC updates. You can also generate self-signed certificates with the NIST-approved digital signatures, ML-DSA and SLH-DSA (based on SPHINCS+), for experimental use as the industry works toward a standard approach for PKI certificates.

Post-Quantum Cryptography (PQC) Cipher Support for TLSv1.3 Inline Decryption—Enables PQC cipher support in TLSv1.3 for SSL Forward Proxy and SSL Inbound Inspection, as well as the decryption mirror and Network Packet Broker features. You can now use PQC preferred ciphers in the decryption profile either for client session, server session, or both. This flexibility allows for post-quantum migration as either the client or server side could be first to adopt PQCs and this feature supports cipher translations across the client and server sessions of the decryption proxy. You can also elect to negotiate Standard (ML-KEM) and/or Experimental (BIKE, Frodo, HQC) ciphers to support NIST and EU requirements allowing for Crypto Agility of ciphers as required.

Decryption Simplification—New options have been added to decryption functionality to simplify certificate verification and log analysis. For example:

Use the new Bypass Server Certificate Verification option in decryption profiles to disable the verification of server certificates, so that the firewall can decrypt outbound SSL traffic from an internal client to the web. This ensures the availability of websites and applications without compromising deep packet inspection for threats during SSL Forward Proxy sessions when servers present incomplete or invalid SSL certificates.

More easily analyze log entries and troubleshoot decryption issues using the new columns provided. For example, Decryption Status lists the reason a session was or was not decrypted, whether by failure or design. In addition, new and existing columns that concern one side of a decrypted session are labeled with client or server if conditions apply to only one or the other.

Zero Touch Provisioning (ZTP) for Cellular—Enables automated deployment and configuration of NGFW in remote locations with limited connectivity or lacking traditional wired connections using cellular interfaces. With the expanded support for cellular connections, ZTP now supports multiple connectivity scenarios, including cellular-only, ethernet-only, or both to provide the flexibility to adapt to various network environments. The feature is designed to work with current and future 5G-enabled platforms, ensuring long-term value and adaptability as your network evolves.

For descriptions of the new features, associated software and content releases, changes in default behavior, and other release information, refer to the PAN-OS 12.1 Release Notes.

HA/failover with one NGFW in PANOS 12.1.2 and one NGFW in 11.1.10-h1 worked in my test.

I really like the new report, telling me what I need to fix, and how!

Certificates seems to have an update, great news, maybe SSL decrypt works better now.

New AI Security profile, this can be fun.

 

Was hoping for more SD-WAN updated, didn't find anything so far.

CVE-2024-3400 - IP list

I recommend blocking incoming traffic from this EDL IP list to all your public IPs, not just to your GlobalProtect portal.

My EDL IP update:
https://edl.nyggen.com/EDL-Bad-IP-CVE-2024-3400.txt

IP list from https://unit42.paloaltonetworks.com/cve-2024-3400/
110.47.250[.]103

126.227.76[.]24

38.207.148[.]123

147.45.70[.]100

199.119.206[.]28

38.181.70[.]3

149.28.194[.]95

78.141.232[.]174

38.180.128[.]159

64.176.226[.]203

38.180.106[.]167

173.255.223[.]159

38.60.218[.]153

185.108.105[.]110

146.70.192[.]174

149.88.27[.]212

154.223.16[.]34

38.180.41[.]251 

203.160.86[.]91

45.121.51[.]2

IP list from my finding at 20.04.24 at 19.30 CEST

185[.]174[.]137[.]26

34[.]78[.]95[.]130

88[.]119[.]169[.]230

34[.]22[.]176[.]97

188[.]166[.]87[.]88

159[.]65[.]33[.]252

207[.]246[.]68[.]214

151[.]236[.]29[.]58

94[.]156[.]65[.]141

104[.]248[.]129[.]202

138[.]68[.]44[.]59

158[.]247[.]247[.]86

104[.]248[.]29[.]170

185[.]104[.]194[.]47

193[.]32[.]126[.]136

45[.]89[.]55[.]162

139[.]59[.]241[.]148

146[.]70[.]105[.]138

68[.]183[.]230[.]252

128[.]199[.]166[.]165

143[.]198[.]59[.]79

IP list from my finding at 20.04.24 at 20.30 CEST

189[.]206[.]227[.]226

5[.]42[.]92[.]152

168[.]100[.]8[.]13

165[.]227[.]44[.]48

189[.]206[.]227[.]150

18[.]143[.]129[.]154

170[.]64[.]230[.]1

37[.]19[.]218[.]176

1[.]53[.]51[.]174

23[.]227[.]194[.]230

198[.]13[.]35[.]229

202[.]44[.]54[.]13

103[.]113[.]8[.]101

192[.]46[.]208[.]206

34[.]118[.]89[.]45

34[.]77[.]8[.]21

34[.]118[.]19[.]13

104[.]28[.]215[.]70

178[.]128[.]212[.]140

139[.]180[.]210[.]69

207[.]180[.]246[.]67

94[.]156[.]68[.]4

38[.]60[.]212[.]206

101[.]99[.]91[.]107

154[.]88[.]26[.]223

111[.]185[.]242[.]156

144[.]91[.]66[.]213

172[.]232[.]148[.]32

154[.]90[.]49[.]108

103[.]15[.]29[.]171

202[.]182[.]105[.]189

45[.]76[.]163[.]154

78[.]141[.]241[.]7

42[.]114[.]205[.]128

104[.]46[.]193[.]46

106[.]104[.]162[.]35

146[.]70[.]116[.]201

193[.]56[.]113[.]69

45[.]32[.]156[.]173

167[.]99[.]96[.]133

140[.]120[.]136[.]11

23[.]158[.]104[.]193

193[.]56[.]113[.]9

206[.]166[.]251[.]43

185[.]246[.]189[.]97

104[.]168[.]145[.]244

123[.]192[.]168[.]60

58[.]69[.]38[.]83

85[.]66[.]8[.]187

45[.]11[.]59[.]136

23[.]94[.]158[.]73

58[.]69[.]38[.]126

203[.]160[.]72[.]245

154[.]16[.]192[.]50

165[.]22[.]111[.]168

185[.]239[.]69[.]159

140[.]82[.]63[.]209

42[.]119[.]60[.]242

146[.]70[.]143[.]142

193[.]43[.]104[.]199

5[.]182[.]211[.]148

107[.]155[.]55[.]118

8[.]208[.]45[.]145

8[.]208[.]112[.]87

45[.]61[.]150[.]2

66[.]42[.]55[.]167

115[.]78[.]224[.]54

Rethinking digital security beyond just Telegram

Telegram har lenge vært i søkelyset for sikkerhetsbekymringer, noe som har ledet mange bedrifter til å blokkere appen. Men dette langvarige fokuset mangler en viktigere innsikt: Vi må være bevisste på sikkerheten til alle digitale verktøy vi bruker, ikke bare Telegram.

Mange apper, som Facebook, Instagram, TikTok, og Snapchat, samler inn store mengder brukerdata. Dette inkluderer ikke bare grunnleggende personlige detaljer som navn og e-postadresse, men også lokasjonsdata, søkehistorikk, kjøpshistorikk, kontaktlister, SMS-innhold, samt detaljer om hvem du kommuniserer med og hvordan du interagerer med innhold på nettet. Denne omfattende datainnsamlingen kan ikke bare avsløre dine personlige preferanser og vaner, men også potensielt sensitive informasjoner som kan utnyttes for målrettet reklame, sosial manipulasjon, eller mer alvorlige former for cyberkriminalitet.

For de som arbeider med sensitiv informasjon innen helsevesenet, juridiske tjenester, journalistikk, IT-sikkerhet, finansanalyse, og HR, er risikoen spesielt høy. En utilsiktet lekkasje av informasjon i disse yrkene kan føre til identitetstyveri, økonomisk tap, eller skade på personers liv og karrierer.

For å beskytte sensitiv informasjon effektivt, bør de i sensitive roller begrense bruken av potensielt risikofylte apper til et minimum, og kun bruke apper som er godkjent av IT-avdelingen. Dette, kombinert med regelmessig opplæring i digital bevissthet og oppdatering av sikkerhetspraksiser, vil styrke forsvar mot digitale trusler.

Security in layers

Sikkerhet legges i lag!

Å stole utelukkende på et antivirusprogram er ikke (og har aldri vært) tilstrekkelig.

For å effektivt beskytte våre digitale eiendeler, må vi utnytte et bredt spekter av sikkerhetstiltak. Ved å integrere brannmurer, kryptering, nettverkssegmentering, endepunktbeskyttelse, Group Policy Objects, e-postfiltrering, adferdsanalyse, tilgangskontroll, og dekryptering for inspeksjon av trafikk, kan vi bygge en mer omfattende forsvarslinje. 

I tillegg er sikkerhetsbevissthetstrening for ansatte avgjørende for å styrke det menneskelige leddet i sikkerhetskjeden. 

Disse lagene av sikkerhetstiltak arbeider sammen for å forme en robust sikkerhetsarkitektur som er i stand til å stå imot og tilpasse seg det stadig skiftende landskapet av cybersikkerhetstrusler.

Det er viktig å merke seg at dette er eksempler på sikkerhetstiltak; ulike organisasjoner kan ha tilgang til forskjellige "lag" av sikkerhet basert på deres spesifikke behov og ressurser, eller de kan implementere andre sikkerhetsstrategier som også er effektive. Tilpassing og fleksibilitet i sikkerhetsstrategien er nøkkel til å møte din organisasjons unike utfordringer.

Nothing is free (part 2)

 

Jeg har skrevet om at "ingenting er gratis" før,

her på https://www.mrlogg.no/2022/12/nothing-is-free.html

Grunnen til at jeg tar det opp igjen er at dette er viktig, har du f.eks. Virustotal.com åpen og en ansatt laster opp et viktig dokument for virus sjekk der så ligger dokumentet tilgjengelig for alle som vil laste det ned.

En noe uoffisielt test viser at en fil som ble lastet opp på virustotal ble lastet ned igjen fra forskjellige verdensdeler hele 9 ganger på de første 3 timene filen lå tilgjengelig.

Hva om en ansatt laster opp dokumenter som inneholder sensitiv informasjon om en av dine kunder?
Eller informasjon om et nytt produkt din bedrift jobber med? 

Risikoen for at denne informasjonen kommer på avveie er høy. 

Det er derfor essensielt å forstå at selv om tjenester som Virustotal tilbyr en verdifull ressurs for å sjekke filer for skadelig programvare,
må man være ekstremt forsiktig med hvilke dokumenter man velger å laste opp.

For bedrifter er det viktig å implementere strenge retningslinjer for bruk av slike tjenester og 

ansatte bør opplæres i sikkerhetsrisikoer knyttet til deling av filer og informasjon på Internett.

Palo Alto Networks sin brannmur kan også hjelpe deg litt på vei men å ha et Block eller Continue varsel på slike sider. 

PaloAltoNetworks - IoT

Gjør nettverket ditt sikrere med mikro-segmentering.

Mange virksomheter undervurderer mangfoldet av enheter som kjører på deres nettverk, ofte plassert innenfor samme VLAN, noe som kan føre til unødvendige sikkerhetsrisikoer og nettverks-belastning. Mikro-segmentering, prosessen med å dele opp nettverket i mindre, sikrere VLAN er basert på utstyrets funksjon, er nøkkelen til å forbedre både sikkerheten og ytelsen.

For de som ønsker å få en rask oversikt over nettverkets sammensetning og identifisere potensielle forbedringsområder, anbefales en IoT-lisens fra Palo Alto Networks. Denne lisensen kan aktiveres som en prøveperiode på brannmurene deres, og tilbyr en fantastisk kartlegging av tilkoblede enheter i løpet av få dager. Ved å utnytte denne innsikten kan virksomheter ta informerte steg mot en mer segmentert og sikker nettverkstruktur.

Her er et eksempel på hvordan du kan dele opp nettverket ditt for optimal sikkerhet og effektivitet, inspirert av faktiske behov og beste praksiser.

1. Alarmsystemer VLAN: Normalt har tilgang til overvåkningssentraler og sikkerhetsadministrasjonssystemer for å sende alarmer og statusoppdateringer.

2. Applikasjonsserver VLAN (per unik enhetstype): Gir tilgang til databaser og andre back-end systemer nødvendige for applikasjonens funksjonalitet, samt utviklings- og testmiljøer for oppdateringer.

3. Backup VLAN: Har tilgang til lagringsnettverk og administrasjonssystemer for sikkerhetskopiering og gjenoppretting av data.

4. Betalingsenheter VLAN: Kobles til transaksjonsbehandlere og banknettverk, med streng tilgangskontroll for å oppfylle betalingsindustriens sikkerhetsstandarder.

5. Brukerdatamaskin VLAN: Har tilgang til internett, interne applikasjoner, e-posttjenester, og delte ressurser som filservere og skrivere.

6. Domene Kontroller VLAN: Interagerer med servere og endepunkter innen organisasjonen for autentisering, autorisering og policyhåndheving.

7. E-postserver VLAN: Kobles til internett for inn- og utgående e-post, samt interne brukere for e-posttilgang.

8. Gjestenettverk VLAN: Begrenset tilgang til internett og eventuelt noen offentlige tjenester tilbudt av organisasjonen, uten tilgang til interne systemer.

9. HVAC VLAN: Har tilgang til bygningsadministrasjonssystemer og eventuelt eksterne vedlikeholdstjenester for overvåking og styring.

10. Microsoft SQL Server VLAN: Gir tilgang til applikasjonsservere som krever databasetjenester, samt  administrasjonssystemer.

11. Møteromsteknologi VLAN: Kobles til presentasjonsutstyr, konferansesystemer, og utvalgte eksterne videokonferansetjenester.

12. MySQL Server VLAN: Tilbyr databasetjenester til web- og applikasjonsservere, samt tilgang til utviklingsverktøy.

13. NAS/SAN VLAN: Tilgjengelig for servere som krever lagringstjenester, backup-systemer, og administrasjonsverktøy.

14. Oracle Server VLAN: Gir databasetjenester til applikasjonsservere som trenger høy ytelse og pålitelig datalagring, med tilgang til databaseadministrasjonsverktøy.

15. Partner VLAN: Tilgang begrenset til spesifikke tjenester og systemer som kreves for samarbeid eller integrasjon med partnerorganisasjoner.

16. PostgreSQL Server VLAN: Serverer databasetjenester til applikasjoner, med tilgang til utviklings- og test-verktøy.

17. Printer VLAN: Gir utskriftstjenester til brukerdatamaskiner og møterom, med administrativ tilgang for vedlikehold og overvåking.

18. Sikkerhetskamera VLAN: Har tilgang til videoovervåkingsstasjoner og sikkerhetsadministrasjonssystemer for opptak og overvåking.

19. Smart Lighting Systems VLAN: Kobles til bygningsadministrasjonssystemer for styring og overvåking av belysning, med potensiell ekstern tilgang for vedlikehold.

20. Smartbygg/IoT-enhet VLAN (per unik enhetstype): Isolert tilgang til spesifikke styringssystemer og vedlikeholdstjenester dedikert for hver enhetstype.

21. Testmiljø VLAN: Gir tilgang til utviklings- og applikasjonsservere for testing av nye applikasjoner og oppdateringer under kontrollerte forhold.

22. Trådløse Tilgangspunkt (AP) VLAN: Serverer trådløs tilkobling for enheter, med tilgang til internett og interne nettverksressurser basert på brukerrettigheter.

23. Utviklingsmiljø VLAN: Tilgang til utviklingsverktøy, kodearkiver, og interne testservere for applikasjonsutvikling og -testing.

24. VoIP VLAN: Kobles til VoIP-servere og telefonsystemer for intern og ekstern talekommunikasjon, med kvalitetssikring for taletrafikk.

25. Webserver VLAN (per unik enhetstype): Gir webtjenester til interne og eksterne brukere, med tilgang til relevante backend-systemer og internett for utvalgte nettsteder.

Trust Through Verification

Fra Zero Trust til Trust Through Verification:

"Zero Trust" er et begrep som ofte misforstås som en sikkerhetsstrategi som indikerer en grunnleggende mistillit til alle. I virkeligheten fokuserer det på kontinuerlig verifisering for å sikre nettverk, enheter, og tilgang til skytjenester. For å fremme en bedre forståelse, kan det være nyttig å vurdere en endring til begrepet "Trust Through Verification". 

Vanlige mistolkning av Zero Trust:

Feiltolkningen her er at Zero Trust-prinsippet innebærer en grunnleggende mistillit til ansatte eller medlemmer av en organisasjon. I virkeligheten fokuserer Zero Trust på nødvendigheten av å verifisere tilgang til systemer og data for å beskytte mot sikkerhetstrusler. Det handler ikke om personlig mistillit, men om å anerkjenne at trusler kan komme fra hvor som helst.

Kritikere mener at Zero Trust-strategier er uforenlige med en kultur av gjensidig tillit, og at det skaper en 'militærstruktur' hvor hierarki dominerer over gjensidighet. Dette perspektivet overser at Zero Trust primært er et teknisk sikkerhetskonsept som sikter mot å minimere risiko for datalekkasjer og angrep. Det er designet for å styrke, ikke svekke, den organisatoriske tilliten ved å etablere klare og rettferdige sikkerhetsprotokoller som beskytter alle i organisasjonen.

En annen vanlig misforståelse er at implementering av Zero Trust automatisk fører til en overvåkingsintensiv tilnærming som kompromitterer personvernet. Selv om Zero Trust krever detaljert logging og overvåking av nettverksaktivitet, er målet å sikre datatilgang basert på nødvendighet og minste privilegiums prinsipp, ikke å overvåke ansatte unødvendig.

PaloAltoNetworks - GlobalProtect

 

Det kan være utfordrende å sette opp GlobalProtect og det kan gjøre på forskjellige måter så her viser jeg litt hvordan det er satt opp hos meg.

Her er noen av feilmeldingene jeg har hatt og som er løst med mitt nåværende oppsett:
PanHttpsClient: 1738, found exception
The network connection is unreachable
Gateway does not exist

Har også hatt noen tilfeller at noen Android enheter får koblet opp på GlobalProtect, andre ikke.

Sertifikater laget på brannmuren har noen ganger gitt meg problemer så jeg laget et gratis (90dagers) via https://app.zerossl.com/certificate/new 

Jeg har importert 350 sertifikater fra før så om du mangler de 3 andre så legg inn dem også.

Så må en ha en SSL / TLS Service Profil. Hos meg ser den slik ut:

Jeg har laget meg en Auth Sequence slik at om jeg logger på med noen utvalgte brukere så får jeg MFA via Jumpcloud, men på andre bruker (mobil til ungene) så er det ikke MFA krav. 

GlobalProtect Gateway

GlobalProtect Portal

I tillegg har jeg selvfølgelig en sikkerhets regel som sier at bare noen utvalgte land/Regions kan koble opp mot min GlobalProtect.

PaloAltoNetworks - GlobalProtect Clientless VPN

 

GlobalProtect Clientless VPN er en ganske enkel og kul funksjon som finnes på en PaloAltoNetworks brannmur.
Om du alt har satt opp GlobalProtect så tar det bare noen minutter å legge til Clientless delen.
Guide finner du her:

https://docs.paloaltonetworks.com/globalprotect/10-1/globalprotect-admin/globalprotect-clientless-vpn/configure-clientless-vpn#idb1376316-e123-441e-a5cb-3dcc559cd2ea

En kan sette opp forskjellige applikasjoner for forskjellige brukere,
så på min bruker får jeg pr nå opp disse, men alle andre bruker får kun opp "download client" siden som er den vanligste å ha på GlobalProtect.

Trafikken vil da gå internt til interne sider, men en kan også legge på f.eks. google slik at en kan surfe via filteret en har på den aktuelle PA brannmuren.

De linkene/appene som vil se ca slik ut: https://vpn.company.no/https-443/10.0.20.3/#/login

En må selvfølgelig lage sikkerhetsregler som slipper gjennom trafikken, de reglene skal da ha med brukernavn slik at den kun treffer den personene som skal ha tilgangen.

Med denne Clientless så slipper en altså å installere GlobalProtect klienten på PC`en, noe som gir brukere mulighet å utføre utvalgte arbeidsoppgaver selv om de ikke er tilkoblet VPN og/eller har jobb-PC`en tilgjengelig. 

Husk MFA på alle kontoer som logger på GlobalProtect Clientless!

Dealing with a compromised Microsoft Office account

Har din Microsoft Office-konto blitt hacket?

Disse stegene kan hjelpe deg å sikre kontoen igjen.

1. Endre passord
Umiddelbart endre passordet til kontoen. Velg et sterkt, unikt passord som ikke er brukt på andre kontoer for å forhindre gjentatt uautorisert tilgang.

2. Tilbakestill MFA (Multi-Faktor Autentisering)
Etter å ha endret passordet, tilbakestill MFA-innstillingene for å fjerne eventuelle koblinger hackere kan ha opprettet. Verifiser at MFA er aktivert på alle relevante kontoer for et ekstra lag med sikkerhet.

3. Gjennomgå kontoaktivitet
Fra brukers konto:
Sjekk kontoaktiviteten for uautorisert tilgang ved å besøke https://mysignins.microsoft.com/ og https://myaccount.microsoft.com/device-list for å se om det er noen ukjente enheter i bruk.

Fra administrator konto:
Bruk https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/SignIns for å gjennomgå innloggingsforsøk og aktiviteter for bruker (eller alle brukere)

4. Skanne etter malware
Kjør en fullstendig malware-skan på brukerens enheter for å identifisere og fjerne eventuell skadelig programvare som kan kompromittere sikkerheten.

5. Fjerne mailkontoen fra eventuelle Blacklist`er
Hvis kontoen er blitt svartelistet, start prosessen for fjerning ved å bruke verktøy som https://multirbl.valli.org/email-test/  for å identifisere og ta tak i problemet.

6. Informere relevante parter
Varsle relevante parter om sikkerhetsbruddet, spesielt hvis sensitiv informasjon har blitt kompromittert. Dette kan inkludere kunder og interne eller eksterne parter.

7. Revisjon av e-postregler
Se etter uautoriserte e-postregler og automatiske videresendinger.
Kontroller endringer i filtrering og søppelpostinnstillinger.

8. Oppdater software
Sørg for at all software på alle enheter til bruker er oppdatert.

9. Videre opplæring og bevisstgjøring
Bruk denne erfaringen som en læremulighet for å forbedre digitale sikkerhetsrutiner.
Vurder å gjennomføre ytterligere opplæring i sikkerhetsbevissthet for alle ansatte.

Årsaken til at kontoen ble hacket kan være mange, men det skader ikke med å gi bruker(ne) litt MFA opplæring, som du finner her

Skjermbilde multirbl.valli.org

PaloAltoNetworks firewall - Device certificate not found

Noen ganger kan det være problemer med å få ny PA til å hente sertifikat fra license.api.paloaltonetworks.com

En kan da få feilmeldinger som:
Failed to Fetch the Device Certificate eller Device certificate not found

Om en sjekker Monitor --> Traffic så ser en ofte at applikasjon er incomplete.

Det er flere ting som kan være årsaken.

DNS konfigurasjon er feil, eller trafikk er blokkert

NTP konfigurasjon er feil, eller trafikk er blokkert

I noen få tilfeller er DNS og NTP riktig men en får likevel feilmelding,
da kan en forsøke å endre MTU fra 1500 som er default på PA MGMT interface til f.eks. 1374.

Ta en Commit og forsøk å hente sertifikatet på ny.

Som du sikkert vet så trenger du OTP, som du får slik:

Log på Customer Support Portal med en konto som er Superuser.

Velg Products --> Device Certificates og Generate OTP.

Legg inn riktig serienummer og velg Generate OTP.

Velg Copy to Clipboard.

Trafikk loggen bør nå vise paloalto-shared-services

En bør også kunne se Successfully fetched Device Certificate

Cybersecurity awareness training

 Legger ut en liten phishing test her:

https://phishingquiz.withgoogle.com/

Denne er gratis, det er ingen registrering, den spør etter din email for at angrepet skal se reelt ut, men du kan legge inn hvilken som helst mailadresse!

..og noen gode lære videoer her:

Har du god kontroll på dine passord?
Klikker du på linker og vedlegg uten å tenke?

Skal du ut på tur?

Har du også dette passordet?

Ikke din USB disk.

Like litt å få tilgang til din jobb konto?

En telefonsamtale er alt som skal til for å få tilgang til din bedrift.

Jobb pc er jobb pc, ikke gi familie/venner tilgang til den!

Stjålet PC, mobil eller mistet tilgang til en av dine kontoer? Husk å meldt i fra til IT.

MFA awareness

Sosial manipulasjon og MFA-koder:
Vær forsiktig hvis noen ringer eller sender deg melding og ber om MFA-koden din. Selv om de påstår å være fra IT-avdelingen, bør du aldri dele MFA-koden din. Hackere kan late som de er pålitelige personer for å skaffe seg kodene dine.

MFA-tretthets angrep:
I disse angrepene vil du motta gjentatte MFA-forespørsler på enheten din. Målet er å irritere eller overvelde deg slik at du godkjenner forespørselen bare for å stoppe varslingene, noe som deretter gir hackeren tilgang.

Uventede MFA-forespørsler:
Vær alltid mistenksom overfor uventede MFA-forespørsler. Hvis du ikke har startet en påloggings prosess, bør du ikke godkjenne MFA-forespørselen.

Bekreft forespørselens ekthet:
Hvis du får en MFA-forespørsel som virker malplassert, bør du kontakte IT-avdelingen din gjennom kjente, offisielle kanaler for å bekrefte om den er legitim.

Økt kapring etter MFA:
Etter at du har autentisert deg vellykket med MFA, kan hackere forsøke å stjele økten din for å få tilgang til kontoen din. Selv om du har blitt autentisert med MFA, eksisterer denne risikoen. Dette skjer vanligvis gjennom falske nettsteder, som for eksempel "offffice.com," der hackere lurer brukere til å gi fra seg øktinformasjonen sin.