Slik kommer du hackerne i forkjøpet

av Marius Sandbu - Skyevangelist
| minutter å lese

Har en hacker først kommet seg på innsiden, kan det ta månedsvis å avsløre det.

Angrepet mot Stortinget, Østre Toten kommune, Hydro og ikke minst oss i Sopra Steria over de siste årene er dessverre ikke unike tilfeller. Men hva kan du gjøre for å beskytte deg mot hackerangrep eller ransomware-angrep?

Det er gjerne tre klassiske grep hackere bruker for å skape problemer for din virksomhet. Her lærer du om hvilke grep det er, og ti konkrete tiltak din virksomhet kan foreta seg i kampen mot hackerne. Men først – la oss se på de største utfordringene de fleste virksomheter har:

E-post er og blir en risiko

Daglige phishing-angrep via e-post, hvor angriper utgir seg for å være en annen i håp om å lure offeret, er blitt dagligdags. Resultat av slike angrep kan eksempelvis være utlevering av sensitiv informasjon eller avsløring av brukerkonto og passord, kjøring av skadelig kode skjult som harmløst vedlegg, eller at virksomheten eksponeres mot skadelig kode ved at brukeren lures til å besøke skadelige sider på internett.

Alle disse resultatene kan gi en angriper uautorisert tilgang til virksomhetens systemer, kan benyttes til uthenting av sensitiv informasjon, eller som basis for videre inntrenging eller spredning av skadelig kode til flere ansatte eller systemer i virksomhetens it-plattform.

Ikke gjenbruk passord

Mange gjenbruker eksisterende brukernavn, epostadresse og/eller passord fra arbeidsgivers tjenester på tredjeparts nettsider eller til registrering for tjenester av privat karakter. Det hender dessverre at slike tredjeparts sider kompromitteres, og brukerinformasjon kommer på avveie. Denne informasjonen kan da utnyttes til angrep mot virksomheten.

Hackere vet at mange virksomheter er for trege med sikkerhetsoppdateringer. 2019 og 2020 har avslørt mange nye alvorlige sårbarheter i sentrale, godt utbredte tjenester fra flere kjente leverandører som F5, Citrix, Pulse, Sonicwall og Microsoft. Så langt i 2021 har vi også sett flere tilfeller med sårbarheter knyttet til ulike leverandører som blant annet Microsoft.

Leverandørene publiserer fortløpende sikkerhetsoppdateringer for å tette slike sårbarheter, men mange virksomheter venter for lenge med oppdateringen. Det kan være skjebnesvangert. Ved å utnytte sårbarheter i sentrale kommunikasjonstjenester som DNS, Exchange, RDP og SMB har uvedkommende kunne ta seg inn i utsatte virksomheters nettverk og systemer.

Ny type ransomware

Når man ser på disse angrepsvinklene, er det typisk fire ulike angrepskategorier som hackerne foretrekker:

  • Phishing via epost
  • Misbruk av sårbarheter i eksterne tjenester
  • Gjenbruk av brukerkontoer som har blitt kompromitert
  • DDoS angrep

Når uvedkommende først har fått tilgang, utnyttes denne ofte til mer målrettede angrep videre inn i virksomheten. Uthenting av sensitiv informasjon, spredning av ransomware eller annen skadevare eller angrep mot brukerkontoer med høyere tilgangsnivå for bredere tilgang i virksomheten er noen slike eksempler. Det kan ta månedsvis før virksomheten oppdager at en uautorisert tilgang har funnet sted.

Den senere tiden har vi også sett flere eksempler på smartere og mer sofistikerte angrep, der nyere varianter av ransomware utnytter seg av nyoppdagede sårbarheter for å kunne spre seg enda mer effektivt. Et eksempel på dette er ransomware-variantene NetWalker eller Sodinokibi, der angriperne benytter seg av flere fremgangsmåter som phishing, sårbarheter, svake passord knyttet til eksterne brukere og tjenester, eller sårbarheter i webapplikasjoner for å komme på innsiden.

Tiltak du må ha kontroll på

Angrep kan skje mot alle virksomheter, og sjansen øker betydelig dersom virksomhetens it-avdeling, ansatte og tjenesteleverandører ikke har tilstrekkelig oppdatert kunnskap, og er ansvaret bevisst.

Her er ti konkrete tiltak du må ha kontroll på i kampen mot hackere:

  1. God, løpende opplæring og bevisstgjøring av sluttbrukere.
  2. Sørg for å ha relevant sikkerhetskompetanse internt og still konkrete krav til dine tjenesteleverandører.
  3. Rutiner for løpende oppdatering for å rette sårbarheter i alle tjenester og plattformer.
  4. Verktøy og prosesser for logging og overvåking av all infrastruktur og tjenester (inklusive skytjenester) for å raskt kunne avdekke unormale trafikkmønstre eller hendelser.
  5. Bruk av multifaktorautentisering, fortrinnsvis programvarebasert og ikke basert på SMS.
  6. Bruk av betinget tilgangskontroll som stiller krav til hvor bruker logger på fra, hvilken enhet, om det er antivirus på enhet, er enheten oppdatert og andre lignende vurderinger som samlet avgjør om pålogging tillates.
  7. Flere kommersielle aktører selger informasjon om trusler og risiko som bør inngå i virksomhetens sikkerhetstjenester, som eksempelvis tjenesten haveibeenpwned.com som kan gi informasjon om kompromitterte kontoer tilsluttet virksomheten, eller ulike DNS-tjenester som kan gi informasjon omsider på internett med dårlig omdømme forbundet med skadevare eller phishing.
  8. Bruk av tilstrekkelig separerte tjenester for sikkerhetskopi - med adskilte roller og brukerkontoer, samt separate løsninger fra øvrig infrastruktur. Mange organisasjoner har mistet sikkerhetskopien i samme cryptolocker-angrep som produksjonssystemene på grunn av manglende segmentering og det faktum at angriperne går målrettet inn for å ødelegge sikkerhetskopier.
  9. Mange angrep utnytter svakheter og protokoller som har vært standard i årevis, spesielt verdt å nevne er tjenesten Active Directory fra Microsoft. Denne sentrale identitetstjenesten inneholder brukerkontoer og tjenester i en virksomhet, og krever tid, kompetanse og ressurser for å ivareta tilstrekkelig sikkerhet. Mange virksomheter sikrer ikke Active Directory tilstrekkelig. Tjenesten er designet og tilpasset gårsdagens bruk av IT, og fungerer mindre godt i dagens tjenesteleveranser med mobile brukere og skytjenester. Mange virksomheter bør derfor vurdere om autentisering og kontroll av enheter og tjenester kan gjøres ved hjelp av andre mekanismer enn Active Directory.
  10. Skytjenester tas ofte i bruk uten at sikkerhetsfunksjoner forstås eller tas i bruk, som multifaktorautentisering, tilstrekkelig identitetskontroll, og med manglende forståelse og revisjon av logger og overvåking. Generelt virker det som om de fleste virksomhetene har utfordringer med å holde seg oppdatert på ny funksjonalitet og sikkerhetsmekanismer i skytjenestene, som ofte resulterer i økt risiko.

Det siste er at det også er viktig å ha etablerte rutiner internt for hvem som skal gjøre hva om et eventuelt angrep skulle intreffe. Siden i en slik prosess vil det være et stort behov for å ha god informasjonsflyt både internt og eksternt underveis.

Innlegget ble publisert på Computerworld, 1. oktober 2021.

Search

Se alle blogginnleggene våre