<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=441681&amp;fmt=gif">

20 januar 2022

I lys av nylige hendelser - her er Data Equipment sine anbefalinger og råd for sikring av nettverk og systemer

5 min lesetid

20. januar 2022

Angriperne kommer seg på innsiden. Det er derfor viktig å alltid behandle innsiden som usikker med samme fokus som man gjør fra utsiden.

Rådene er utarbeidet med utgangspunkt i virkeligheten. Alle tiltakene vil stoppe eller forsinke trusselaktørene. Ikke lær av av egne feil, lær av andres feil.

  • Sikre at dere har Multi-Factor Authentication (MFA) på alle innganger, for alle. VPN. RDP. Citrix. Dette gjelder også ressurser utenom egen organisasjon. Det er ikke nok å ha MFA for alle ansatte dersom eksterne samarbeidspartnere kan logge på med kun brukernavn og passord. Vi ser at misbruk av slike kontoer har vært veien inn i nettverk.

  • Sikre at dere har sårbarhetsscanning, eksternt og internt. Kritiske interne systemer kan også utsettes for angrep og må derfor behandles med lik kritikalitet som internettbaserte tjenester.

  • Sikre at dere patcher, ekstern og internt, med like høyt fokus relatert til kritikalitet. Vi ser gjentatte ganger at gamle, kjente og kritiske sårbarheter ikke blir patchet, og dermed kan være sentralt i et angrep.

  • Sikre at DNS kommunikasjon verifiseres for mistenkelige domener og  Domain Generation Algoritm (DGA). Dette oppleves som en vektor angriperne bruker stadig oftere. Vi ser slik DNS kommunikasjon i logger i suksessfulle angrep. Dette kan stoppes med riktig oppsett av sikkerhetsteknologien. 

  • Sikre at all kommunikasjon mot internett, for klienter og servere, kontrolleres med URL filtering for deteksjon og stopping av ukjente, mistenkelige, nye, skadelige og phishing URL’er. Vi ser at URL’er i disse kategoriene er sentrale i kjente angrep. Disse kan stoppes med anbefalt oppsett av sikkerhetsteknologien.

  • Sikre at all kommunikasjon inn og ut av datasenteret er dekryptert for best synlighet og best utnyttelse av sikkerhetsfunksjoner som IPS. Vi ser at dekryptering ofte mangler, og at sikkerhetsmekanismer da blir vingeklippet. Vi ser at disse sikkerhetsmekanismene kan avverge deler av et angrep. Starter man med de enkleste og viktigste grepene, vil dette raskt gjøre en stor forskjell. Vi ser stadig flere kommuner,  fylkeskommuner  og private aktører som raskt aktiverer inngående SSL dekryptering mot servere. Neste steg er utgående SSL dekryptering for servere.

  • Sikre MFA internt. Først og fremst for alle admins. Vi ser at MFA typisk mangler internt, også for administratorer. Dette er noe de kriminelle nyter godt av i de aller fleste angrep. Vi hjelper kundene våre enkelt og raskt å implementere dette. Et veldig viktig sikkerhetstiltak.

  • Sikre god segmentering. Jo høyere segmenteringsgrad, jo mer robust er man den dagen uvedkommende kommer seg inn. Vi ser at angriperne kommer inn på funksjoner som oftest ikke er målet med angrepet, men grunnet flat arkitektur er det enkelt å bevege seg til andre tjenester, som f.eks domenekontrollere.

  • Sikre god hvitelisting til alle tjenester, men også utgående mot internett fra alle servere. Vi ser at de kriminelle som oftest er avhengig av «callback», for å åpne en dør tilbake til seg selv. Denne utnyttes for kommandoer og overføring av data. Dette er kanskje en av de enkleste tingene man kan adressere ved å ta kontroll på hva hver enkelt server får lov til å gjøre mot internett. Start med domenekontrollere, backupservere, managementservere, mailservere og andre tjenester som har en sentral og kritisk rolle. Men start med noe. Bli kjent med metodene, og jobb videre.

  • Sikre alarmering. Om sikkerhetsteknologi alarmerer, sikre at noe eller noen blir gjort oppmerksomme. Vi ser altfor ofte at man stoler for mye på teknologien, og ikke følger med på alarmene teknologien gir. Sikre at alarmer håndteres av mennesker og systemer. Dette kan være det som stopper en hendelse. Dette har vi sett at har vært den avgjørende faktor for noen.

  • Sikre integrasjon av alarmer med sakshåndteringssystem. Dette er viktig både for dokumentasjon, men også for oppmerksomhet. Skulle en kritisk eller viktig hendelse skje, burde dette generere en alarm i et system som får oppmerksomhet av mennesker og/eller automatiserte hendelseshåndteringssystemer (som f.eks XSOAR).

  • Sikre god Mitre ATT&CK-sikkerhet på alle servere. Dette vil si endepunktsikkerhet som scorer bra hos Mitre ATT&CK. Vi ser suksessfulle angrep på tjenester som ikke har endepunktsikkerhet. Altfor ofte ser vi servere uten denne sikkerheten. Vi ser også hendelser på løsninger med endepunktsikkerhet som ikke har spesielt god logging.

  • Sikre god logging, for så mange måneder dere føler er fornuftig; 3, 6, 12 måneder. Dette gjelder for brannmurer, endepunkter og servere. Skulle man oppdage noen i eget nettverk og klarer å stoppe dette før kryptering eller datalekkasje, eller skade allerede var skjedd, er det loggene som avgjør hvor lang tid det tar før man kan åpne igjen. Det er loggene man benytter for å finne ut hvordan de kom inn, hvor de beveget seg, hva de gjorde og ikke gjorde. Dette er viktig for friskmelding. Det er viktig med tanke på gjenoppretting fra backup.

  • Verifiser VG testen. Kan dere surfe på VG fra serverne deres er utgangsdøren åpen og må lukkes. Dette er en meget enkel test som alle veldig raskt kan gjøre. Dette er steg 6: Command & Control i Lockheed Martins «The Cyber Kill Chain».

New call-to-action

20 anbefalinger fra JustisCERT

“JustisCERT ønsker å varsle om at pro-russiske hackergrupper nå utfører cyberoperasjoner mot alle som ikke åpent støtter Russlands angrep på Ukraina. Digitale tjenester tilhørende norske virksomheter er nå et mål og det anbefales derfor at virksomheter iverksetter tiltak for å øke sin motstandsevne mot cyberoperasjoner. Angrepene som er observert til nå, har i stor grad som mål å ødelegge mest mulig (destruksjon/destabilisering) og det er derfor svært viktig at virksomheter har en sikkerhet som kan bidra til å beskytte tjenester/data tilstrekkelig.”

Listen fra JustisCERT består av 20 viktige anbefalinger

Informasjon fra Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet har også kommet med artikler de siste dagene som har relevans til de siste hendelser og dagens trusselbilde:

 

 

Ta gjerne kontakt med oss ved behov for bistand på disse områdene.

Gøran Tømte

Skrevet av Gøran Tømte

Gøran har bred og lang erfaring fra IT-bransjen, er CISO i Data Equipment og beskriver seg selv som en «Zero Trust soldier, working to change and enhance». Gøran har et brennende hjerte for IT-sikkerhet og mener at alt starter med mindset. Målet er et sikrere Norge.