Nyt om cybertrusler – Cyberhygiejne og de glemte dyder

Eksempler på bedste praksis hentes normalt ved at støtte sig til et eller flere rammeværker

som fx ISO27001 og NIST CSF m.fl. Et af de pragmatiske rammeværker (som bygger på konsensus og ikke parathed), som bedst definerer kontroller, bedste praksis og prioritering af it-sikkerhed (Cybersikkerhed), er udarbejdet af Center for Internet Security (CIS) med baggrund i deres 20 kritiske kontroller. Da kontrollerne kom frem i 2008, blev de testet af det australske forsvars efterretningstjeneste (Australian Signals Directorate), hvor det viste sig, at hvis man implementerer blot de første fire kontroller fuldt ud, kan man nedsætte risikoen for de fleste typer cyberangreb. CIS-kontrollerne opdateres løbende for at passe til det aktuelle trusselsbillede, og den sidste nye version er 7.1 fra marts 2018. Så selv om disse undersøgelser er fra 2008 med et andet trusselsbillede, har kontrollernes værdi og rækkefølge ændret sig minimalt*.

Der er således tale om en række tiltag, der tilsammen udgør noget af det mest fundamentale og væsentlige, du kan gøre for at mitigere cyberrisikoen i din virksomhed. Nogle af kontrollerne har byttet rækkefølge i version 7 af CIS 20, men er grundlæggende de samme.

Seks fundamentale byggesten til god cyberhygiejne

1. Inventarstyring og kontrol med hardware-aktiver
Angribere, der kan være placeret overalt i verden, scanner kontinuerligt internet-vendte adresser og venter på, at ubeskyttede systemer skal forbinde til internettet. De er især interesseret i enheder, der kommer af og på virksomhedens netværk såsom laptops eller Bring-Your-Own-Device (BYOD), der muligvis ikke er fuldt sikkerhedsopdateret eller muligvis allerede er kompromitteret. Angreb kan drage fordel af ny hardware, der er installeret på netværket, men ikke efterfølgende er konfigureret og beskyttet med passende sikkerhedsopdateringer.

Selv enheder, der er ikke synlige fra internettet, kan bruges af angribere, der allerede har fået intern adgang og er på jagt efter interne omdrejningspunkter. Yderligere systemer, der opretter forbindelse til virksomhedens netværk (fx demonstrationssystemer, midlertidige testsystemer, gæstenetværk), bør også styres omhyggeligt og / eller isoleres for at forhindre angriberes adgang fra at påvirke sikkerheden ved almindelig drift af netværket.

2. Inventarstyring og kontrol med software-aktiver
Angribere scanner løbende organisationer på udkig efter sårbare versioner af software, der kan udnyttes uden at være på netværket. Nogle angribere distribuerer også fjendtlige websider, dokumentfiler, mediefiler og andet indhold via deres egne websider eller på anden måde via pålidelige tredjepart-hjemmesider. Når ofre får adgang til dette indhold, med fx en sårbar browser, kan angriberne kompromittere maskiner, ved fx at installere bagdørsprogrammer og ”bots”, der giver angriberen langvarig kontrol over systemet. Nogle sofistikerede angribere kan bruge endnu ukendte sårbarheder (”Zero day”), som softwareleverandøren endnu ikke har frigivet en programrettelse til.

Uden struktureret viden eller kontrol med den software, der er installeret i en organisation, kan virksomheden ikke sikre sine aktiver ordentligt. Utilstrækkeligt kontrollerede maskiner er sårbare ved sandsynligvis enten at køre unødvendigt sårbar software eller ved at afvikle malware, som er introduceret af en angriber, efter systemet er kompromitteret. Når en enkelt maskine er blevet udnyttet, kan angriberne organisere indsamling af følsom information fra det kompromitterede system og fra andre forbundne systemer. Derudover bruges kompromitterede maskiner som et lanceringssted for bevægelse gennem netværket og samarbejdsnetværk. På denne måde kan angribere hurtigt omdanne en kompromitteret maskine til mange. Administreret kontrol af al software spiller også en kritisk rolle i at undgå spredning af malware og håndtering af følgende hændelser.

3. Kontinuerlig sårbarhedshåndtering
Virksomhedens it-sikkerhedsmedarbejdere skal operere i en konstant strøm af ny information: softwareopdateringer, programrettelser, sikkerhedsvejledninger, trusselbulletiner osv. Forståelse og håndtering af sårbarheder kan blive en kontinuerlig aktivitet, der kræver betydelig tid, opmærksomhed og ressourcer. Angribere har adgang til de samme oplysninger og kan drage fordel af tiden mellem ny viden om trusler og afhjælpning af disse. 

For eksempel når forskere rapporterer nye sårbarheder, starter et kapløb mellem alle parter: angribere (for at angribe og udnytte sårbarheden), leverandører (til at udvikle og implementere programrettelser / opdateringer) og virksomheden (til at vurdere risiko, teste og installere programrettelser). Organisationer, der ikke scanner efter sårbarheder og proaktivt adresserer opdagede fejl, står overfor en betydelig sandsynlighed for, at deres computersystemer kompromitteres. Organisationer står specielt overfor udfordringer med at skalere programrettelser på tværs af en hel virksomhed og prioritere handlinger med modstridende prioriteter og undertiden usikre bivirkninger.

4. Kontrolleret brug af administrative rettigheder
Misbrug af administrative privilegier er en primær metode for angribere til at sprede sig inde i et mål. To meget almindelige angrebsteknikker drager fordel af ukontrollerede, administrative privilegier. I den første narres en bruger, der er logget på sin maskine med administrative privileger, til at åbne en skadelig e-mail-vedhæftning, downloade og åbne en fil fra et ondsindet websted eller simpelthen surfe til et websted, der er kompromitteret til automatisk at kunne udnytte browsere. Malwaren kører automatisk på offerets maskine, eller brugeren narres til intetanende at afvikle malwaren. Da brugerens konto har administrative privilegier, kan angriberen overtage ofrets maskine fuldstændigt og installere key-loggere, trafiksniffere og fjernbetjeningssoftware til at finde administrative adgangskoder og andre følsomme data. Lignende angreb opstår via phishing-e-mails. En administrator-bruger åbner utilsigtet en e-mail, der indeholder en inficeret vedhæftet fil eller et link, som bruges til at opnå et landingspunkt indenfor netværket, som bruges til at angribe andre systemer.

Et andet eksempel på en almindelig teknik, der bruges af angribere, er forhøjelse af privilegier ved at gætte et kodeord for en administrativ bruger for at få adgang til bestemte systemer. Hvis administrative privilegier er vidt udbredt eller der bruges identiske adgangskoder, har angriberen lettere ved at opnå fuld kontrol over mange systemer, fordi der er mange flere administrative konti, som kan bruges i angrebet.

5. Sikre konfigurationer for hardware og software på mobile enheder, bærbare, arbejdsstationer og servere
Som standard leveret af producenter og forhandlere er konfigurationer af operativsystemer og applikationer normalt fokuseret på brugervenlighed og ikke sikkerhed. Grundlæggende kontroller, åbne tjenester og porte, standardkonti eller adgangskoder, ældre (sårbare) protokoller og unødvendig software er ofte sårbare i deres standardkonfiguration.

Udvikling af konfigurationsindstillinger med tilstrækkelige sikkerhedsegenskaber er en kompleks opgave, hvilket kræver analyse af potentielt hundreder eller tusinder af muligheder for at træffe sikre valg. Selv hvis en stærk initial konfiguration er udviklet og installeret, skal den være konstant overvåget/undersøgt for at undgå sårbarheder, når software opdateres, nye sårbarheder rapporteres eller konfigurationer ændres for at tillade installation af ny software eller understøtte nye krav til driften. Hvis ikke der arbejdes med sikre konfigurationer kontinuerligt, kan angribere finde nye muligheder for udnytte både netværkstjenester og klientsoftware.

6. Vedligehold, overvågning og analyse af logge
Manglende eller utilstrækkelig sikkerhedslogning og analyse giver angribere mulighed for at arbejde i det skjulte, samt bruge malware og malware-aktiviteter på netværket. Selv hvis organisationen ved, at deres systemer har været kompromitteret, kan de uden tilstrækkelig logning ikke efterfølgende spore og undersøge, hvilke handlinger en hacker har påvirket netværket med. Det betyder, at der uden tilstrækkelig logning vil være en stor risiko for at et angreb går ubemærket hen, og de følgende skader kan være uoprettelige.

Undertiden er logge det eneste bevis på et vellykket angreb. Mange organisationer logger for at overholde parathed-regler, men angribere kalkulerer med, at organisationer sjældent analyserer / overvåger logge og derfor ikke opdager, at deres systemer er blevet kompromitteret. På grund af utilstrækkelige loganalyseprocesser kontrollerer angribere undertiden maskiner i måneder eller år, uden at nogen i organisationen ved det, selvom beviset for angrebet er registreret i ikke-undersøgte logge. Denne tid kaldes ”dwell time”. 

Hjælp til at implementere kontrollerne bedst muligt

Foruden at formulere ovenstående seks kontroller har CIS udviklet en tjekliste til hvordan, du bedst muligt arbejder med og implementerer kontrollerne. De seks punkter er beskrevet herunder, men du kan også læse mere i e-bogen ”Back to Basics: Focus on the First Six CIS Critical Security Controls”.

1. Start med at læse og forstå kontrollerne.

2. Forstå hvilke kontroller, der er relevante for din organisation afhængigt af organisationen og risikolandskabet. Se mere om implementeringsgrupper.

3. Sæt dig ind i, hvordan du kan måle kontrollerne med metrics og CIS CSAT.

4. Få hjælp til implementering ved at bruge Companion-guides og specielt implementerings-guiden.

5. Forstå, hvordan CIS-kontrollerne mapper til andre rammeværker.

6. Lær at bruge CIS-risikoanalyse.
 

* I CIS Version 7 byttede kontrol 3 og 5 plads, så rækkefølgen nu er Inventory af hardware og software (1 og 2), sårbarhedshåndtering (3), administrative privilegier (4), indstillinger efter bedste praksis (5) og logning (6), mens det før version 7 var Inventory af hardware og software (1 og 2), indstillinger efter bedste praksis (3), sårbarhedshåndtering (4), administrative privilegier (5) og logning (6).