ANNONSEBILAG FRA DATA EQUIPMENT

Her er Data Equipment sine anbefalinger og råd for sikring av nettverk og systemer

Vi som jobber med datasikkerhet, ser at mange virksomheter ikke har gode nok systemer for å sikre sin bedrift og verdiene til selskapet. Det kan ha dramatiske konsekvenser, og vi ønsker å gjøre det vi kan for å bidra. I den forbindelse har vi satt opp våre anbefalinger og råd for å sikre nettverk og systemer. Mange av disse er «lavthengende frukter» som man relativt enkelt kan iverksette uten store investeringer.

ANNONSEBILAG FRA DATA EQUIPMENT
ANNONSEBILAG FRA DATA EQUIPMENT

Angriperne kommer seg på innsiden. Det er derfor viktig å alltid behandle innsiden som usikker med samme fokus som man gjør fra utsiden. Rådene er utarbeidet med utgangspunkt i virkeligheten, og alle tiltakene vil stoppe eller forsinke trusselaktørene. Ikke lær av av egne feil, lær av andres feil.

#1 Sikre at dere har Multi-Factor Authentication (MFA) på alle innganger og for alle. VPN. RDP. Citrix. Dette gjelder også ressurser utenom egen organisasjon. Det er ikke nok å ha MFA for alle ansatte dersom eksterne samarbeidspartnere kan logge på med kun brukernavn og passord. Vi ser at misbruk av slike kontoer har vært veien inn i nettverk.

#2 Sikre at dere har sårbarhetsscanning, eksternt og internt. Kritiske interne systemer kan også utsettes for angrep og må derfor behandles med lik kritikalitet som internettbaserte tjenester.

#3 Sikre at dere patcher ekstern og internt, med like høyt fokus relatert til kritikalitet. Vi ser gjentatte ganger at gamle, kjente og kritiske sårbarheter ikke blir patchet, og dermed kan være sentralt i et angrep.

#4 Sikre at DNS-kommunikasjon verifiseres for mistenkelige domener og Domain Generation Algoritm (DGA). Dette oppleves som en vektor angriperne bruker stadig oftere. Vi ser slik DNS-kommunikasjon i logger i suksessfulle angrep. Dette kan stoppes med riktig oppsett av sikkerhetsteknologien.

#5 Sikre at all kommunikasjon mot internett, for klienter og servere, kontrolleres med URL-filtering for deteksjon og stopping av ukjente, mistenkelige, nye, skadelige og phishing URL’er. Vi ser at URL’er i disse kategoriene er sentrale i kjente angrep. Disse kan stoppes med anbefalt oppsett av sikkerhetsteknologien.

#6 Sikre at all kommunikasjon inn og ut av datasenteret er dekryptert for best synlighet og best utnyttelse av sikkerhetsfunksjoner som IPS. Vi ser at dekryptering ofte mangler, og at sikkerhetsmekanismer da blir vingeklippet. Disse sikkerhetsmekanismene kan avverge deler av et angrep. Starter man med de enkleste og viktigste grepene, vil dette raskt gjøre en stor forskjell. Vi ser stadig flere kommuner, fylkeskommuner og private aktører som raskt aktiverer inngående SSL dekryptering mot servere. Neste steg er utgående SSL dekryptering for servere.

#7 Sikre MFA internt. Først og fremst for alle admins. Vi ser at MFA typisk mangler internt, også for administratorer. Dette er noe de kriminelle nyter godt av i de aller fleste angrep. Vi hjelper kundene våre enkelt og raskt å implementere dette, og dette er et veldig viktig sikkerhetstiltak.

#8 Sikre god segmentering. Jo høyere segmenteringsgrad, jo mer robust er man den dagen uvedkommende kommer seg inn. Vi ser at angriperne kommer inn på funksjoner som oftest ikke er målet med angrepet, men grunnet flat arkitektur er det enkelt å bevege seg til andre tjenester, som f.eks. domenekontrollere.

#9 Sikre god hvitelisting til alle tjenester, men også utgående mot internett fra alle servere. Vi ser at de kriminelle som oftest er avhengig av «callback», for å åpne en dør tilbake til seg selv. Denne utnyttes for kommandoer og overføring av data. Dette er kanskje en av de enkleste tingene man kan adressere ved å ta kontroll på hva hver enkelt server får lov til å gjøre mot internett. Start med domenekontrollere, backupservere, managementservere, mailservere og andre tjenester som har en sentral og kritisk rolle. Men start med noe. Bli kjent med metodene, og jobb videre.

#10 Sikre alarmering. Om sikkerhetsteknologi alarmerer, sikre at noe eller noen blir gjort oppmerksomme. Vi ser altfor ofte at man stoler for mye på teknologien, og ikke følger med på alarmene teknologien gir. Sikre at alarmer håndteres av mennesker og systemer. Dette kan være det som stopper en hendelse. Dette har vi sett har vært den avgjørende faktor for noen hendelser.

#11 Sikre integrasjon av alarmer med sakshåndteringssystem. Dette er viktig både for dokumentasjon, men også for oppmerksomhet. Skulle en kritisk eller viktig hendelse skje, bør dette generere en alarm i et system som får oppmerksomhet av mennesker og/eller automatiserte hendelseshåndteringssystemer (som f.eks. XSOAR).

#12 Sikre god Mitre ATT&CK-sikkerhet på alle servere. Det vil si endepunktsikkerhet som scorer bra hos Mitre ATT&CK. Vi ser suksessfulle angrep på tjenester som ikke har endepunktsikkerhet. Altfor ofte ser vi servere uten denne sikkerheten. Vi ser også hendelser på løsninger med endepunktsikkerhet som ikke har spesielt god logging.

#13 Sikre god logging, for så mange måneder dere føler er fornuftig; 3, 6, 12 måneder. Dette gjelder for brannmurer, endepunkter og servere. Skulle man oppdage noen i eget nettverk og klarer å stoppe dette før kryptering eller datalekkasje, eller skade allerede har skjedd, er det loggene som avgjør hvor lang tid det tar før man kan åpne igjen. Det er loggene man benytter for å finne ut hvordan de kom inn, hvor de beveget seg, hva de gjorde og ikke gjorde. Dette er viktig for friskmelding. Det er viktig med tanke på gjenoppretting fra backup.

#14 Verifiser VG testen. Kan dere surfe på VG fra serverne deres er utgangsdøren åpen og må lukkes. Dette er en meget enkel test som alle veldig raskt kan gjøre. Dette er steg 6: Command & Control i Lockheed Martins «The Cyber Kill Chain».

Last gjerne ned våre anbefalinger og råd.