Manglende cyberhygiejne gør mange virksomheder sårbare over for cyberangreb.

af Johannes Hatting og Mads Frandsen, Institut for Cyber Risk

Mange danske virksomheder fokuserer for meget på enkeltstående tiltag i deres IT-sikkerhedsarbejde. Det kunne f.eks. være køb af en ny next-generation firewall eller udarbejdelse af en række politikker, som herefter lægges i skuffen og aldrig kommer ud at leve i virksomheden. I stedet bør virksomheden først danne sig et overordnet billede af hele organisationen og herefter planlægge en række målrettede tiltag. Et vigtigt trin på vejen til dette overblik er at få styr på den grundlæggende cyberhygiejne og derved højne det generelle IT-sikkerhedsniveau i virksomheden. Hvis I ikke har styr på cyberhygiejnen, kan jeres virksomhed være en ren gavebod, der giver ondsindede aktører adgang til virksomhedens netværk langt lettere, end det burde være.

IT-sikkerhedsarbejdet stopper aldrig, men fokus bør flyttes fra jagten på en enkelt ”silver bullet”, der løser sikkerhedsudfordringen, da dette enkelte tiltag ikke eksisterer. I stedet bør I fokusere på det, som det industrien kalder “assume breach” og “defence in depth”. Assume breach-begrebet har i en årrække eksisteret blandt større virksomheder, især i udlandet, og det dækker over, at fokus på perimetersikkerhed ikke længere er nok. Før eller siden vil en angriber finde vej ind på netværket. At angriberen finder vej, er dog ikke ensbetydende med, at alt er tabt. Vedkommende har stadig har arbejde at udføre for at nå sit mål, hvad enten det er at skaffe sig adgang til sensitive data, spionere eller sprede ransomware. Det samlede arbejde, en angriber udfører, betegnes ofte som en angrebskæde (cyber kill chain[1]). Assume breach-tankegangen dækker også over evnen til at identificere og reagere på en IT-sikkerhedshændelse. Defence in depth dækker overordnet over det at implementere flere forskellige tiltag, som bryder angriberens interne angrebskæde og dermed besværliggør vedkommendes arbejde i en sådan en grad, at angriberen begår fejl og dermed bliver opdaget eller må opgive sit arbejde med at nå sit givne mål grundet for store omkostninger eller manglende evner.

Men hvor og hvordan skal man som virksomhed starte? Center for Internet Security (CIS) har udarbejdet CIS Controls, som er et rammeværktøj med 20 kontroller, der er prioriteret ud fra, om man er en lille, mellem eller stor virksomhed. CIS Controls kan sammen med en risikovurdering være pegepinden, som flytter virksomheden fra et lavt eller intet sikkerhedsniveau mod et sikkerhedsniveau, der giver mening for virksomheden, og som samtidig sikrer, at de IT-sikkerhedsinvesteringer, der foretages, er dem med størst effekt. Hos Institut for Cyber Risk (IFCR) benytter vi CIS Controls i samspil med vores mangeårige erfaring, når vi udfører et Cyberhygiejnetjek hos virksomheder.

Nedenfor er eksempler på nogle af de områder, der typisk giver anledning til anmærkninger, når IFCR gennemfører et Cyberhygiejnetjek hos virksomheder, og som vil højne modstandsdygtigheden betydeligt, i så fald virksomheden får styr på disse:

1. Utilstrækkelig konfiguration af Active Directory-komponenter (AD):

AD er oftest en af de mest centrale komponenter i danske virksomheders netværk. Det er typisk her, virksomheder styrer deres brugeres adgang til virksomhedens forskellige systemer og data, og det er således et af angribernes foretrukne mål, hvis virksomheden kompromitteres. Hvis angriberen først får adgang til en gyldig brugerkonto kan den ofte benyttes til at opnå adgang til flere konti og/eller systemer, hvilket i sidste ende kan resultere i administratoradgang og total kompromittering af virksomhedens systemer. Da de fleste virksomheders AD som regel har en del år på bagen og har været igennem

omorganiseringer, opdateringer, nye strategier, opkøb/fusioner og generel tilsanding, er der ofte mere fokus på at holde det kørende end på sikkerheden. Vi støder ofte på følgende problemer:

  • Brugere med alt for mange rettigheder, som ikke svarer til medarbejderens jobbeskrivelse (principle of least privilege). Herunder også rettidig ændring af brugerrettigheder, når en medarbejder skifter jobrolle internt.
  • Servicekonti med svage kodeord, som ikke har været ændret i mange år, hvis nogensinde. Servicekonti har typisk også udvidede rettigheder til et givent system.
  • Fejlkonfigurerede services, som kan udnyttes til at udvide en brugers rettigheder eller opnå uautoriseret adgang til systemer eller data.
  • Mangelfulde processer i forbindelse med oprettelse og nedlæggelse af brugere, så det eksempelvis sikres, at brugerkontoen nedlægges, når medarbejderen opsiger sit arbejde.
  • Uhensigtsmæssig brug af domæneadministratorkonti til at logge ind på servere (eller endpoints), hvorved deres password hash gemmes i serverens historik.
  • Administratorkonti, som deles af flere medarbejdere. Ofte med kodeord, som er lette at huske og sjældent ændres.
  • Oprettelse af nye brugere med standardkodeord (f.eks. ”Vinter2018” eller ”Sommer2019”). Dette problem opstår ofte, når en servicedesk nulstiller eksisterende brugeres kodeord.

Vi har endnu ikke oplevet virksomheder, som ikke havde sikkerhedsmæssige udfordringer med konfigurationen af deres AD, og anbefaler derfor, at fokusset øges på dette område.

 

2. Manglende patching og vedligehold af operativsystemer og software:

Manglende installation af sikkerhedsopdateringer er en gammel kending, men patch management er fortsat en af topscorerne på listen over IT-sikkerhedsudfordringer for virksomheder i Danmark. Særligt interne systemer misligholdes og plages af manglende sikkerhedsopdateringer. En mindre del af systemerne er desuden så gamle, at de ikke længere supporteres af leverandøren, og der udgives ikke længere opdateringer.

 

Det er i denne sammenhæng vigtigt at nævne Windows 7[2] og Windows Server 2008 R2[3], som Microsoft stopper generel support af om kun tre måneder (14. januar 2020).

 

I mange virksomheder kan det at patche og vedligeholde operativsystemer være et fuldtidsjob. Enhver patch, der mangler, er endnu en sårbarhed, som hackerne potentielt kan udnytte. Vi anbefaler derfor virksomheder at følge en strategi for installation og validering af programopdateringer samt patching på tværs af alle systemer. Det gælder ikke kun operativsystemer, men også tredjepartssoftware, som virksomhedens brugere har installeret (f.eks. Adobe Reader og Java).

3. Manglende træning af virksomhedens medarbejdere:

Langt størstedelen af de virksomheder, som er ofre for ransomware eller anden malware, eller som på anden måde kompromitteres af eksterne angribere, rammes, ved at virksomhedens medarbejdere enten narres ellers fanges i et uopmærksomt øjeblik og får klikket på et link eller en vedhæftet fil i en e-mail. Jf. Verizons 2019 Data Breach Investigations Report[4] var 94 % af detekteret malware det seneste år leveret via e-mail, og det er også vores klare opfattelse, at medarbejderne er det svageste led og dermed også det letteste mål at angribe. Mens de fleste antimalwareløsninger ofte fanger de mest åbenlyse phishing-e-mails, vil der altid slippe nogle igennem, og så er medarbejderen den næste i rækken af forsvarsmekanismer. Medarbejdere skal derfor trænes i at genkende phishing-e-mails samt rapportere disse, hvis de modtager dem. Denne træning bør varieres, så medarbejderen påvirkes på forskellige måder. Den bør ligeledes målrettes den enkelte medarbejder, da langtfra alle er ens. F.eks. vil en medarbejder i økonomiafdelingen være modtagelig over for andre budskaber end en medarbejder i produktionsafdelingen. Og chefen et helt tredje budskab. Vi anbefaler derfor at skræddersy et awareness-program til virksomheden, som tager højde for virksomhedens medarbejdere og rammer dem i øjenhøjde.

4. Manglende test af beredskab og backup:

Spørger man en virksomhed, om de tager backup af deres data, er svaret ofte: ”Ja, det gør vi”. Spørger man dernæst, hvor ofte der tages backup, hvilke data der tages backup af, hvor den ligger henne, og hvem der har adgang, er svaret som regel lidt mere uklart. Og spørger man, hvornår der sidst er gennemført en succesfuld restore test, er svaret som regel, at man enten ikke har gennemført en test, eller at testen fejlede, sidst man prøvede. Backup (og restore!) er alt for ofte nedprioriteret i IT-afdelingen, da der er mange andre opgaver, som presser sig på i dagligdagen. Alt for ofte testes backup-/restore-funktionaliteten først, når IT-revisionen har været forbi og har givet en anmærkning, hvorefter ledelsens opmærksomhed skærpes, og der bevilges ressourcer til en test. Denne går den, så går den-tilgang kan få yderst alvorlige konsekvenser i tilfælde af nedbrud eller, som det ofte ses i øjeblikket, i tilfælde af ransomwareangreb. Rammes virksomheden først af ransomware, som sætter produktionssystemet ud af drift, kan omkostningerne stige meget hurtigt. En effektiv og velafprøvet backup-/restore-plan er som regel den bedste kur mod ransomwareangreb, og vi anbefaler derfor, at der udføres regelmæssige beredskabstests inkl. restore af systemer og data fra backup. På den måde kontrolleres det, at der tages backup af den rigtige data, samt at medarbejdere trænes i at genetablere systemer i tilfælde af et angreb.

Når mange af de simple tiltag ikke er implementeret korrekt, er livet som angriber meget nemt. For de fleste IT-folk er der simpelthen ikke nok timer i døgnet til at sikre selv de mest basale cyberhygiejnetiltag, så det er let at se, hvorfor ting bliver glemt, og huller begynder at udvikle sig til alvorlige sårbarheder.

Til forskel fra en typisk penetrationstest, som ofte fokuserer på et enkelt system eller applikation, sigter IFCR’s cyberhygiejnetjek bredere i virksomheden og hjælper jer til at få et overblik over det nuværende sikkerhedsniveau på tværs af virksomheden. Det er med til at identificere lavthængende frugter og derved sikre maksimal værdi og udbytte for virksomheden inden for den aftalte opgaveramme.

5. Manglende multifaktorgodkendelse af eksterne systemer:

Mange virksomheder bruger i dag løsninger, der tillader deres medarbejdere at arbejde fra andre lokationer end virksomheden, f.eks. hjemmefra eller på farten. Disse løsninger kan dække over VPN, webmail, fildeling m.m. Desværre ser vi ofte, at disse løsninger kun beskyttes af brugerens kodeord og derfor giver en angriber mulighed for at skaffe sig adgang via angrebsmetoder som password spraying eller phishing, hvor brugeren lokkes til at oplyse sit kodeord, f.eks. via en falsk angriberstyret loginside. De fleste løsninger understøtter i dag en multifaktorgodkendelse og er for de fleste virksomheder også relativ nem at implementere. Her har medarbejderne i tillæg til deres kodeord f.eks. en app på deres mobiltelefon som ekstra godkendelsesmekanisme ved login på den eksterne løsning.

6. Manglende segregering af netværk:

De fleste virksomheder er nået til at afskærme offentlig tilgængelige servere og systemer, såsom deres hjemmeside eller webshop, i et separat netværk (DMZ) eller via cloud-infrastruktur. Mange virksomheder har dog stadig en flad netværksstruktur internt, hvilket tillader mere eller mindre samtlige endpoints og servere at kommunikere med tilgængelige services. Det åbner op for malware, som kan sprede sig automatisk, eller giver målrettede angribere mulighed for at bevæge sig imellem systemer, også kaldet lateral bevægelse, uden større besvær. En angriber eller malware rammer sjældent de mest kritiske systemer til at starte med, men får fodfæste hos en bruger og må så derfra identificere måder at bevæge sig videre på/sprede sig mod sit endelige mål.

Typiske protokoller, som benyttes til lateral bevægelse på Windows-systemer dækker over:

  • RPC (Port 135/TCP)
  • SMB (Port 445/TCP)
  • RDP (Port 3389/TCP)
  • WinRM (Port 5985/5986/TCP).

Endpoint-systemer har sjældent behov for at kunne kommunikere internt via disse protokoller, men alligevel ser vi ofte, at dette er muligt. En hurtig “win” kan derfor opnås ved at begrænse dette, evt. med whitelisting af nogle enkelte administratorenheder, i så fald miljøet administreres af værktøjer som WMI, Powershell Remoting, PsExec eller blot Remote Desktop.

Næste skridt er at arbejde imod en segregering af netværket baseret på systemets sensitivitet eller kritikalitet. Kritiske systemer bør kun være tilgængelige på netværket i det omfang, der er behov for, så placer disse på separate Virtual Local Area Networks (VLANs). F.eks. har HR-afdelingen sjældent behov for at tilgå lagerrobotter og svejsemaskiner i en produktionsvirksomhed – og omvendt. Adgang bør derfor begrænses til de enkelte medarbejderes forretningsmæssige behov.

————————————————————————————————————————————————

[1] https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

[2] https://www.microsoft.com/en-us/microsoft-365/windows/end-of-windows-7-support

[3] https://www.microsoft.com/en-us/cloud-platform/windows-server-2008

[4] https://enterprise.verizon.com/resources/reports/dbir/