noun_Email_707352 noun_917542_cc noun_Globe_1168332 Map point Play Untitled Retweet

10 ting du må gjøre for å unngå cyberangrep

Aleksander Rasmussen / oktober 04, 2021

Cyberkriminelle blir mer og mer sofistikerte. Men det gjør de etiske hackerne også som hjelper deg med å avsløre sårbarheter før kriminelle utnytter dem. Sikkerhetsarbeid er ikke skippertak, men hardt og målrettet arbeid, sier sikkerhetsekspert Aleksander Rasmussen i TietoEVRY.

«Kunder blir mindre og mindre overrasket og er mer klar over sine egne feil. Kunder er også mer og mer villig til å bruke penger og ressurser på sikkerhet. Men vi ser dessverre fortsatt kunder som ikke tar sikkerhet på alvor og feier sikkerhetsfeil og risiko under teppet», Aleksander Rasmussen.

Han vet hva han snakker om etter mange år som sikkerhetsekspert og pentester . Han jobber i TietoEVRY som sikkerhetsrådgiver

Pentesting er betegnelsen på inntrengingsforsøket en etisk hacker i et IT-sikkerhetsselskap gjør på oppdrag for en kunde for å avdekke sårbarheter og feil i infrastruktur og tjenester.

 

Se opp for Netflix-trikset

Én av de største cyberrtruslene du kan bli utsatt for, enten som privatperson eller ansatt i en organisasjon, er såkalt nettfiske (phishing ). Aleksander bruker et eksempel fra Netflix for å forklare hvordan hackerne går frem.

«Du kan få opp et falskt påloggingsbilde til Netflix hvor de ber om epost og passord. I en hektisk hverdag kan det være lett å klikke på et slikt bilde. Ved nærmere ettersyn vil man se at nettadressen ikke peker til Netflix, men en falsk adresse til noen hackere i for eksempel Brasil», forklarer han.

For å unngå å gå i fellen, anbefaler han at virksomheten bruker to-faktor pålogging. I tillegg er det viktig med god sikkerhetskultur i organisasjonen og en sunn skepsis. Det er viktig å lese hvem som er avsender av informasjonene i nettleseren så kan dette avsløres, forklarer Aleksander Rasmussen, og legger til at dersom du er i tvil, så ta kontakt med noen som har kunnskap på området.


Hacking er en kamp mot klokken

Aleksander bruker flere metoder for å komme seg innsiden av et kundesystem.

Det blir stadig flere hackere, og de vet hva som er virksomhetens svakeste punkt.

Mange hackere lykkes fordi kunder benytter tjeneste som er såkalt «End-of-life», og ikke lenger mottar sikkerhetsoppdateringer fra leverandøren. En annen typisk kontroll er usikre passord eller standardpassord som aldri er endret.

«Virksomheter må følge nøye med og tette igjen åpenbare sårbarheter med én gang. Jo lengre tid det går, dess større er risikoen for at angripere kommer seg inn.

Du skal alltid sørge for en skikkelig lås på huset ditt er låst. Og jo lengre tid du lar huset stå ulåst, dess mer øker risikoen for at du får et innbrudd», sier han.

De mest åpenbare tingene en etisk hacker sjekker er tjenester med kjente sårbarheter, usikre konfigurasjoner som for eksempel gamle kryptoalgoritmer og sertifikater.

En litt mer avansert metode er å søke etter åpninger i administrative tjenester som er eksponert direkte på internett. Eksempler på dette er SSH, TELNET og RDP.

Aleksander Rasmussen sier at som etisk hacker er det viktig at han kan ligge i forkant av de ondsinnede hackerne. Han kjenner deres metoder, og måter å tenke på.

Men det er ingen magiske «triks». Sikkerhetsarbeid er ikke skippertak , men hardt og målrettet arbeid. Virksomheten må tenke helhetlig sikkerhet i et livssyklusperspektiv, og innarbeides fra starten av. For å kunne ligge ett steg foran anbefaler Aleksander Rasmussen at man følger grunnleggende sikkerhetshygiene som patching og herdig av tjenester. Det er også viktig å overvåke dagens trusselbilde ved å følge med på sikkerhetsblogger, podcaster og andre nyheter.

Mennesket er og blir det svakeste ledd

Det er en selvfølge og en etisk hacker har det i ryggmargen: En viktig årsak til at hackere lykkes er rutinesvikt eller menneskelige feil. Det kan være manglende oppdatering og patching , ikke etterlevelse av sikkerhetsprosedyrer. Etiske hackere tester også om det er mulig å komme seg fysisk inn hos en bedrift og få tilgang til kritisk utstyr og teknologi.

«Skap en god sikkerhetskultur internt slik at ansatte aldri gir fra seg brukernavn og passord, og at de er varsom med å laste ned programvare. Holdningsskapende arbeid og kunnskap rundt digitale trusler og sårbarheter er viktig, og ledere må gå foran som et godt eksempel», sier Rasmussen.

Fallgruvene i en skytjeneste

Skytjenester har bidratt til en tryggere hverdag for mange bedrifter. Dette må ikke bli en sovepute, advarer Aleksander Rasmussen.

«En utfordring i skyen er mangel på kontroll over infrastruktur og tjenester rundt seg, og tredjeparts containerprogrammer er et slikt eksempel. Det er en kjent sak blant hackere at denne type skyinfrastruktur kan inneholde sårbarheter. Det samme gjelder tredjeparts kodemaler», sier han.

SolarWinds og Kaseya har skapt mange bekymringer i 2021, og denne type angrep må vi forvente flere av.

«Det er viktig at man kartlegger alle data som behandles i et system eller forretningsprosess, og at man har kontroll på hvordan dataen lagres i», sier Rasmussen.

Sårbarheter i en programvare

Etiske hackere leter etter sårbarheten i en programvare, og her er det flere smutthull som det er viktig å tette igjen.

Aleksander Rasmussen mener bedrifter må kontrollere og stille krav til programvareleverandører.

Han trekker frem tre utfordringer:

  • Leverandører som ikke tar rapporterte sikkerhetsfeil på alvor og ikke gjøre noe med det som blir rapportert inn.
  • Leverandører som straffer eller saksøker sikkerhetseksperter som rapporterer sikkerhetsfeil.
  • Leverandører som bruker programvare eller tjenester som ikke lenger støttes eller vedlikeholdes

Sjekklisten for å avdekke sikkerhetshull som må lukkes i kampen mot hackere

  1. Tjenester med kjente sårbarheter
  2. Tjenester med usikre konfigurasjoner som for eksempel gamle kryptoalgoritmer og sertifikater
  3. Tjenester med usikre passord eller standard passord som aldri er endret
  4. Usikre tjenester som for eksempel TELNET eller FTP (File Transfer Protocol)
  5. Tjenester som er «End-of-life» og ikke lenger mottar sikkerhetsoppdateringer
  6. Administrative tjenester eksponert direkte på internett

Tiltak:

  1. Skap en god sikkerhetskultur internt slik at ansatte aldri gir fra seg brukernavn og passord, og at de er varsom med å laste ned programvare.
  2. Kontroller alle ledd i verdikjeden til skytjenester
  3. Kontroller programvareleverandører slik at de følger beste praksis i sitt sikkerhetsarbeid
  4. Sørg for at du har god fysisk sikring av kritiske soner i ditt teknologiske miljø.

 

Ta kontroll over cybersikkerheten din med tjenester basert på bedriftens behov. Les mer her.

Aleksander Rasmussen
Senior Consultant

SKREVET AV

Aleksander Rasmussen

Senior Consultant

Cybersecurity Insights

Få mer innsikt innen Cybersecurity

Del på Facebook Tweet Del på LinkedIn