Cyberhygiejne og de glemte dyder

I kølvandet på den tumultane periode, som mange organisationer har navigeret sig vej igennem i den seneste tid, kan nogle fundamentale dyder måske være blevet sat lidt i baggrunden. I et forsøg på at mitigere den øgede risiko for cyberangreb ved en større mængde af hjemmearbejde, er der en risiko for, at organisationer glemmer andre dele af værdikæden, når det drejer sig om cyberhygiejne: it-sikkerhed bygger nemlig på seks fundamentale byggesten, som er indbyrdes afhængige. Er disse ikke på plads, er det som at bygge et hus på kviksand i stedet for klippe! Læs mere om de seks byggesten for cybersikkerhed, og hvordan du sikrer dig, at de bliver implementeret efter bedste praksis.  

Bedste praksis for it-sikkerhed er normalt defineret i et eller flere internationale rammeværk. Hos Dediko mener vi, at den standard, der bedst definerer kontroller, bedste praksis og prioritering af it-sikkerhed (Cybersikkerhed), er udarbejdet af Center for Internet Security (CIS) og med baggrund i deres 20 (18 fra og med version 8 i maj 2021) kritiske kontroller. Da kontrollerne kom frem i 2008 blev de testet af det australske forsvars efterretningstjeneste (Australian Signals Directorate), hvor det viste sig, at hvis man implementerer blot de første 4 kontroller fuldt ud, kan man nedsætte risikoen for et Cyberangreb med mere end 80%

https://www.cyber.gov.au/publications/strategies-to-mitigate-cyber-security-incidents
https://www.cyber.gov.au/publications/essential-eight-explained
https://www.sans.org/reading-room/whitepapers/securitytrends/basics-focus-first-cis-critical-security-controls-38395  

Der er således tale om en række tiltag, der tilsammen udgør noget af det mest fundamentale og væsentlige, du kan gøre for at mitigere cyberrisikoen i din virksomhed. Nogle af kontrollerne har byttet rækkefølge i version 7 af CIS 20, men er grundlæggende de samme. 

Seks fundamentale byggesten til god cyberhygiejne 

1 - Inventarstyring og kontrol med HARDWARE-aktiver
Angribere, der kan være placeret overalt i verden, scanner kontinuerligt internet-vendte adresser og venter på, at ubeskyttede systemer skal forbinde til internettet. De er især interesseret i enheder, der kommer af og på virksomhedens netværk såsom laptops eller Bring-Your-Own-Device (BYOD), der muligvis ikke er fuldt sikkerhedsopdateret eller muligvis allerede er kompromitteret. Angreb kan drage fordel af ny hardware, der er installeret på netværket, men ikke efterfølgende er konfigureret og beskyttet med passende sikkerheds-opdateringer.

Selv enheder, der er ikke synlige fra internettet, kan bruges af angribere, der allerede har fået intern adgang og er på jagt efter interne omdrejningspunkter. Yderligere systemer, der opretter forbindelse til virksomhedens netværk (f.eks. demonstrationssystemer, midlertidige testsystemer, gæstenetværk), bør også styres omhyggeligt og / eller isoleres for at forhindre angriberes adgang fra at påvirke sikkerheden ved almindelig drift af netværket.

2 - Inventarstyring og kontrol med SOFTWARE-aktiver
Angribere scanner løbende organisationer på udkig efter sårbare versioner af software, der kan udnyttes uden at være på netværket. Nogle angribere distribuerer også fjendtlige websider, dokumentfiler, mediefiler og andet indhold via deres egne websider eller på anden måde via pålidelige tredjepart-hjemmesider. Når ofre får adgang til dette indhold, med fx en sårbar browser, kan angriberne kompromitterer maskiner, ved fx at installerer bagdørsprogrammer og ”bots”, der giver angriberen langvarig kontrol over systemet. Nogle sofistikerede angribere kan bruger endnu ukendte sårbarheder (Eng ”Zero day”), som softwareleverandøren endnu ikke har frigivet en programrettelse til.

Uden struktureret viden eller kontrol med det software, der er installeret i en organisation, kan virksomheden ikke sikre sine aktiver ordentligt. Utilstrækkeligt kontrollerede maskiner er sårbare ved sandsynligvis enten at køre unødvendigt sårbar software eller ved at afvikle malware, som er introduceret af en angriber, efter systemet er kompromitteret. Når en enkelt maskine er blevet udnyttet, kan angriberne organisere indsamling af følsom information fra det kompromitterede system og fra andre forbundne systemer. Derudover bruges kompromitterede maskiner som et lanceringssted for bevægelse gennem netværket og samarbejdsnetværk. På denne måde kan angribere hurtigt omdanne en kompromitteret maskine til mange. Administreret kontrol af al software spiller også en kritisk rolle i at undgå spredning af malware og håndtering af følgende hændelser.

3 - Kontinuerlig sårbarhedshåndtering
Virksomhedens it-sikkerhedsmedarbejdere skal operere i en konstant strøm af ny information: softwareopdateringer, programrettelser, sikkerhedsvejledninger, trusselbulletiner osv. Forståelse og håndtering af sårbarheder bør være en kontinuerlig aktivitet, men det kræver betydelige ressourcer i form af tid, fokus, viden og medarbejdere. Angribere har adgang til de samme oplysninger og kan drage fordel af tiden mellem ny viden om trusler og afhjælpning af disse.

For eksempel når forskere rapporterer nye sårbarheder starter et kapløb mellem alle parter: angribere (for at angribe og udnytte sårbarheden), leverandører (til at udvikle og implementere programrettelser / opdateringer) og virksomheden (til at vurdere risiko, teste og installere programrettelser). Organisationer, der ikke scanner efter sårbarheder og proaktivt adresserer opdagede fejl, står overfor en betydelig sandsynlighed for, at deres computersystemer kompromitteres. Organisationer der står specielt overfor udfordringer med at skalere programrettelser på tværs af en hel virksomhed og prioritere handlinger med modstridende prioriteter og undertiden usikre bivirkninger.

4 - Kontrolleret brug af administrative rettigheder
Misbrug af administrative privilegier er en primær metode for angribere til at sprede sig inden i et mål. To meget almindelige angrebsteknikker drager fordel af ukontrollerede, administrative privilegier. I den første narres en bruger, der er logget på sin maskine med administrative privileger, til at åbne en skadelig e-mail-vedhæftning, download og åbning af en fil fra et ondsindet websted, eller simpelthen at surfe til et websted, der er kompromitteret til automatisk at kunne udnytte browsere. Malwaren kører automatisk på offerets maskine eller brugeren narres til intetanende at afvikle malwaren. Da brugerens konto har administrative privilegier, kan angriberen overtage ofrets maskine fuldstændigt og installere key-loggere, trafiksniffere og fjernbetjeningssoftware til at finde administrative adgangskoder og andre følsomme data. Lignende angreb opstår via phishing e-mails. En administrator-bruger åbner utilsigtet en e-mail, der indeholder en inficeret, vedhæftet fil eller et link, som bruges til at opnå et landingspunkt indenfor netværket, som bruges til at angribe andre systemer.

Den anden almindelige teknik brugt af angribere er forhøjelse af privilegier ved at gætte eller et kodeord for en administrativ bruger for at få adgang til bestemte systemer. Hvis administrative privilegier er vidt udbredt, eller der bruges identiske adgangskoder, har angriberen lettere ved at opnå fuld kontrol over mange systemer, fordi der er mange flere administrative konti, som kan bruges i angrebet.

Håndtering af administrative rettigheder bør ske efter princippet om brug af mmindste privilegier også kalde The principle og Least Privilege - PoLP.

5 - Sikre konfigurationer for hardware og software på mobile enheder, bærbare, arbejdsstationer og servere
Som standardleveret af producenter og forhandlere, er konfigurationer af operativsystemer og applikationer normalt fokuseret på brugervenlighed og ikke sikkerhed. Grundlæggende kontroller, åbne tjenester og porte, standardkonti eller adgangskoder, ældre (sårbare) protokoller og unødvendig software er ofte sårbare i deres standardkonfiguration. 

Udvikling af konfigurationsindstillinger med tilstrækkelige sikkerhedsegenskaber er en kompleks opgave, hvilket kræver analyse af potentielt hundreder eller tusinder af muligheder for at træffe sikre valg. Selv hvis en stærk initial konfiguration er udviklet og installeret, skal den være konstant overvåget/undersøgt for at undgå sårbarheder, når software opdateres, nye sårbarheder rapporteres eller konfigurationer ændres for at tillade installation af ny software eller understøtte nye krav til driften. Hvis ikke der arbejdes med sikre konfigurationer kontinuerligt, kan angribere finde nye muligheder for udnytte både netværkstjenester og klientsoftware.

6 - Vedligehold, overvågning og analyse af logge
Manglende eller utilstrækkelig sikkerhedslogning og analyse giver angribere mulighed for at arbejde i det skjulte, samt bruge malware og malware-aktiviteter på netværket. Selv hvis organisationen ved, at deres systemer har været kompromitteret, kan de uden tilstrækkelig logning ikke efterfølgende spore og undersøge, hvilke handlinger en hacker har påvirket netværket med. Det betyder, at der uden tilstrækkelig logning vil være en stor risiko for at et angreb går ubemærket hen og de følgende skader kan være uoprettelige.

Undertiden er logs det eneste bevis på et vellykket angreb. Mange organisationer logger for at overholde compliance-regler, men angribere kalkulerer med, at sådanne organisationer sjældent analyserer / overvåger logs og derfor ikke opdager, at deres systemer er blevet kompromitteret. På grund af utilstrækkelige loganalyseprocesser kontrollerer angribere undertiden maskiner i måneder eller år, uden at nogen i organisationen ved det, selvom beviset for angrebet er registreret i ikke-undersøgte logge. Denne tid kaldes ”dwell time” (https://www.darkreading.com/attacks-breaches/new-cyber-research-records-a-91--reduction-in-dwell-time-for-users-of-deception-technology/d/d-id/1335534). 

 

Hjælp til at implementere kontrollerne bedst muligt

Foruden at formulere ovenstående seks kontroller har CIS udviklet en tjekliste til hvordan, du bedst muligt arbejder med og implementerer kontrollerne. De seks punkter er beskrevet herunder, men du kan også læse mere i e-bogen ”Back to Basics: Focus on the First Six CIS Critical Security Controls”.

 

1.   Start med at læse og forstå kontrollerne.

2.   Forstå hvilke kontroller, der er relevante for din organisation afhængigt af organisationen og risikolandskabet. Se mere om implementeringsgrupper.

3.   Sæt dig ind i, hvordan du kan måle kontrollerne med metrics og CIS CSAT.

4.   Få hjælp til implementering ved at bruge Companion-guides og specielt implementerings-guiden.

5.   Forstå, hvordan CIS-kontrollerne mapper til andre rammeværk.

6.   Lær at bruge CIS-risikoanalyse.

7. Se Dedikos CIS analyse som hjælper dig hurtigt og sikkert igennem denne proces med et praktisk resultet så du kan nedbringe risikoen for et cyberanreb til et acceptabelt niveau.

 

Andre gode råd til Cyberhygiejne

Foretag en analyse af, hvor langt du er fra CIS-kontrollernes bedste praksis
Hvis du ikke har mod på at gøre dette selv, kan vi hjælpe dig med en GAP-analyse. Kontakt Christian Schmidt for at høre nærmere

Fremlæg resultatet for ledelsen og få forankring og sponsorship til tiltag for øget cybersikkerhed
Uden ledelsesforankringen bliver det svært at prioritere de nødvendige ressourcer til at sikre en høj grad af cyberhygiejne

Planlæg et flerårigt målbart projekt for øget cybersikkerhed
Lav en prioriteret liste med implementering af kontroller, processer og værktøjer

Hav fokus på dine kontroller
Brug CIS-dokumentet  ’Measures and metrics’ for at sikre en kontrolleret proces.

Hav fokus på ledelsesrapportering
Aftal med ledelsen, hvordan de gerne vil have en rapportering på status omkring cybersikkerhed for at kunne omdanne KPI til KRI i videst muligt omfang. Pas på, at kontrollerne ikke bliver for tekniske og teoretiske. Se eksempler på, hvordan dette kan gøres her med vores modenhedsmodeller og se med på vores webinar om ledelseskommunikation af it-sikkerhed.