Sikker e-mail og browser aktivitet er vigtig, men hvordan sikrer du det?

Sikring af e-mail og browseraktivitet er en af de vigtigste tiltag organisationen kan implementere for at forhindre et cyberangreb

 

Medarbejderes manglende viden om cybersikkerhed er ofte årsag til starten på et Cyberangreb, hvor vigtige rettigheder afleveres til cyberkriminelle eller malware installeres og afvikles. CIS-kontrol nummer 7 hjælper dig med at sikre e-mail og browseraktivitet.

CIS-kontrollerne er nemme at anvende i praksis, fordi de kommer med direkte henvisninger til, hvordan de implementeres, og forslag til, hvilke KPI’er der bør opstilles for målinger. Det er også derfor, vi har valgt at udvikle en GAP-analyse, som bygger på selvsamme CIS-kontroller, kaldet IT-Sikkerhedsbarometeret. Over de næste måneder stiller vi derfor også skarpt på de 20 CIS-kontroller, hvordan de anvendes, og hvilke vigtige subkontroller de indeholder.

CIS-kontrol nummer 7 og implementeringsgrupper:

CIS har 2 grundlæggende kontroller fra implementerings gruppe 1 (noget alle skal gøre), 7 tiltag fra implementeringsgruppe 2 (noget de fleste skal gøre) og kun en kontrol fra implementeringsgruppe 3 (noget få virksomheder skal gøre). Tiltagene fordeles sig som følger:

1 - Brug et DNS filter for alle klienters adgang til Internettet og vær opmærksom på at dette virker lige godt i og uden for organisationens netværk. Sørg desuden for at der kun bruges autoriserede e-mail klienter og endnu vigtigere browsere som er opsat efter bedste praksis. Bedste praksis kan undersøges med CIS Benchmarks hvor opsætningen af fx Google Chrome, Microsoft Edge og Mozilla FireFox er beskrevet. Du kan undersøge dette med en sårbarhedsscanner som fx Tenable.IO og styre det med GPO eller endnu nemmere med ManageEngine DesktopCentral eller ManageEngine Browser Security Plus.

2 - Fjern uautoriserede browsere og uautoriserede browser-add-on komponenter og sørg for at alle brugere går igennem et URL filter hvor du abonnerer på en kategorisering og logger alle URL forespørgsler. Bloker adgangen til ikke forretningskritiske scripting sprog og uautoriserede vedhæftelser til e-mails. Sidst men ikke mindst skal selve organisationens e-mail tjeneste være opsat efter god praksis, se fx her. Andre vigtige komponenter er opsætning af DMARC, DKIM og SPF. Sørg gerne for at gennemgå specifikke sikkerhedsindstillinger til netop jeres autoriserede browsere som kan findes ved at søge på Google efter dette. Her kan fx nævnes 2FA for adgang til browser konto og ”Safe Browsing” i Google Chrome.

3 - Sørg for at alle URL (links) går gennem en sandbox funktion som ofte er forbundet med e-mail security gateway og web security gateway. Sandbox funktionaliteten sikrer at fx URL kan afprøves sikkert. Et eksempel på denne funktionalitet ligger fx i Microsoft M365 E5 eller ProofPoint e-mail beskyttelse

Vær særligt opmærksom på online eller hybrid miljøer hvor opsætningen af e-mail sikkerhed kan være mere uigennemskuelig samt håndtering af Phishing, læs mere her. Se (eller gense)  vores webinar om emnet phishing og Very Attacked People (VAP)

Phishing er stadig en alvorlig trussel mod virksomhedens cybersikkerhed

Phishing er stadig en alvorlig trussel mod virksomhedens it-sikkerhed. Verizon (DBIR 2021) anslår, at omkring en tredjedel af alle cyber breaches involverer phishing.

Det er afgørende for cybersikkerheden at Phishing ikke ses som en isoleret trussel, men at organisationen indtænker processer og kontroller som en ”knivtangs-manøvre”, baseret på anerkendte rammeværker som fx CIS kontrollerne og NIST Cyber security Framework (NIST CSF). Det kan derfor anbefales at tænke mitigering af phishing efter disse tre punkter:

Forebyggelse
Brug awarenss kampagner med fx månedlige phishing tests, så organisationens medarbejdere holdes på tæerne og er opmærksomme på problemet. Bliv ved med at teste phishing indtil målet om antallet af klik er nået (fx en reduktion fra 25% til 2% klik på ’farlige’ links) og læg derefter en plan for at holde eller forbedre dette niveau. Vær særligt opmærksom på Very Attacked People™ (VAP). Implementering af awareness programmer kan fx gennemføres efter Dedikos Awareness profil (baseret på SANS MGT 433) hvor vi hjælper organisationen med målbart at reducere cyber-risikoen med awareness træning. Vi bruger ofte løsningen fra ProofPoint Wombat til at understøtte denne indsats. Læs mere om løsningen her.  

Modvirk
Sørg for at alle e-mails sendes gennem et eller flere filtre som er ’best in class’ til at opdage og forhindre phishingangreb. Jo mere opmærksomme brugerne er på phishing (og andre malware relaterede e-mails) og jo færre af disse e-mails brugerne modtager, jo større er reduktionen af den risiko, som ledsager denne type af malicious aktivitet. De bedste filtre på markedet er bl.a. Microsoft M365 E5 og ProofPoint e-mail security (og  læs evt. også Gartners guide til markedet for e-mail sikringssystemer). Herunder listes nogle af de vigtigste trusler:

*  Ransomware som spredes via spam
*  Business E-mail Compromise (BEC)
*  Overtagelse af Microsoft Office 365 via credential phishing (og manglende 2FA)
*  Covid-19 relateret spam e-mail

Bedste praksis for cyberhygiejne
Det er næppe muligt at forhindre brugerne helt i at blive præsenteret for og klikke på spam og phishing mails, men når det sker, kan organisationen iværksætte en række tiltag i form af cyberhygiejne kontroller som fx:

Giv brugerne hjælp til passwords, herunder et system som husker dem på at vedligeholde og sikre unikke password til alle de hjemmesider som de logger ind på (i gennemsnit 50-80 hjemmesider ifølge Lastpass’ sikkerhedsrapport fra 2019). Her kan du fx kigge på LastPass eller DashLane produkterne. Gem aldrig passwords i browseren!

Brug sikre passwords og rettighedsrutiner som fx Privilege Access Management (PAM). Her kan du fx kigge på Thycoric Secret Server eller ManageEngine PasswordManager Pro.

Undersøg om brugere i dit domæne har konti som er blevet kompromitteret fx gennem Spycloud eller Have I Been Pwned. Sørg for at passwords fra disse undersøgelser ikke bruges i organisationen.

Set evt. vores videoer om sikring af Microsoft M365 og Privilege Access Management på vores webinarportal.

Du kan læse mere om hvordan ProofPoint kan hjælpe din organisation med at e-mail sikkerhed og undgå BEC her.


BEC eller Business E-mail Compromise er en økonomisk cyberkriminel specialitet og kan blive et dyrt bekendskab 

I en undersøgelse fra FBI’s IC3 enhed fra 2019,  vurderes det, at BEC og EAC (Email Account Compromise) udgjorde økonomisk tab for 1,77 milliarder USD ud af et samlet rapporteret tab på 3,5 milliarder USD (467.361 sager). Der er altså tale om meget store beløb som virksomheder bliver snydt for. Det gennemsnitlige tab pr. rapporteret svindelsag er USD 75K hvilket er mere end en fordobling fra 2018. 

Undersøg om din virksomhed er sårbar over for BEC-angreb 

Det er vigtigt at forstå begrebet og udbredelsen af BEC for at kunne mitigere risikoen effektivt. Ønsker du at forstå BEC i detaljer kan du lære mere i denne rapport hvor de vigtigste kriminelle tiltag er forklaret herunder. Se andre eksempler på BEC her.

En anden vigtig kilde til at vurdere om din virksomhed et tilstrækkeligt beskyttet mod BEC er at koble angrebsteknikker relateret til BEC til MITRE ATT&CK-databasen og vurdere om disse teknikker er mitigeret i din organisation. Phishing og MITRE ATT&CK kan du få en idé om her og her.

Få en hurtig idé om din virksomhed er sårbar overfor for denne BEC-angreb her.

BEC-definitioner

Få en rigtig god oversigt over BEC definitioner finder du her, hvorfra nedenstående er taget:

A) Angribere foregiver at være leverandører som beder om overførsler til en konto der tilhører cyberkriminelle og ikke leverandøren

B) Ledelses svindel hvor en cyberkriminel foregiver at være en CxO som beder om en overførsel til en konto der i det skjulte tilhører de cyberkriminelle

C) En kompromiteret e-mail konto og kriminelle beder om betaling af fakturaer til leverandører som er listet som deres e-mail kontakter. Overførslerne føres herefter til de kriminelles konti

D) De kriminelle foregiver at være virksomheden advokat som beder om overførsler typisk på telefon eller e-mail

E) Datatyveri fra HR eller økonomi af sensitive oplysninger der efterfølgende kan misbruges.

Ofte har disse e-mails ikke noget malware link men udnytter medarbejdere, som ikke er trænet i at opdage og undgå denne slags svindel eller processer der skulle være iværksat for at forhindre denne kriminelle aktivitet.

BEC-angreb kan forhindres effektivt ved at bruge forsvar i dybden (en kombination af flere forskellige sikkerhedstiltag) og ved bl.a. at:

*  Blokere e-mail svindel angreb fra domæner der ligner originalen eller domæner som er ”spoofed”.
*  Analysere e-mail indhold og “headers” ved at bruge maskinlæring (kunstig intelligens).
*  Aktivere en global e-mails godkendelses politik.
*  Fjerne mistænkelige og uønskede e-mails fra brugernes indbakker (før og efter de er landet i indbakken)
*  Vise godkendelsesstatus på tværs af forretningspartnere og forsyningskæder.
*  Tilbyde træning af brugerne i at opdage og undgå denne type af kriminelle angreb.

Generelle mitigerende mekanismer ligger ofte i 2FA / MFA (Flerfaktor autorisation – fx noget du ved, noget du har og noget du er), ’best in class’ intern e-mail scanning, opsætning af DMARC, DKIM og SPF samt håndtering af ”umulig rejse” hvor afsenderen af den kriminelle e-mail geografisk er placeret på tidspunkter hvor dette i virkelighedens verden ikke er fysisk muligt.

Du kan læse mere om hvordan ProofPoint kan hjælpe din organisation med e-mail sikkerhed og at undgå BEC her