NSM viser et eksempel på en hendelse:

Sosial manipulasjon er en av mest brukte initielle taktikkene som benyttes. Eksempelet er basert på en virkelig hendelse og viser med det virkeligheten der ute. Om man bare leser kjapt igjennom tenker kanskje mange at dette er det vanskelig å beskytte seg mot, men som NSM påpeker vil flere tiltak kunne bidra til å forhindre suksess for de kriminelle i slike hendelser. NSM viser til elementer i sine «Grunnprinsipper for IKT-sikkerhet».

Hvilke tekniske tiltak kunne påvirket dette?

Dette angrepet starter med legitim kommunikasjon på LinkedIn. Vanskelig å gjøre noe teknisk her. Deretter går de over til en annen legitim kommunikasjonskanal, WhatsApp, som mange bruker både i jobb og privat.

#1. Endepunktsikkerhet

Det første jeg reagerer på er skadevaren som sendes over og ikke blir sperret på endepunktet. Endepunktsikkerhet er ikke endepunktsikkerhet har jeg skrevet om før.

Veldig mye teknologi krever en god del arbeid for å settes opp på en god og sikker måte. Anti Virus på endepunkt har for de fleste vært plug’n play i alle år. Med evolusjonen fra tradisjonell anti virus til mer avansert endepunktsikkerhet vil det kreve mer for å få god sikkerhet.

Det kunne vært veldig spennende å få en statistikk over hvilken endepunktsikkerhet som er benyttet ved forskjellige hendelser. At de fleste har Microsoft er en gjetting og antagelse jeg har, da Microsoft er store.

#2. Administratorrettigheter på PC

I tillegg er spørsmålet hvor bra sikret endepunktet var på generelt grunnlag. Har brukeren administrator rettigheter på sin PC? For installasjon av skadevaren burde vært stoppet basert på rettigheter på PC.

#3. Deteksjon og sperring av bakdør i brannmur

Etter at skadevaren er installert på PC er det meget sannsynlig at en bakdør åpnes, altså at skadevaren setter opp en utgående sesjon til de kriminelles teknologi for fremtidig kommunikasjon. Det er naturlig å tro at denne kanalen benyttes for datalekkasje om brukernavn og passord, og kanskje mer informasjon.

DNS sikkerhet, i brannmur og hos navnetjener

Når skadevaren har gått forbi endepunktsikkerheten, og brukeren har administrator rettigheter, kan den installeres. Deretter er det meget sannsynlig at den vil sette opp en utgående sesjon. For å vite hvor den skal er det sannsynlig at den vil gjøre en navneforespørsel mot den interne DNS tjeneren. Her er det flere ting som kunne bidratt til å stoppe dette.

DNS sikkerhet i brannmuren er en mekanisme som jeg har testet suksessfullt mange ganger når jeg har klikket på linker i phishing e-poster, da ting har blitt sperret på DNS nivå. Har også sett det samme i angrep hos kunder at DNS sikkerheten i Next Generation Firewall oppdager kommunikasjon fra skadevare og dermed kan sperre dette.

Deretter er det strategisk valg av ekstern navnetjener. Den interne DNS serveren må snakke med en offentlig navnetjener for å få informasjon, og her er det forskjeller. Dette har jeg også skrevet om, da en DNS navnetjener ikke er en DNS navnetjener. Alle tjenester der ute har ikke sikkerhet i seg mtp å kunne sperre noe slik som dette, mens noen har det. Viktig å verifisere dette. Dette er meget enkelt å gjøre noe med, og kan ha stor sikkerhetseffekt.

URL sikkerhet i brannmur

Om navneoppslaget ikke blir sperret, vil PC’en få tilbake IP adressen til destinasjonen de kriminelle ønsker kommunikasjon med. Det gjør at klienten mest sannsynlig setter opp en https/web forbindelse for å åpne en kanal for datalekkasje. En moderne URL sikkerhet satt opp i tråd med gode anbefalinger burde være i stand til å sperre denne kommunikasjonen. Jeg har selv sett dette fungere som det skal vel å klikke på phishing e-poster, samt at jeg har sett det fungere i angrep hos kunde.

Anti-Spyware sikkerhet i brannmur

En moderne brannmur har mange lag med sikkerhet i seg, og en av disse funksjonene er Anti-Spyware som har til hensikt å detektere mistenkelig og skadelig aktivitet i selve kommunikasjonen.

#4. Multifaktor autentisering på verdier

Generell risikovurdering vil fokusere på verdiene. NSMs GP for IKT-sikkerhet kapittel 1 heter «Identifisere og kartlegge». Fokuserer man på verdiene, og derfra sikrer sentralisert tilgangskontroll via en SSO (Single Sign-On), vil MFA (Multi Faktor Autentisering) være helt naturlig. At det her mest sannsynlig har eksistert en portal på internett uten MFA vil jo være en stor sårbarhet som dessverre eksisterer for mange

#5. Always-On VPN

En bruker har i dag mest sannsynlig en bærbar PC. Denne oppholder seg mesteparten av tiden utenfor kontorets lokaler. I tillegg viser eksempelet her at man aldri skal kunne stole på en PC. Derfor bør heller ikke en PC noensinne være på den «liberale» innsiden av brannmuren. Den liberale innsiden som gjør at mange senker «guarden» bl.a mtp MFA. Klienter bør alltid behandles som usikre, og bare eksistere på «usikre» nettverk som internett, gjestenett, hjemmekontor, flyplass, hoteller, konferanser, ferie, kundemøter, osv. Å ha to sikkerhetsregimer for endepunkter er å gjøre seg selv en bjørnetjeneste og noe man burde slutte med. Én løsning, uansett hvor man fysisk befinner seg.

Alle moderne brannmurer har denne tekniske egenskapen i seg, og er derfor noe alle burde ta i bruk. Always-On VPN er brukt av mange i mange år, og med pandemien økte denne bruken betraktelig.

Mange ser på VPN kun som en fjernaksessløsning, mens dagens konsept med Always-On handler om at PC’en alltid kommuniserer igjennom foretakets moderne brannmur med alle sikkerhetsfunksjonene, hele tiden, uansett hvor man fysisk måtte befinne seg. Man vil da, i tillegg til endepunktsikkerheten alltid få DNS sikkerheten i brannmuren, man vil alltid kjøre DNS igjennom intern navnetjener, som igjen vil gå igjennom en ekstern navnetjener med sikkerhetsfunksjoner som kan bidra til å stoppe dette. Man vil få URL sikkerheten til brannmuren, alltid. I tillegg vil brannmuren evne til å detektere og stoppe spionvare med sin Anti-Spyware funksjon også bidra.

#6. Logging og overvåking

Å sentralisere logger på et sikkert sted og sikre at noen med riktig kompetanse overvåker disse kan og vil mest sannsynlig bidra til at hendelser oppdages tidlig, og da forhåpentligvis på et så tidlig tidspunkt at liten til ingen skade faktisk har skjedd.

Konklusjon. Det er «gratis»

Ingenting er gratis. Men teknologien som trengs for å skape denne bedrede sikkerheten har de fleste allerede på plass, kanskje med unntak av loggingen og overvåkingen.

Å fjerne administratorrettigheter på PC er en gammel og god anbefaling, men viser seg ofte å være trøblete å realisere.

Å bare godkjenne kjøring av godkjente applikasjoner på PC’er er også gratis teknologisk sett, men er også noe man altfor sjelden ser bli benyttet.

Lavthengende frukter

Å sikre at man har en endepunktsikkerhet som er satt opp i tråd med de beste anbefalinger burde være en liten jobb. Å verifisere om produktet man bruker er bra opp i mot Mitre, som jeg har skrevet om tidligere, er også noe man bør vurdere.

Optimalisering av din brannmur, som jeg jobber med hver eneste dag, er en meget lavthengende funksjon og god sikkerhetsverdi. Her opplever jeg store mangler de aller fleste steder jeg jobber, og er noe jeg adresserer veldig tidlig i prosessen med optimaliseringen. Dette gjelder DNS sikkerhet, URL sikkerhet, Anti-Spyware oppsett og ellers generell tilgangskontroll.

Valg av en god navnetjener for flere lag med sikkerhet er ekstremt enkelt og fort gjort å gjøre noe med. Se her for informasjon.

De aller fleste har allerede en VPN løsning kjørende. Denne er for de fleste primært brukt for fjernaksess. Det burde være raskt og enkelt å bare aktivisere Always-On, som regel bare en eneste variabel som endres fra manuelt til automatisk (gjorde dette for en kunde for et par uker siden uten problem).

Sentralisert tilgangskontroll for portalen. Mange har allerede en SSO tjeneste på plass. Har man ikke dette kan dette relativt enkelt aktiviseres selv uten eget datasenter med eget Active Directory, da dette kan etableres med SaaS tjenester. MFA vil være en naturlig del av en slik løsning.

Kunne skrevet enda mer, men tenker dette holder for denne gang.