Da var det nye rapporter, og ikke overraskende er det mye same same. Verden går fremover, vi blir alle mer opplyste, bevisste og sikkerhetsfokuserte, men vi har fortsatt mye å gå på.
Det er noen justeringer, men i hovedsak vil de samme tiltakene fortsatt gjelde, og samtidig mangle hos veldig mange. Til og med “gratis” lavhengende og effektive tiltak uteblir, og det er meget fortvilet.
Som teknolog liker jeg å grave meg litt ned i hvordan angrep foregår, rent teknisk, for dermed å kunne vite hva som kan/bør/må gjøres for å sikre best mulig, noe jeg hjelper kunder med å implementere, men også bevisstgjøre. Det handler først og fremst om mennesker, alltid.
NSMs Risikorapport 2025, synspunkter
Som teknolog innen cyber domenet, fokuserer jeg på delen om “Det digitale risikobildet”
Det innledes med litt historikk og hendelser, der mye er likt, det er noen sjeldne hendelser (heldigvis) og noen “nye” varianter.
Nulldagssårbarheter
Det er kanskje ikke fint å kverulere på en slik rapport, men det må være lov å piske litt.
“Nulldagssårbarheter er vanskelige å beskytte seg mot.“
Skulle det her kanskje stått “Det er vanskelig å beskytte seg mot misbruk av nulldagssårbarheter”?
En sårbarhet er vel i seg selv ikke farlig, i seg selv, så man trenger vel ikke å beskytte mot sårbarheten. Skulle sårbarheten derimot misbrukes er det verre, naturligvis, og en nulldagssårbarhet finnes det jo på det tidspunktet ingen fiks for.
Men… Og det er et stort men. Jeg ser altfor ofte at sårbarheter, og nulldagssårbarheter, blir misbrukt fordi den lagvise sikkerheten er svak. Gang på gang ser jeg enkle tiltak som ville hindret misbruk av sårbarheten, selv når det er nulldagssårbarheter.
Og, hvor går grensen for hva man kan si. La oss si at noen klarer å utnytte en sårbarhet, så er ikke det typisk det endelige målet for operasjonen, slik at den totale hendelsen kan så og så alltid avverges, men da må mennesker på jobb og utføre gode installasjoner med lagvis sikkerhet, uansett om det er i egne datasenter, i skyen, eller hos leverandører.
“Sårbarheter forekommer sjeldent alene“. Sitat John Bothner fra NSM
Jeg har skrevet om dette før:
Løsepengeangrep
Atter en gang tar denne førsteplassen.
Dette temaet har jeg skrevet om mange ganger, på forskjellige måter, med mål om å forenkle og hjelpe:
- Alle MÅ anta ransomware for å overleve. 100%
- Kjære ledelse. Adressér den største trusselen
- Ransomware vs løsepengevirus vs løsepengeangrep
I tillegg har jeg skrevet en webside der jeg prøver å synliggjøre det jeg vil kalle de 4 fasene av et løsepengeangrep, veien inn, intern kommunikasjon, utgående kommunikasjon og kryptering. Basert på disse 4 fasene har jeg prøvd å liste opp gode tiltak per fase for å bli mer motstandsdyktig:
Når man jobber ute i felten, ser man mange forskjellige installasjoner, og fellesnevneren er at de alle mangler flere grunnleggende tiltak, som ofte ikke krever innkjøp av ny teknologi, som ofte ikke tar mye tid å implementere, og som vil ha proaktiv, preventiv og langtidsvirkende effekt. Mange av tiltakene er faktisk engangsjobber som bare handler om prioritering i et årshjul. Tenk, enkle og billige tiltak som man blir ferdig med, og som har stor langtidseffekt og mange positive ringvirkninger.
Det er 3 typiske veier inn, og en av dem er fortsatt ikke fikset
Phishing har vært på toppen i mange år, det er skapt stor oppmerksomhet på området, og kunder sikrer seg en bedre e-post sikkerhet, endepunktsikkerhet har blitt bedre, det er endrede og bedrede tiltak innenfor e-post, og det kjøres bevissthetstreninger på ansatte hele tiden. Dermed vil effekten av phishing gå ned.
Innlogging på tjenester med lekkede eller gjettede innloggingsdetaljer har blitt vanskeligere fordi det er innført flerfaktorautentisering i mye større grad.
Misbruk av sårbarheter har av flere nå vist seg å bli den mest brukte metoden for å komme inn i den senere tid. For hvilke anbefalinger har markedet fått for å bedre seg på dette området annet enn å patche???? Mens de to andre metodene har fått mer motstand med proaktive og preventive tiltak, er misbruk av sårbarheter et punkt som på en måte ikke har fått noen bedrede tiltak. Det er derfor jeg pusher Least Privilege så mye, fordi jeg ser i hendelser der sårbarheter har blitt misbrukt at hendelsen kunne vært avverget, selv med en nulldagssårbarhet. Man MÅ bygge bedre lagvis sikkerhet for å ha en større motstandskraft mot misbruk av sårbarheter, og det er som oftest meget enkelt å adressere. Anbefalingene her må være mer spissede slik at markedet beskytter seg bedre, både fra internett og inn, men også internt, fordi misbrukene skjer alle steder, i eget datasenter, i skyen og hos leverandører.
Det er litt som jeg skriver i Alle suksessfulle hendelser kunne vært unngått
Angriper-i-midten
Basert på info jeg har, så har dette tatt seg opp ganske kraftig de siste 3 årene. Denne type teknikk benyttes både for å utøve løsepengeangrep, men også for svindel, som skjedde hos NRK:
Dette er en teknikk som alle må beskytte seg mot, fordi alle er på målskiven til drittsekkene (la oss kalle dem det de er, kriminelle, cyberkriminelle, aktører, trusselaktører).
“Alle” har tilgang til Windows Hello for Business, men altfor få har det pt implementert. Dette verktøyet er mao gratis for de aller fleste, og innehar viktige funksjoner som ikke bare sikrer mot denne angrepstaktikken, men i tillegg også bedrer brukeropplevelsen. Hvor mange sikkerhetstiltak har man opplevd som bedrer brukervennligheten?
FIDO2 autentisering kalles phishingresistant MFA, og anbefales sterkt av Nasjonal sikkerhetsmyndighet:
Her er en LinkedIn gruppe for de som ønsker å delta i diskusjonen, dele informasjon og lære om dette temaet:
Nasjonal sikkerhetsmydighet anbefalinger
Mine anbefaliner, i eget datasenter:
- Begrens inngående regelsett med Least Privilege. Dette gjør jeg hver eneste uke hos mine kunder, og det gir umiddelbar synlig effekt til kunders store smil. Man ser i loggene at uvedkommende hele tiden prøver å misbruke sårbarheter via tillatt trafikk. Etter optimalisering forsvinner loggene fordi trafikken blir sperret.
- Begrens utgående kommunikasjon for tjenester, servere, applikasjon og andre kritiske systemer med Least Privilege. Kjør VG testen for å sjekke om dere er sårbare på dette punktet.
- Det gir meg mye vann på mølla når jeg får høre fra CERT’er at flere kjente hendelser kunne vært unngått bare ved å adressere dette punktet, allikevel mangler dette tiltaket hos de aller fleste, selv om det koster veldig lite tid, er proaktiv og veldig effektivt. Men det blir stadig bedre.
- Jeg: «Hvor lang tid tok det dere å adressere VG testen for domenekontrolleren?»
Kunden: «Under en halvtime»
Mine anbefalinger, i skyen og hos leverandører:
- Om det er IaaS, Infrastructure as a Service, vil tiltakene være mye de samme som over.
- Om det er SaaS blir dette mye mer komplisert, og man kan starte med å revidere leverandørkjeden. Her vil det være en miks av hvem som forvalter tjenesten, så det er flere veier til rom. Et hjelpemiddel er å gjøre Leverandørkontroller for å avdekke sårbarheter, forbedringspunkter og kvaliteter.
I tillegg repeterer Nasjonal sikkerhetsmyndighet sine anbefalinger:
- Erstatt SSLVPN/WebVPN med sikrere alternativer
- Overgang til phishingresistent autentisering
Når det gjelder det siste punktet så er det soleklart.
Når det gjelder SSLVPN/WebVPN, så har jeg skrevet om det tidligere her:
Jeg ser ingen tegn til at markedet etterlever denne anbefalingen, fordi det på mange måter ikke er en anbefaling man kan følge mtp de reelle behovene der ute. Det man heller burde gjøre er å se på den helhetlige sikkerheten, med lagvis sikkerhetstankegang, og ha høy respekt for de gjentagende sårbarhetene som oppstår på disse nevnte teknologier, for nærmest alle produsenter. For det er mulig å ha slike løsninger, selv når de får en sårbarhet, uten at det vil være krise. Dette er omtalt flere steder i denne artikkelen.
Konklusjon
Det er som sagt mye same same, både når det gjelder trusselbilde, teknikker og anbefalte tiltak, med unntak av “angriper-i-midten”. Prioriteringen må være å få på plass de grunnleggende tiltakene, som har vært anbefalt i årevis, men som fortsatt ikke er på plass, og da nevner jeg her ting jeg ser at blir misbrukt i flere kjente hendelser:
- Misbruk inngående.
- Begrens angrepsflaten for å redusere sannsynligheten for misbruk av sårbarheter. Gjør tilgangskontroll på URL nivå.
- Øk visibiliteten, med bl. a dekryptering, som vil øke verdien av deres IPS i brannmuren for bedre beskyttelse mot misbruk av sårbarheter
- Misbruk internt i datasenter, både i eget og i skyen.
- Øk visibiliteten.
- Øk segmeneringen.
- Bedre Least Privilege tilgangskontroll.
- Ha et strengene patcheregime.
- Begrens hvem som har tilgang til RDP mot hva, fordi dette er en primært bevegelsesvektor
- Sikre at MFA er på plass også internt, først og fremst for administratorer, og deretter for alle brukere.
- Misbruk utgående.
- Adressér VG testen
- Aktiver dekryptering for bedre synlighet, som igjen gir bedre mulighet for beskyttelse mot suksessfulle phishingangrep, datalekkasje og krypteringsvirus
- Sikre at DNS sikkerhet er konfigurert optimalt og det alltid er aktivt for brukerne, uansett hvor de måtte befinne seg. Stor effekt mot phishing.
- Kryptering
- Ingen ønsker backup for backup. Det er behov for evne til å gjenopprette etter en hendelser
- Sikre at backup overlever kryptering
- Øv på hendelser
- Øv på gjenoppretting
- Om backup er tjenesteutsatt, verifiser, verifiser, verifiser….
- Vil den overleve kryptering hos leverandøren?
- Hvor lang tid vil det ta å gjenopprette systemer og data i eget datasenter, eller i skyen?
I tillegg må man adressere AitM (Adversary in the Middle, Angriper-i-midten) med nødvendige tiltak, som i hovedsak ikke krever ny teknologi, med unntak av et eventuelt ønske/behov for FIDO2 nøkler. Disse tiltakene er i hovedsak en engangsjobb,.
Leave a Reply