Digitale signaturer må bruke MFA

Digitale signaturer brukes i økende grad i bedrifter og offentlige administrasjoner. Men uten tilstrekkelige cybersikkerhetstiltak kan denne metoden være en vektor for nettkriminelle og svindlere. Gjennom sosialteknikk kan de lure underskriver/ofre til å tro at et dokument er legitimt. Deres signatur kan få autorisasjon til å utføre andre operasjoner uten deres samtykke, blant mange andre ondsinnede aktiviteter. Så, hvordan kan vi unngå dette? ‎

‎Elektroniske kontra digitale signaturer

‎For det første er det viktig å skille mellom‎‎ begrepene elektronisk eller e-signatur og en digital signatur‎‎ fordi cybersikkerhet spiller en nøkkelrolle i deres differensiering. Selv om mange medier og kilder bruker disse begrepene om hverandre, er faktisk alle digitale signaturer elektroniske, Men‎‎ ikke alle e-signaturer er digitale‎‎. ‎

‎I teorien er formålet med e-signaturer å verifisere ektheten av dokumentet. Men digitale signaturer går utover det. De er en bestemt type e-signatur som gir ekstra sikkerhet. I tillegg til å sikre ektheten av dokumentet, bruker de standardiserte kryptografiske metoder som digitale sertifikater (f.eks. SSL). Dette for å sikre at ingen tredjeparter forstyrrer prosessene. En eller annen form for flerfaktorautentisering (MFA) må inkluderes for å tilby de høyeste sikkerhetsgarantiene om at underskriverne er legitime. Disse må være innlemmet i DSCer (Digital Signature Certificates) på et bestemt cybersikkerhetsnivå. ‎

Sikkerhetsnivåer

‎Digitale signatursertifikater er delt inn i tre kategorier: ‎

Klasse 1 (DSC1): Dette representerer et grunnleggende sikkerhetsnivå, da de bare valideres via e-post og /eller passord. Derfor er de ikke egnet for bruk med juridiske dokumenter og er bare gyldige for miljøer og dokumenter med svært lav risiko. ‎

Klasse 2 (DSC2): Dette er det vanligste sikre nivået for signering av dokumenter. I dette tilfellet verifiserer den ektheten av underskrivere mot en forhåndsetablert database der signataren ble bekreftet tidligere ved registrering. Og i økende grad har et ekstra lag med verifisering for å sikre at signataren er den opprinnelige signataren som er registrert. ‎

‎Klasse 3 (DSC3): Dette er det høyeste sikkerhetsnivået, men også det minst praktiske, da det krever at en organisasjon eller tredjepart er til stede for å bekrefte signatarens identitet før signaturen. Av denne grunn har bruken en tendens til å være begrenset til juridiske dokumenter der konsekvensene av et sikkerhetsbrudd kan være svært farlige. ‎

‎For de aller fleste dokumenter for organisasjoner bør en DSC2-sertifisering være tilstrekkelig. Prosessene som krever DSC3-sertifisering generelt er for kostbare når det gjelder ressurser og tid. ‎

‎Det er imidlertid viktig at disse DSC2-sertifikatene inkluderer en ekstra bekreftelsesmetode. Husk at ‎‎61% av datainnbrudd involverte offerets legitimasjon‎‎. Hvis nettkriminelle har fått denne legitimasjonen, kan de bruke et tidligere innhentet digitalt sertifikat. Men hvis organisasjonen har en annen metode for verifisering, for eksempel ‎‎en MFA-tjeneste som er lett håndterbar og svært sikker‎‎, vil det redusere sjansene for at dokumenter blir manipulert betydelig. I denne forstand har ‎‎de mest avanserte løsningene‎‎ ekstra MFA-beskyttelse på selve mobiltelefonene, for å sikre at de er autoriserte enheter og dermed forhindre angripere i å kunne bruke klonede telefoner.

Anbefaling

Absec anbefaler virksomheter til å bruke vår månedlige MFA-abonnementstjeneste eller kjøp av 1- og 3-års lisenser, som enkelt rulles ut til brukere, via en sikker MFA-app til mobiltelefonen. Vi benytter en-gangs pålogging (SSO) fra PC og Mac, til alle tjenester via SAML med støtte for et stort antall 3dje-parter, og det gir enklest og god brukeropplevelse. Ved hver pålogging sendes et varsel til mobilens MFA-app, fra hvor og hvem, som må bekreftes eller nektes.  Uten nettforbindelse f.eks på fly, benyttes QR-kode for å logge in på PC og Mac. Vi bruker GEO-inngjerding og autentiserings-rammeverk, som gir god kontroll og sikkerhet.

Ta gjerne kontakt for en uforpliktende samtale!

Topp 4 ondsinnede domenehendelser i 2021

Nettkriminelle bruker i økende grad ondsinnede domener som en angrepsvektor. Vår ‎‎Internet Security Report Q1 2021 ‎‎oppdaget allerede en 281% økning i antall domener blokkert av DNSWatch i løpet av forrige kvartal, og det har vært betydelig aktivitet det siste året med slike lenker som utnytter interessen for COVID-19. ‎

Absec tilbyr profesjonelle løsninger for alle typer av virksomheter. Fra virksomheter som vil ha administrerte sikkerhetstjenester, til virksomheter som har egen sikkerhetsavdeling, så leverer vi løsninger av høy kvalitet. Vi anbefaler alle til å ha en eller annen form for Sikkerhet som en tjeneste/ SECaaS og Administrerte Sikkerhetstjeneste/Managed Security Service. Vå ultimate sikkerhetspakke består av 24/7 – administrert sikkerhetstjeneste, som overvåker, oppdager og stopper hackere før de til og med kan bevege seg. Blackpoints 24/7 MDR holder deg ett skritt foran.

Amedia

Nortura

GCM

Østre Toten Kommune – 33Mill reparasjon + 4Mill forelegg Datatilsynet (minus16Mill i statsstøtte)

Aqva Group

Hurtigruten

Norks Hydro – 500Mill reparasjon.

‎Spionasje, nettfiler, banker og sosiale medier

‎For noen dager siden kunngjorde Microsoft at de hadde deaktivert 42 ondsinnede domener opprettet av den kinesiske APT-15 cyberspionasjegruppen. Gruppen lurte medlemmer av offentlige og private organisasjoner, tenketanker og frivillige organisasjoner relatert til menneskerettigheter gjennom lenker som slapp inn skadelig programvare når intetanende brukere klikket på dem, slik at gruppen kunne få tilgang til servere og få privilegert informasjon om kinesiske industrielle og geopolitiske interesser. Analytikere mener at dette var en del av en massiv cyberspionasjekampanje fra Kina. ‎‎

Andre store domenehendelser i år har involvert legitime og kjente nettsteder som blir kompromittert. For eksempel ble det i juli oppdaget at archive.org-portalen (kjent for “Way Back Machine” -søkemotoren for gamle nettsteder) hadde et ondsinnet PowerShell-skript satt inn i en av sidene sine med en laster som inneholder AgentTesla-skadelig programvare fra Aggah, som er koblet til den pakistanske APT-gruppen Gorgon. Forskere spekulerer i at portalsidene ble brukt som verter for skadelig programvare og deretter brukt i påfølgende cyberangrep. ‎

Phishing

‎Phishing er en annen av teknikkene som vanligvis brukes av disse koblingene, og bankindustrien er vanligvis blant de mest berørte fordi gevinstene som kan oppnås er svært høye hvis cyber-angripere klarer å få tak i kundepassord. Flere kunder av Chase Personal Banking var ofre for en kampanje av denne typen: de mottok en falsk e-post med meldingen “Kredittkortutskriften din er nå tilgjengelig” og en lenke som førte til en falsk destinasjonsside som ba om bankdetaljene deres. Denne hendelsen skiller seg ut som e-posten med disse falske koblingene klarte å omgå spamfiltrene til Microsoft Exchange Online Protection og Microsoft Defender for Office 365. ‎

Facebook

‎Facebook har også vært en kanal for bruk av ondsinnede domener de siste månedene. I dette tilfellet brukte hackere profesjonelle Facebook-kontoer for å plassere annonser som førte til domener som fungerte som program-laster for CopperStealer-skadelig programvare. Når den er injisert, stjeler skadelig programvare legitimasjonen til ofrene, hvor deretter nettkriminelle bruker systemene sine som en kilde for ytterligere cyberangrep. ‎

Anbefalte fremgangsmåter og brannmurer ‎

‎Alle eksemplene ovenfor relatert til ondsinnede domener viser at cyberangripere bruker stadig mer sofistikerte manipulasjons-teknikker: Ikke bare lurer de brukere, men også, som Chase-svindelen for personlig bank phishing viste, klarer de noen ganger å omgå bredt distribuerte cybersikkerhetsløsninger, for eksempel de som leveres av Microsoft. ‎

‎Av disse grunnene bør virksomheter neste år planlegge å implementere ‎‎avanserte nettverksbeskyttelsesløsninger‎‎ som inkorporerer ‎‎neste generasjons brannmurer‎‎. Utstyrt med disse løsningene, vil de kunne blokkere mistenkelige lenker på en automatisert måte og til og med oppdage kryptert skadelig programvare som kan sirkulere på nettverkene deres, alt administreres veldig enkelt i et sentralisert system. ‎

‎Ved hjelp av disse verktøyene er det god praksis for MSP-er og IT-team å generere lister over pålitelige nettsteder og kategorisere emner som har større sannsynlighet for å ha farlige lenker, og som vanligvis ikke er relatert til selskapets profesjonelle aktivitet (for eksempel gamblinghus eller kryptovalutaer). ‎

‎I tillegg bør ansatte motta grunnleggende cybersikkerhetsinstruksjon om nettsurfing og e-post, for eksempel å ikke åpne ukjente lenker eller vite hvordan de identifiserer potensielt mistenkelige lenker. ‎

Hvis du vil lære om andre cybersikkerhetstrender, kan du sjekke ut våre ‎‎cybersecurity-spådommer for 2022‎‎. ‎

Absec tilbyr profesjonelle løsninger for alle typer av virksomheter, ta gjerne kontakt for en uforpliktende samtale på telefon 22 99 29 32.

Cyberangrep og nettsikkerhet!

Å vite hvor påloggingsforsøk kommer fra, er nøkkelen til MFA!

Cyberangrep innen geopolitikk spiller en stadig viktigere rolle. 2020 var et intenst år hvor pandemien ble brukt til desinformasjonskampanjer, og det var alvorlige hendelser forårsaket av grupper knyttet til utenlandske makter. En av de mest slående tilfellene i 2021 skjedde i forrige måned: Den tyske regjeringen har avslørt at den har “pålitelig informasjon” om at nylige cyberangrep mot medlemslandene i EU er arbeidet til russiske “aktører” knyttet til GRU og russisk etterretningsbyrå. ‎

‎Denne cyberkampanjen har blitt kalt “Ghostwriter” og målrettet seg mot “mange parlamentsmedlemmer, regjeringsrepresentanter, politikere, medlemmer av pressen og sivilsamfunnet i EU” ifølge ‎‎en pressemelding utstedt av Det europeiske råd‎‎. Hackerne brukte phishing-e-poster for å få legitimasjon, få tilgang til systemene sine og stjele informasjon. ‎

Avansert vedvarende trussel-grupper (APT) ‎

‎I dette scenariet ‎‎blir det stadig viktigere å beskytte brukerlegitimasjon‎‎. For noen uker siden påpekte vi at passord fra selskaper som har blitt lekket til det mørke nettet, hadde skutt opp med 429% siden i mars i fjor. ‎

‎Men utover disse massive lekkasjene der ondsinnede cyberaktører legger store mengder data ut for salg, viser tilfeller som Ghostwriter at statskoblede og svært målrettede APT-grupper også utgjør en alvorlig risiko for sikkerheten til en organisasjons legitimasjon. ‎

‎Disse hackerne har ressurser til å undersøke potensielle ofre og deres arbeidsmiljøer individuelt. Etter å ha utført denne foreløpige forskningen, bruker de sosialtekniske metoder som spydfisking, der de klarer å forvirre målene sine ved å simulere identiteten til andre kolleger, IT-teamet eller til og med deres overordnede (i såkalt “CEO-svindel”). Ved å bruke denne metoden kan de lure dem til å få legitimasjon, selv om brukerne er kjent med cybersikkerhetspraksis. ‎

‎Ettersom slike sofistikerte trusler kommer fra utlandet, reiser dette spørsmålet om hvordan organisasjoner og stater kan beskytte seg mot brudd og cyberangrep fra spesifikke geografiske områder? Et av svarene på dette spørsmålet er ‎‎godkjenning med flere faktorer med digital geo-lokasjon‎‎. ‎

‎MFA med retningslinjer for digital geo-gjerde-risiko ‎

‎Politikere, tjenestemenn og andre relevante personer som er berørt i Ghostwriter-kampanjen, kunne ha unngått hendelsen hvis organisasjonene deres hadde distribuert cybersikkerhetsverktøy som ga spesifikke digital geo-inngjerding-tiltak mot tilgangsforsøk fra Russland, gitt deres merittliste. ‎

‎Men disse digital geo-inngjerdings-tiltakene må kombineres med avanserte flerfaktorautentiseringsløsninger (MFA) som tilbyr risikobaserte autentiseringsfunksjoner for å sikre at den som oppgir legitimasjonen for å logge på systemet, er en legitim bruker eller ansatt. ‎

‎I denne forbindelse gir Absec MFA Autentisering et avansert ‎‎sikkerhetslag ved hjelp av risikobasert godkjenning‎‎ for å bestemme faktorer når du utfører en godkjenningsavgjørelse. Administratorer kan for eksempel aktivere retningslinjer for geo-gjerde-risiko (veldig enkelt ‎‎via Absec Cloud‎‎) for å sikre at tilgang bare skjer i autoriserte geografiske områder, selv om den kommer fra tilsynelatende legitime enheter. ‎

‎Det gode med risikobasert godkjenning er at det tar hensyn til risikofaktorer når du utfører en godkjenningsbeslutning. Det går utover en statisk godkjenning, slik at administratorer kan opprette regler som kan endre godkjenningsvirkemåten, noe som noen ganger gjør det enklere hvis risikoen er lav. eller be om ytterligere trinn for å sikre at dette er riktig bruker, og blokkere tilgangen hvis risikoen er for høy, selv om brukeren ga et riktig engangspassord (OTP). ‎

Økt verdi til kunder av administrerte tjenester (MSP) ‎

‎Absec kan tilby kundene økt sikkerhet i autentiseringsprosessene sine gjennom ‎‎push-varsler som inkluderer digital geo-lokasjon‎‎. Dette gjør det mulig for både administratorer ‎‎og brukere å vite i detalj hvor forespørselen kom fra‎‎. Dette reduserer sannsynligheten for at utenlandske APT-grupper får tilgang til systemene sine, selv om de tidligere har klart å få legitimasjon.