Microsoft’s 365 service including Azure Active Directory (AD), Exchange, and SharePoint
Absec leverer kontekstualisering av identitetsbaserte angrep for en sikrere sky. Siden lanseringen av Cloud Response i fjor har Security Operations Center (SOC) sett en jevn økning i skyangrep. Denne våren har tempoet sparket opp enda mer. Faktisk ser SOC-en vår for øyeblikket ni skyangrep for hvert angrep på endepunktnivå.
Årsaken er enkel: Skyen tilbyr en bredere og enklere angrepsflate enn tradisjonell lokal hacking. Trusselaktører trenger ganske enkelt å signere på samme måte som en vanlig bruker ville gjort. Disse identitetsbaserte angrepene er enkle og relativt lavteknologiske. Angripere kan høste legitimasjon fra dumper fra kompromitterte tjenester eller sende phishing-e-poster for å lure brukere til å gi fra seg legitimasjon.
Dessuten, selv om enkel pålogging (SSO) eksisterer for å lette friksjonen for brukere, gjør det også en angripers liv enklere. Med SSO trenger en angriper bare å kompromittere ett sett med legitimasjon for å få tilgang til et helt sett med tjenester. Økningen i identitetsbaserte angrep har fått oss til å lete etter bedre måter å oppdage dem på, stoppe dem og rydde opp etter dem.
Det er derfor vi i dag kunngjør en banebrytende ny funksjon i Cloud Response for Microsoft 365 som muliggjør alt det ovennevnte: Identity Response for Azure AD. Denne nye funksjonen forbedrer sikkerheten til Microsoft-miljøet og eventuelle tredjepartsprogrammer som er koblet til via Azure SSO-godkjenning.
Bedre kontekst, bedre beskyttelse
Når vi oppdager en ondsinnet pålogging til våre partneres Microsoft-miljøer, deaktiverer vi kontoen for å låse angriperen ute. Det er det vi har gjort hele tiden med Cloud Response. Men nå med Identity Response for Azure AD kan vi også kontekstualisere pålogginger til miljøet, slik at vi kan se nøyaktig hvilket program som er åpnet. Denne ekstra konteksten resulterer i et bedre informert SOC-svar.
Det betyr også at vi kan gi partnerne og sluttkundene våre kritisk kontekst og forståelse av omfanget av angrepet og hvilke data som kan ha blitt avslørt, noe som muliggjør raskere utbedring og veiledning av partnernes og deres sluttkunders revisjons- og skadevurderingsarbeid. Identity Response for Azure AD beskytter også mot angrep som lurer brukere til å godkjenne ondsinnede programmer, slik at angripere får tilgang til en leiers Azure-miljø.
I disse angrepene, kjent som samtykkephishing, blir brukeren bedt om å gi et program tilgang til organisasjonens Microsoft-ressurser. Dette gir programmet (og dermed angriperen) tilgang til et sett med tillatelser, for eksempel tilgang til e-post, kontakter og filer. Med Identity Response for Azure AD vet Blackpoints SOC at påloggingen skjedde via et ondsinnet program, og kan iverksette nødvendige tiltak for å sikre miljøet.
Banebrytende identitetsrespons
Da vi lanserte Cloud Response i fjor, var vi de første til å overvåke Microsoft 365-miljøer og iverksette tiltak på varsler. Med Identity Response for Azure AD viser vi enda et spor, som det eneste selskapet som beriker e-posthendelsene dine i Microsoft 365 med identitetsinformasjon – helt ned til navnet på appen som ble brukt – og plasserer dem foran SOC-en for svar.
Det er ingen vei tilbake fra skyen – ja, det øker angrepsoverflaten, men det forvandler også driften og skalerer virksomheten. Veien fremover er å fortsette den banebrytende utviklingen av beskyttelse, deteksjon og respons på trusler som utnytter denne nye grensen. Bestill en demo for å se hvordan Blackpoint Cloud Response, nå med Identity Response for Azure AD, kan beskytte deg.
Kunnskapsarbeidere og bedrifter drar nytte av hybride arbeidsmiljøer.
Etter to år med fjernarbeid, må bedrifter tilby arbeidsplassfleksibilitet for å konkurrere om topptalenter.
66 % av selskapene som er undersøkt av PwC vil tilby større arbeidsfleksibilitet når ansatte kommer tilbake til kontoret.
Ledere på nettsikkerhet sliter med å sikre arbeidere utenfor selskapets omkrets.
Hybridarbeid krever enhetlig cybersikkerhet.
Hybride- og fjernarbeid har økt risikoen for å lide et malware-angrep med 3.5 ganger.
Hovedårsakene til å ende opp infisert av cybertrusler.
Fraværet av en enhetlig cybersikkerhetsstrategi (37%)
Teknologiske sårbarheter (22%)
Mangel på kunnskap på dette feltet (16%)
Dårlig risikokontrollstrategi (12%)
Sikkerhetsstatus hybrid
I rapporten “Unified Security for a Reconnecting World” takler vi sikkerhetsutfordringene fra ekstern tilgang til bedriftsnettverk. Bedrifter står overfor økt eksponering fra stjålet legitimasjon som nettkriminelle kan bruke for å få tilgang til systemer og selge på det mørke nettet. De kan være mer utsatt for phishing-svindel som gjør det mulig for hackere å få full kontroll over nettverket etter å ha lurt en ansatt til å klikke på en lenke eller avsløre personlig informasjon. I tillegg er programvare som ikke er oppdatert på en ansatts datamaskin eller enhet, lettere utnyttet fra Internett-tilkoblinger hjemme og kan føre til brudd.
Den gode nyheten, praksis som å inkludere flerfaktorautentisering (MFA), kan hjelpe organisasjoner med å implementere hybridarbeid på en sikker måte. MFA er det første trinnet i å erstatte implisitt tillit med evaluert og eksplisitt adaptiv tillit – et imperativ for hybride arbeidsmiljøer. Å opprettholde en sterk og motstandsdyktig sikkerhetsstruktur i dette nye miljøet betyr også å identifisere bedriftsapplikasjoner og validere gruppen brukere som skal ha tilgang til – e-post, skyapplikasjoner, VPN-er, etc. Disse funnene støttes av Pulse-undersøkelsesdata, da de undersøkte teknologilederne sier at de vil bruke MFA (35%), nulltillitsarkitektur (31%) og VPN (23%) som de beste verktøyene for å møte utfordringene i hybridmiljøer.
Implementering Sikkerhet
Implementering av disse sikkerhetstilnærmingene for hybridarbeid risikerer å introdusere for mye kompleksitet for et smidig IT-sikkerhetsteam å ta på seg. I motsetning til dette muliggjør WatchGuards enhetlige sikkerhetsplattform effektive, robuste sikkerhetstjenester, inkludert MFA og nulltillitstjenester som er nødvendige for hybride arbeidsplasser, med plattformverktøyene for økt skala og hastighet. Driftseffektiviteten som følger av en zero-trust-modell levert med enhetlig sikkerhet, gjør det mulig for bedrifter å oppfylle løftet om hybridkontoret samtidig som de håndterer cybersikkerhetsrisikoer.
Absec tilbyr gratis sikkerhetsjekk av bedriftens RISIKO og Sårbarheter. Ikke gå glipp av denne enestående muligheten å utføre risikoreduserende tiltak, jmf GDPR og rammeverks som ISO 27001.
Cyber sikkerhet er et viktig tema for alle virksomheter som håndterer sensitiv informasjon, personopplysninger, betalingstransaksjoner eller andre data som kan være utsatt for angrep fra hackere, virus, ransomware eller andre trusler. I tillegg til å beskytte seg mot potensielle skader, tap eller erstatningskrav, må virksomheter også overholde lover og regler som gjelder for cyber sikkerhet i Norge og i EU. Disse inkluderer blant annet personvernforordningen (GDPR), ekomloven, sikkerhetsloven og sektor-spesifikke regelverk.
I denne bloggserien vil vi presentere noen anbefalte cyber sikkerhetstiltak for virksomheter som er opptatt av å overholde lover og regler, samt høy cyber beskyttelse, med de mest moderne og effektive løsninger. Alt levert fra absec.no, en ledende leverandør av cyber sikkerhetstjenester i Norge.
Del 1: Risikovurdering og policy
Det første steget i å etablere en god cyber sikkerhet er å gjennomføre en risikovurdering av virksomhetens systemer, data og prosesser. En risikovurdering er en systematisk analyse av hvilke trusler som kan påvirke virksomheten, hvor sannsynlig de er, hva konsekvensene kan være og hvordan de kan forebygges eller reduseres. En risikovurdering bør ta hensyn til både interne og eksterne faktorer, samt juridiske og regulatoriske krav.
En risikovurdering vil gi et grunnlag for å utforme en policy for cyber sikkerhet, som er et sett med retningslinjer og regler som definerer hvordan virksomheten skal håndtere cyber sikkerhet på alle nivåer. En policy bør inneholde blant annet:
Mål og prinsipper for cyber sikkerhet
Roller og ansvar for cyber sikkerhet
Krav til systemer, data og nettverk
Krav til opplæring og bevissthet
Krav til overvåking og rapportering
Krav til beredskap og respons
En policy for cyber sikkerhet bør være tydelig kommunisert til alle ansatte og relevante parter, samt oppdatert jevnlig i henhold til endringer i risiko eller regelverk.
Absec.no kan hjelpe deg med å utføre en profesjonell risikovurdering og utvikle en skreddersydd policy for cyber sikkerhet som passer din virksomhets behov og mål. Vi har lang erfaring og kompetanse innen cyber sikkerhet, samt inngående kjennskap til lover og regler som gjelder i Norge og i EU. Kontakt oss i dag for en uforpliktende samtale om hvordan vi kan bistå deg med å styrke din cyber sikkerhet.
Adopsjon av multi-faktor-autentisering blomstrer. Regulatorisk press fra ulike globale initiativer, kombinert med at selskaper gjør det til en forutsetning å bruke tjenestene deres og økningen i implementeringen av zero-trust-modellen, har økt utgiftene til denne løsningen. Vi ser på DNA fra mobilenheter og hvordan øke sikkerheten for bruk av multi-faktor-autentisering.
MFA-markedet anslås å være verdt 12,9 milliarder dollar og forventes å nå 26,7 milliarder dollar innen 2027, med en årlig vekstrate på 15,6% fra 2022 til 2027. Videre har 92% av selskapene i 2022 brukt denne teknologien til minst noen forretningsapplikasjoner.
Selv om dette verktøyet legger til et ekstra lag med beskyttelse for legitimasjon, er det kanskje ikke nok, ettersom nettkriminelle kan omgå det ved å bruke phishing- og sosialtekniske taktikker for å distrahere brukere. Samtidig bruker de teknikker for å hacke MFA-forsvar.
Hva er SIM-bytteangrep, og hvordan fungerer de?
Engangskoder sendt via SMS er allestedsnærværende i eldre MFA-teknologier. I et bytteangrep overtar en ondsinnet aktør den faktiske personens telefonnummer ved å be om at en mobil telekommunikasjonsleverandør kobler dette nummeret til et nytt SIM-kort i deres kontroll.
Først må den ondsinnede aktøren overbevise teleleverandøren om å utføre dette SIM-byttet gjennom sosialtekniske teknikker ved å etterligne den faktiske kunden og hevde at det originale SIM-kortet er skadet eller tapt. Deretter, hvis angrepet er vellykket, vil offerets telefon miste forbindelsen til nettverket, og de vil ikke kunne motta eller ringe.
Når det nye SIM-kortet er installert, kan hackere bruke det til å få kodene som gjør dem i stand til å omgå MFA, tilbakestille kontolegitimasjon og få uautorisert tilgang. For å etterligne offeret sitt, vil hackeren starte med å samle den nødvendige informasjonen. Det er forskjellige ruter de kan ta for å skaffe disse dataene, inkludert sosial manipulering, phishing, skadelig programvare, utnyttelse av informasjon fra datainnbrudd eller forskning på sosiale medier.
Bevæpnet med nødvendig informasjon kan nettkriminelle overbevise mobiloperatøren om å overføre mobilnummeret til et nytt SIM-kort eller utføre prosessen personlig online. I februar i år utstedte FBI en offentlig advarselom økningen i denne typen trusler. Den avslørte at de fra januar 2018 til desember 2020 hadde mottatt 320 rapporter relatert til SIM-byttehendelser, noe som genererte tap på omtrent 12 millioner dollar. Imidlertid mottok de bare i 2021 1,611 SIM-bytteklager med tap på over 68 millioner dollar. Disse tallene viser tydelig behovet for tiltak for å forhindre SIM-bytteangrep.
Mobilt DNA: funksjonen som sikrer forbedret beskyttelse
I dag kan utviklingen av taktikken som brukes av nettkriminelle lure selv de mest cybersikkerhets-bevisste blant oss. En Verizon-rapport sier at menneskelige feil står for 82% av datainnbruddene. Så det er kanskje ikke nok å implementere en tradisjonell MFA-løsning.
WatchGuards AuthPoint-løsning styrkes med en funksjon som garanterer at bare brukeren kan få tilgang til sine online kontoer og eiendeler fra mobilenheten. Den bruker sitt “mobile DNA” for å sikre at personen som ønsker å logge inn eier telefonen. Denne funksjonen forhindrer hackere i å få tilgang ved å bruke SIM-bytte fordi løsningen genererer et unikt DNA for den enheten, slik at ethvert påloggingsforsøk fra en annen mobil vil bli blokkert umiddelbart. I tillegg er vårt DNA godt posisjonert mot utnyttelse av sårbarheter i Signaling System No. 7 (SS7) og SIM-bytte i tråd med den siste CISAS-retningslinjen for multi-faktor-autentisering for å takle phishing. Når en økt er startet, gjenskaper AuthPoint-applikasjonen mobil-DNA og inkluderer det i engangspassord-beregningen (OTP). Hvis noen av de unike egenskapene til mobilenheten skulle endres (for eksempel forsøk på å sette den opp på en annen enhet), ville en ugyldig OTP bli generert, og tilgang ville bli nektet. I tillegg til å forhindre pålogging, er det mulig å vite om en angriper forsøkte å få tilgang til kontoen, ettersom tilgangsgodkjenning og fornektelsesinformasjon logges i kontrollpanelet slik at den når som helst kan verifiseres.
Siden mobil-DNA-et er unikt for hver enhet, kan de migrere tokenet fra en mobil til en annen mens de fortsatt har begge mobile enheter eller be IT-teamet om å generere en ny registrering. Det nye tokenet deaktiverer automatisk det gamle, så det er ingen risiko for at det blir brukt i tilfelle tyveri. På samme måte, hvis ansatte forlater selskapet, kan tokenene deres raskt slettes fra skyen for å forhindre at de autentiserer på et senere tidspunkt. På samme måte er det mulig å erstatte brukere med andre ved personalomsetning, slik at bedrifter kan stole på et bestemt antall lisenser uten å kjøpe nye.
Kort sagt, bruk av mobil-DNA for multi-faktor-autentisering er et sikrere alternativ for å beskytte kontoer. Hvis nettkriminelles avanserte taktikk kan forvirre ofrene deres, vil de ikke kunne villede applikasjonen, som alltid vil gjenkjenne enhetens unike DNA.
I løpet av 2022 har det vært en eksplosiv vekst i trussel vektorer, noe som setter virksomhetene beskyttelsesmekanismer på prøve. Det har vært en økning i antall angrep på skybaserte systemer og lagringsområder, slik at skyen er det neste store målet.
Tiden fra et angrep skjer til det oppdages og rettes opp har økt betraktelig.
Null-dagers angrep har økt.
I dag kommer 50% av angrepene fra avanserte skadevare (APT).
Nettfiske-angrepene fortsetter med sin last av skadevare, flere sofistikerte rettede nettfiske mot bedriftens nøkkelpersonell og sosial manipulering.
Autentisering teknologier som sms og 2faktor er blitt hacket og manipulert.
Det en økende bruk av hjemmebrukere og reisende utenfor bedriften, som har mange enheter og må ha god beskyttelse, hvor enn de er, fortsatt gjelder det å ha på plass brannmur, antivirus &, EDR, web-filter, DNS-sikkerhet, Multifaktor autentisering.
Absec tilbyr en komplett portefølje av sikkerhet fra WatchGuard, som i mer en 20-år har hatt fokus og sin filosofi på smart sikkerhet. Uansett om du er en bedrift med 50 eller 5000 ansatte, har eget datasenter, virtuelt, eller er i skyen, så leverer vi overlegen sikkerhet. I juli lanserte NSS LABS, sin siste og oppdaterte testing av brannmur-leverandører, som er mye tøffere en noen gang. Watchguard var den ene av to som fikk 100% godkjent og grønn prikk, og dette til blant de rimeligste av alle!
NSS Labs Blocked 100% of Evasions in the NSS Labs NGFW Group Test
Watchguard leverer sin skybaserte Wi-Fi aksesspunkter, som de eneste i markedet med patentert IPS-teknologi, som er enkel og smart, for å holde unna angripere, ja vi beskyttere også eksisterende anlegg uten behov for bytte!
Har du flyttet dine data og applikasjoner til skyen, kan du aktivere Watchguard i Azure og AWS, slik at du får 100% beskyttelse der også. Alt av management kan også administreres fra skyen, samt oversikter og varslinger. Vi ser en økende trend med angrep mot skyområder.
For de av kunden som ønsker å drifte selv, tilbyr vi overvåking av sikkerheten, hvor vi analyserer sikkerhetstrusler og gir råd på tiltak. Effektiv måte å holde seg i front og være forberedt i forhold til mulige angrep.
Vi leverer et komplett skybasert opplæringsverktøy på brukerbevissthet og simulert phishing. Systemet er smart og brukertilpasset den enkeltes behov. GAP-analyse av hver ansatt og mulige risiko-områder, basert på nivå og epost.
Vi støtter oss til etablerte standarder og normer innenfor sikkerhet, blant annet; NIST, SANS, GDPR, ISO27001/05.
Absec tjenester;
Proaktivt eller Reaktivt?
Operere reaktivt, så håndteres hendelsene når de oppstår, med de konsekvenser det får. Bedrifter er uforberedt og må omprioritere resurser, samtidig som de får økte kostnader i en gitt periode med kostbare nødssituasjonene, noe som kan påvirke kontantstrømmen, driften, merkevaren, bildet og kunderelasjonene negativt, og skape spenning mellom dem og deres reaktive sikkerhetsleverandør.
Absec proaktive sikkerhetstjeneste, som kontinuerlig og raskt håndterer trusler, samt utbedring av trusler, til en lavere kostnad enn hva reaktiv “etter hendelsen” håndtering vil være, samt oppnå sterkere holdning for å redusere innsidesvindel og tyveri, sammen med å gi beskyttelse mot datalekkasje.
I tillegg til en klar og effektiv prosess med å identifisere og raskt håndtere sikkerhetshendelser, oppnår du trygghet og forutsigbare månedlige utgifter.
Velg mellom våre tjenester:
Alle tjenester administreres og korrelerer med hverandre før økt sikkerhet.
Siste kommentarer