3 sikkerhetsstrategier som vil øke ansattes produktivitet
Sikkerhet og produktivitet er to viktige satsingsområder for enhver bedriftsleder. Med dagens trender innen cybersikkerhet og eksternt arbeid, ønsker bedrifter å gi tilgang til funksjoner som den digitale arbeidsstyrken trenger, med minimal innvirkning på opplevelsen og minimal risiko.
I søken etter en god balanse mellom datasikkerhet og produktivitet, er bevissthetstrening om cybersikkerhet nok? Noen synes til og med det er en utfordring.
my biggest challenge is to provideing cyber training & awareness. – VP, large finance company
Men hva om vi så på å investere i teknologier som adresserer sikkerhet og driftseffektivitet samtidig? I en nylig undersøkelse av 300+ teknologiledere rangerte respondentene cybersikkerhet som topp prioritet for IT-utgifter i 2022.
What is your top IT priorities this quarter. Business continuity & recovery plan. Data anlytics & business intelligence
Her er tre strategier som kan hjelpe bedrifter med å frigjøre kraften i produktivitet uten å påvirke risikotoleransen:
Automatisering
Automatisering av systemer og applikasjoner er måten å holde tritt med arbeidsstyrkens aktivering i en hybrid infrastruktur. Det kan eliminere repeterende oppgaver og effektivisere den daglige driften. For eksempel kan automatiserte sårbarhetsskanningsverktøy håndtere potensielle risikoer som naturlig oppstår når du bruker operativsystemer og tredjepartsapplikasjoner.
Kontinuerlig overvåking
Policyer for ekstern tilgang kan lett være et av områdene der sikkerhetstiltak kan påvirke produktiviteten negativt. I dagens eksterne arbeidstrender er dette ikke et alternativ. Med kontinuerlig overvåking på plass, kan analyse av sikkerhet og brukeratferd bidra til å vurdere potensielle risikoer og aktivere en respons når det er nødvendig.
Identitetsfokusert beskyttelse
Mennesker representerer det viktigste sårbarhetspunktet i enhver organisasjon. Å utdanne brukere til å være oppmerksomme på trusler og forbedre passord er en no-brainer, men å stole på konsekvent anvendelse av beste praksis alene er et tapende forslag. Implementering av identitetsfokusert sikkerhet er nøkkelen til å unngå tap av data og beskytte brukertilgang. Den lavthengende frukten i denne avdelingen er multifaktorautentisering.
Disse strategiene samler tre nøkkelelementer i enhver organisasjon: teknologi (automatisering), prosesser (kontinuerlig overvåking) og mennesker (identitetssikkerhet). Sluttmålet? Å motivere beslutningstakere til å ta en proaktiv tilnærming til å bruke teknologier som vil modernisere driften og forbedre folks arbeidserfaring.
Hvis du likte dette innlegget og det fikk deg til å tenke på planlegging av IT-utgifter, kan du ta en titt på denne smarte sjekklisten.
Ved å følge disse tipsene, kan du øke sikkerheten på nettsiden din og beskytte den mot potensielle angrep
Nettsikkerhet er viktig for alle som driver en nettside, enten det er for en bedrift, en organisasjon, eller en personlig blogg. Hvis nettsiden din blir hacket eller infisert med skadelig programvare, kan det få alvorlige konsekvenser for deg og dine besøkende. Du kan miste data, penger, omdømme, og tillit. Derfor bør du ta noen forholdsregler for å beskytte nettsiden din mot potensielle trusler.
Her er noen tips til hvordan du kan øke sikkerheten på nettsiden din:
(1) Installer SSL – å kjøpe et enkelt Secure Sockets Layer-sertifikat er et avgjørende første skritt. SSL krypterer kommunikasjonen mellom nettsiden din og brukernes nettlesere, slik at ingen kan avlytte eller endre den. SSL gjør også at nettsiden din vises med et hengelåsikon og HTTPS i stedet for HTTP i adressefeltet, noe som gir brukerne en trygghetsfølelse.
(2) Bruk anti-malware programvare – for å skanne etter og forhindre ondsinnede angrep. Anti-malware programvare kan oppdage og fjerne virus, trojanere, ransomware, bots, og andre former for skadelig programvare som kan infisere nettsiden din eller stjele informasjon fra den. Du bør installere en pålitelig anti-malware programvare på serveren din og holde den oppdatert.
(3) Lag sterke passord – 123456 holder ikke mål! Passord er det første forsvaret ditt mot uautorisert tilgang til nettsiden din. Du bør lage unike og komplekse passord for alle kontoene dine, inkludert administratorkontoen, databasen, e-posten, og andre tjenester du bruker. Bruk en kombinasjon av store og små bokstaver, tall, og spesialtegn, og unngå å bruke personlig informasjon eller vanlige ord. Du bør også endre passordene dine regelmessig og aldri dele dem med noen.
(4) Hold nettsiden din oppdatert – å bruke utdatert programvare er som å la bakdøren stå ulåst. Hvis du bruker et innholdsstyringssystem (CMS), som WordPress eller Joomla, eller andre applikasjoner eller utvidelser på nettsiden din, bør du sørge for at de alltid er oppdatert til den nyeste versjonen. Oppdateringer inneholder ofte sikkerhetsforbedringer og sårbarhetsreparasjoner som kan beskytte nettsiden din mot nye trusler. Du bør også slette eller deaktivere alle programvare eller utvidelser som du ikke bruker lenger.
(5) Ikke hjelp hackerne – vær på vakt mot phishing-e-poster og andre svindelforsøk. Phishing-e-poster er falske e-poster som later som å være fra legitime kilder, som banken din, leverandøren din, eller en myndighet. De prøver å lure deg til å klikke på en lenke eller et vedlegg som kan infisere datamaskinen din med skadelig programvare eller stjele informasjon fra deg. Vær skeptisk til alle e-poster som ber deg om personlig informasjon, passord, betalingsdetaljer, eller andre sensitive data. Sjekk avsenderens adresse, språket, og lenkene før du svarer eller klikker.
(6) Bruk sikkerhetskopier – for å være forberedt på det verste. Sikkerhetskopier er kopier av nettsiden din og dens data som du kan gjenopprette i tilfelle noe går galt. Hvis nettsiden din blir hacket, slettet, eller ødelagt, kan du raskt gjenopprette den til en tidligere versjon ved hjelp av en sikkerhetskopi. Du bør lage regelmessige sikkerhetskopier av nettsiden din og lagre dem på et sikkert sted, for eksempel i skyen eller på en ekstern harddisk.
(7) Begrens brukertilgang – for å minimere risikoen for menneskelig feil eller misbruk. Hvis du har flere brukere som har tilgang til nettsiden din, bør du gi dem bare den tilgangen de trenger for å utføre sine oppgaver. Du bør også overvåke brukeraktiviteten og logge alle handlinger som gjøres på nettsiden din. Hvis du oppdager noen mistenkelig eller uautorisert aktivitet, bør du handle umiddelbart og endre passordene dine.
Ved å følge disse tipsene, kan du øke sikkerheten på nettsiden din og beskytte den mot potensielle angrep. Husk at nettsikkerhet er en kontinuerlig prosess som krever oppmerksomhet og vedlikehold. Vær alltid oppdatert om de nyeste truslene og løsningene, og vær proaktiv i stedet for reaktiv. Nettsikkerhet er ikke bare bra for deg, men også for dine besøkende og kunder.
I et vannhullangrep må trusselaktører vanligvis følge en rekke trinn. Først må de undersøke målet og sørge for at de vet hvilken type nettsted det potensielle offeret besøker. Deretter prøver de å infisere den med ondsinnet kode slik at når offeret besøker den. Så utnytter nettstedet en sårbarhet i nettleseren eller overbeviser dem om å laste ned en fil som kompromitterer brukerenheten.
Vannhullangrep: Hva er det?
Denne typen angrep er designet for å være målrettet mot ansatte i en bestemt bransje eller brukergruppe og som bruker regelmessig de nettstedene som de besøker. Dette for å lokke dem inn i en felle som gir tilgang til selskapets bedriftsnettverk. Datatyveri, økonomisk tap og omdømmeskade er ofte de viktigste konsekvensene av vannhullangrep.
Selv om disse truslene ligner på forsyningskjedeangrep på nært hold, er de ikke helt like. I begge tilfeller kompromitterer hackere en tredjepartstjeneste for å infisere andre systemer. Forsyningskjedeangrep kompromitterer imidlertid vanligvis et produkt som er kjøpt, eller en tjeneste som brukes av målet, mens et vannhullangrep infiserer nøytrale nettsteder. I motsetning til dette distribuerer et forsyningskjedeangrep skadelig programvare gjennom det «svakeste» leddet i en organisasjons nettverk, for eksempel en leverandør, leverandør eller partner.
Tre nylige eksempler på vannhullangrep:
1. Nitrokod og falske Google Translate for skrivebordet
I slutten av juli 2022 ble det oppdaget en malware-kampanje for cryptocurrency mining som infiserte enheter i 11 land. Trusselaktøren var en programvareutvikler kalt Nitrokod som tilbyr gratisversjoner av populære programmer som ikke har en offisiell desktopversjon. Dens etterligning av oversettelsesverktøyet, opprettet ved hjelp av de offisielle Google Translate-nettsidene og et Chromium-basert rammeverk. Disse var det mest populære tilbudet og var tilgjengelig på freeware-nettsteder, samt høyt rangert i søkeresultatene for «Google Translate desktop download».
Dessverre ble applikasjonene trojanisert, og når programvaren ble installert på enheten, var infeksjonsprosessen sovende i flere uker for å sikre at den forble ubemerket. Etter det sovende intervallet så sparket skadelig programvare inn og ofrene ville motta en oppdatert fil som ville laste en serie på fire droppere på enheten i løpet av noen dager. Den siste dropperen ville distribuere den Monero-sentriske XMRig-kryptomineren og utføre den. Mens dette skjedde, fortsatte Google Translate å fungere skikkelig, og ingen sikkerhetsanalyser hevet røde flagg. Denne taktikken har gjort det mulig for kampanjen å operere vellykket under radaren i årevis.
2. SolarMarker skadelig programvare
I september 2022 kompromitterte SolarMarker-gruppen et sårbart nettsted drevet av WordPress for å lokke ofrene til å laste ned falske Chrome-nettleseroppdateringer. Denne kampanjen var rettet mot en global skatterådgivningsorganisasjon med tilstedeværelse i USA, Canada, Storbritannia og Europa. I dette tilfellet var offeret en bedriftsansatt som søkte etter medisinsk utstyr fra en bestemt navngitt produsent på Google. Når den ansatte fikk tilgang til det kompromitterte nettstedet, ble han bedt om å laste ned en oppdatering til Chrome-nettleseren. Den ansatte lastet deretter ned og henrettet SolarMarker, som var forkledd som en falsk oppdatering. Den falske oppdateringen var basert på nettleseren offeret brukte da han fikk tilgang til det infiserte nettstedet. Så hvis brukeren hadde brukt en annen nettleser, ville den ha etterlignet Firefox eller Edge.
3. SocGholish malware på amerikanske nyhetsnettsteder
I november 2022 kompromitterte en kriminell gruppe et innholdsleverandørselskap som tilbyr videoinnhold og reklame til store amerikanske medier for å distribuere skadelig programvare på nettstedene sine. I løpet av denne kampanjen ble 250 nasjonale og regionale avisnettportaler i landet målrettet. Skadelig programvare, kalt SocGholish og først sett i 2018. Disse ble injisert i en godartet JavaScript-fil som lastet på medienettstedene og overbeviste besøkende om å laste ned en falsk nettleseroppdatering. Som i forrige tilfelle tok skadelig programvare form av nettleseren som ble brukt av brukeren. Når angriperne fikk første tilgang til nettverkene, kan dette brukes som en vei for å distribuere ransomware, som er en taktikk vi har sett tidligere.
Endepunktbeskyttelse: kritisk forsvar mot et vannhullangrep
Vannhullangrep har en høy suksessrate, da de kompromitterer legitime og pålitelige nettsteder for brukere, slik at selv de mest informerte og forsiktige ansatte kan falle i fellen. Dette er grunnen til at en endepunktbeskyttelsesløsning er nødvendig, som gir kontinuerlig overvåking og forhindrer utførelse av ukjente prosesser.. Imidlertid, med tanke på at når de står overfor et slikt angrep, kan applikasjoner passere som legitime. Teknologien som brukes til å forsvare seg mot den, må beskytte brukere mot avanserte trusler, avanserte vedvarende trusler (ATP), zero day malware og ransomware, samt andre sofistikerte trusler. Bruk av AI og automatisering er gunstig når det gjelder å utføre forebygging, deteksjon, inneslutning og responshandlinger. I tillegg er atferdsanalyse ideell for å oppdage om det er ondsinnede aktører i nettverket. Summen av disse funksjonene bidrar til å oppnå omfattende sikkerhet, som er i stand til å avverge et vannhullangrep.
Det er viktig å ta i bruk en nulltillits-tilnærming, ideelt sett med administrerte tjenester som vi finner i Feature Brief – WatchGuard Zero-Trust Application Service som er i stand til å klassifisere 100% av applikasjonene som skadelig programvare eller pålitelige applikasjoner, og overvåke aktiviteten til alle typer applikasjoner på endepunktet. En nulltillits-tilnærming kan forhindre sofistikerte trusselutførelser, for eksempel forsyningskjedeangrep og vannhullangrep. Ved å observere uregelmessig oppførsel av tilsynelatende legitim programvare og omklassifisere applikasjoner så snart de utfører aktiviteter som vanligvis brukes av trusselaktører. Det er ingen tvil om at nettkriminelle bruker taktikker som blir stadig mer komplekse og vanskelige å oppdage. Med riktig beskyttelse, ved å ta i bruk en AI- og nulltillitstilnærming, er det mulig å håndtere dem og holde bedriftsnettverk sikre.
Interessert i å lære mer om hvordan WatchGuard Endpoint Security hjelper deg med å unngå angrep som dette? Besøk vår hjemmeside og finn all informasjon.
Adopsjon av multi-faktor-autentisering blomstrer. Regulatorisk press fra ulike globale initiativer, kombinert med at selskaper gjør det til en forutsetning å bruke tjenestene deres og økningen i implementeringen av zero-trust-modellen, har økt utgiftene til denne løsningen. Vi ser på DNA fra mobilenheter og hvordan øke sikkerheten for bruk av multi-faktor-autentisering.
MFA-markedet anslås å være verdt 12,9 milliarder dollar og forventes å nå 26,7 milliarder dollar innen 2027, med en årlig vekstrate på 15,6% fra 2022 til 2027. Videre har 92% av selskapene i 2022 brukt denne teknologien til minst noen forretningsapplikasjoner.
Selv om dette verktøyet legger til et ekstra lag med beskyttelse for legitimasjon, er det kanskje ikke nok, ettersom nettkriminelle kan omgå det ved å bruke phishing- og sosialtekniske taktikker for å distrahere brukere. Samtidig bruker de teknikker for å hacke MFA-forsvar.
Hva er SIM-bytteangrep, og hvordan fungerer de?
Engangskoder sendt via SMS er allestedsnærværende i eldre MFA-teknologier. I et bytteangrep overtar en ondsinnet aktør den faktiske personens telefonnummer ved å be om at en mobil telekommunikasjonsleverandør kobler dette nummeret til et nytt SIM-kort i deres kontroll.
Først må den ondsinnede aktøren overbevise teleleverandøren om å utføre dette SIM-byttet gjennom sosialtekniske teknikker ved å etterligne den faktiske kunden og hevde at det originale SIM-kortet er skadet eller tapt. Deretter, hvis angrepet er vellykket, vil offerets telefon miste forbindelsen til nettverket, og de vil ikke kunne motta eller ringe.
Når det nye SIM-kortet er installert, kan hackere bruke det til å få kodene som gjør dem i stand til å omgå MFA, tilbakestille kontolegitimasjon og få uautorisert tilgang. For å etterligne offeret sitt, vil hackeren starte med å samle den nødvendige informasjonen. Det er forskjellige ruter de kan ta for å skaffe disse dataene, inkludert sosial manipulering, phishing, skadelig programvare, utnyttelse av informasjon fra datainnbrudd eller forskning på sosiale medier.
Bevæpnet med nødvendig informasjon kan nettkriminelle overbevise mobiloperatøren om å overføre mobilnummeret til et nytt SIM-kort eller utføre prosessen personlig online. I februar i år utstedte FBI en offentlig advarselom økningen i denne typen trusler. Den avslørte at de fra januar 2018 til desember 2020 hadde mottatt 320 rapporter relatert til SIM-byttehendelser, noe som genererte tap på omtrent 12 millioner dollar. Imidlertid mottok de bare i 2021 1,611 SIM-bytteklager med tap på over 68 millioner dollar. Disse tallene viser tydelig behovet for tiltak for å forhindre SIM-bytteangrep.
Mobilt DNA: funksjonen som sikrer forbedret beskyttelse
I dag kan utviklingen av taktikken som brukes av nettkriminelle lure selv de mest cybersikkerhets-bevisste blant oss. En Verizon-rapport sier at menneskelige feil står for 82% av datainnbruddene. Så det er kanskje ikke nok å implementere en tradisjonell MFA-løsning.
WatchGuards AuthPoint-løsning styrkes med en funksjon som garanterer at bare brukeren kan få tilgang til sine online kontoer og eiendeler fra mobilenheten. Den bruker sitt «mobile DNA» for å sikre at personen som ønsker å logge inn eier telefonen. Denne funksjonen forhindrer hackere i å få tilgang ved å bruke SIM-bytte fordi løsningen genererer et unikt DNA for den enheten, slik at ethvert påloggingsforsøk fra en annen mobil vil bli blokkert umiddelbart. I tillegg er vårt DNA godt posisjonert mot utnyttelse av sårbarheter i Signaling System No. 7 (SS7) og SIM-bytte i tråd med den siste CISAS-retningslinjen for multi-faktor-autentisering for å takle phishing. Når en økt er startet, gjenskaper AuthPoint-applikasjonen mobil-DNA og inkluderer det i engangspassord-beregningen (OTP). Hvis noen av de unike egenskapene til mobilenheten skulle endres (for eksempel forsøk på å sette den opp på en annen enhet), ville en ugyldig OTP bli generert, og tilgang ville bli nektet. I tillegg til å forhindre pålogging, er det mulig å vite om en angriper forsøkte å få tilgang til kontoen, ettersom tilgangsgodkjenning og fornektelsesinformasjon logges i kontrollpanelet slik at den når som helst kan verifiseres.
Siden mobil-DNA-et er unikt for hver enhet, kan de migrere tokenet fra en mobil til en annen mens de fortsatt har begge mobile enheter eller be IT-teamet om å generere en ny registrering. Det nye tokenet deaktiverer automatisk det gamle, så det er ingen risiko for at det blir brukt i tilfelle tyveri. På samme måte, hvis ansatte forlater selskapet, kan tokenene deres raskt slettes fra skyen for å forhindre at de autentiserer på et senere tidspunkt. På samme måte er det mulig å erstatte brukere med andre ved personalomsetning, slik at bedrifter kan stole på et bestemt antall lisenser uten å kjøpe nye.
Kort sagt, bruk av mobil-DNA for multi-faktor-autentisering er et sikrere alternativ for å beskytte kontoer. Hvis nettkriminelles avanserte taktikk kan forvirre ofrene deres, vil de ikke kunne villede applikasjonen, som alltid vil gjenkjenne enhetens unike DNA.
Migrering til skyen gir mange fordeler for bedrifter. Først og fremst reduserer de driftskostnadene med nesten 40%. De øker også smidigheten, reduserer vedlikeholdstiden for tradisjonelle IT-infrastrukturer og får fleksibilitet og skalerbarhet. Men etter hvert som antall arbeidsbelastninger distribuert i skyen vokser, sliter flere og flere organisasjoner med å holde tritt med sikkerhetskravene.
I løpet av det siste året har mer enn 80 % av organisasjonene opplevd sikkerhetshendelser i skyen, og 41 % av ingeniørene tror at sikkerheten i dette miljøet vil bli enda mer utfordrende når neste generasjon skybaserte applikasjoner distribueres.
Hva er de viktigste angrepsvektorene i skymiljøer?
Kompromitterte kontoer: Google Cloud-analyse har vist at brute force-angrep er den vanligste inngangsvektoren i Cloud-miljøer og var ansvarlig for 51% av cyberangrepene i første kvartal i år. En annen utbredt form for kompromitterende kontoer innebærer at trusselaktører kjøper legitimasjon på det mørke nettet eller utnytter legitimasjon eksponert i offentlige depoter. Dette skjer vanligvis fordi organisasjoner ikke implementerer en multifaktorautentiseringsløsning (MFA) for å sikre kontoene sine.
Utnytte applikasjoner i skyen: I IaaS-miljøer der Cloud-kunder administrerer sine egne webapplikasjoner og systemer, er klassiske webapplikasjonssårbarheter fortsatt vanlige, og å utnytte dem er en effektiv måte å få tilgang til miljøer på. Utnyttelse av sårbar programvare er den nest hyppigste trusselvektoren, og står for 37 % av skytrusselaktiviteten.
Misbruk av feilkonfigurasjon: feilkonfigurasjon innen skyarkitekturer spiller en nøkkelrolle i å bli potensielle ofre. Administrasjonskonsoller uten passordbeskyttelse eller med standardpassord er ansvarlige for 30% av slike angrep. På samme måte står eksponerte serverarbeidsbelastninger for 27% av truslene. Dette etterfølges av altfor ettergivende tjeneste- eller brukerkontoer (25 %), offentlig eksponerte webservere uten WAF (webapplikasjonsbrannmur) og/eller en belastningsfordeling (23 %), virtuelle maskiner eller beholdere som kjører som root (22 %), administrasjonsgrensesnitt uten flerfaktorautentisering (22 %), trafikk til uautoriserte IP-adresser (22 %), deaktivert logging (19 %) og åpne porter (19 %).
Phishing: Phishing utgjør også en trussel mot skymiljøer. Administratorer blir ofte lurt via e-post til å få tilgang til sider som etterligner Cloud-leverandører, noe som resulterer i legitimasjonstyveri når de logger på kontoene sine fra den falske portalen.
Oppnå skysikkerhet
Å ta i bruk cyberhygienepraksis som å bruke flerfaktorautentisering for å beskytte tilgang til kontoer, være klar over potensiell phishing, oppdatere og oppdatere programvare og sikre at elementene som er en del av skyarkitekturen er riktig konfigurert, er viktige første skritt.
WatchGuards Cloud-brannmurer en del av disse beste praksisene for cybersikkerhet, og fungerer som en brannmur for fysiske nettverksmiljøer, selv om den også fungerer for å beskytte servere i skyen. Dette gjør det mulig å oppdage og forhindre avanserte angrep som ransomcloud eller nulldagstrusler som forsøker å unngå nettverksforsvar. Ved å inkorporere AI blir beskyttelsen prediktiv, noe som betyr at den kan beskytte mot skadelig programvare som utvikler seg.
En av de største utfordringene for fagfolk innen skysikkerhet er å få synlighet i miljøet for å sikre sterkere databeskyttelse. Dette er grunnen til at vår Firebox Cloud gir full synlighet, noe som muliggjør raskere beslutningstaking og enklere sikkerhetsadministrasjon.
Nettkriminelle bruker i økende grad ondsinnede domener som en angrepsvektor. Vår Internet Security Report Q1 2021 oppdaget allerede en 281% økning i antall domener blokkert av DNSWatch i løpet av forrige kvartal, og det har vært betydelig aktivitet det siste året med slike lenker som utnytter interessen for COVID-19.
Absec tilbyr profesjonelle løsninger for alle typer av virksomheter. Fra virksomheter som vil ha administrerte sikkerhetstjenester, til virksomheter som har egen sikkerhetsavdeling, så leverer vi løsninger av høy kvalitet. Vi anbefaler alle til å ha en eller annen form for Sikkerhet som en tjeneste/ SECaaS og Administrerte Sikkerhetstjeneste/Managed Security Service. Vå ultimate sikkerhetspakke består av 24/7 – administrert sikkerhetstjeneste, som overvåker, oppdager og stopper hackere før de til og med kan bevege seg. Blackpoints 24/7 MDR holder deg ett skritt foran.
Amedia
Nortura
GCM
Østre Toten Kommune – 33Mill reparasjon + 4Mill forelegg Datatilsynet (minus16Mill i statsstøtte)
Aqva Group
Hurtigruten
Norks Hydro – 500Mill reparasjon.
Spionasje, nettfiler, banker og sosiale medier
For noen dager siden kunngjorde Microsoft at de hadde deaktivert 42 ondsinnede domener opprettet av den kinesiske APT-15 cyberspionasjegruppen. Gruppen lurte medlemmer av offentlige og private organisasjoner, tenketanker og frivillige organisasjoner relatert til menneskerettigheter gjennom lenker som slapp inn skadelig programvare når intetanende brukere klikket på dem, slik at gruppen kunne få tilgang til servere og få privilegert informasjon om kinesiske industrielle og geopolitiske interesser. Analytikere mener at dette var en del av en massiv cyberspionasjekampanje fra Kina.
Andre store domenehendelser i år har involvert legitime og kjente nettsteder som blir kompromittert. For eksempel ble det i juli oppdaget at archive.org-portalen (kjent for «Way Back Machine» -søkemotoren for gamle nettsteder) hadde et ondsinnet PowerShell-skript satt inn i en av sidene sine med en laster som inneholder AgentTesla-skadelig programvare fra Aggah, som er koblet til den pakistanske APT-gruppen Gorgon. Forskere spekulerer i at portalsidene ble brukt som verter for skadelig programvare og deretter brukt i påfølgende cyberangrep.
Phishing
Phishing er en annen av teknikkene som vanligvis brukes av disse koblingene, og bankindustrien er vanligvis blant de mest berørte fordi gevinstene som kan oppnås er svært høye hvis cyber-angripere klarer å få tak i kundepassord. Flere kunder av Chase Personal Banking var ofre for en kampanje av denne typen: de mottok en falsk e-post med meldingen «Kredittkortutskriften din er nå tilgjengelig» og en lenke som førte til en falsk destinasjonsside som ba om bankdetaljene deres. Denne hendelsen skiller seg ut som e-posten med disse falske koblingene klarte å omgå spamfiltrene til Microsoft Exchange Online Protection og Microsoft Defender for Office 365.
Facebook
Facebook har også vært en kanal for bruk av ondsinnede domener de siste månedene. I dette tilfellet brukte hackere profesjonelle Facebook-kontoer for å plassere annonser som førte til domener som fungerte som program-laster for CopperStealer-skadelig programvare. Når den er injisert, stjeler skadelig programvare legitimasjonen til ofrene, hvor deretter nettkriminelle bruker systemene sine som en kilde for ytterligere cyberangrep.
Anbefalte fremgangsmåter og brannmurer
Alle eksemplene ovenfor relatert til ondsinnede domener viser at cyberangripere bruker stadig mer sofistikerte manipulasjons-teknikker: Ikke bare lurer de brukere, men også, som Chase-svindelen for personlig bank phishing viste, klarer de noen ganger å omgå bredt distribuerte cybersikkerhetsløsninger, for eksempel de som leveres av Microsoft.
Av disse grunnene bør virksomheter neste år planlegge å implementere avanserte nettverksbeskyttelsesløsninger som inkorporerer neste generasjons brannmurer. Utstyrt med disse løsningene, vil de kunne blokkere mistenkelige lenker på en automatisert måte og til og med oppdage kryptert skadelig programvare som kan sirkulere på nettverkene deres, alt administreres veldig enkelt i et sentralisert system.
Ved hjelp av disse verktøyene er det god praksis for MSP-er og IT-team å generere lister over pålitelige nettsteder og kategorisere emner som har større sannsynlighet for å ha farlige lenker, og som vanligvis ikke er relatert til selskapets profesjonelle aktivitet (for eksempel gamblinghus eller kryptovalutaer).
I tillegg bør ansatte motta grunnleggende cybersikkerhetsinstruksjon om nettsurfing og e-post, for eksempel å ikke åpne ukjente lenker eller vite hvordan de identifiserer potensielt mistenkelige lenker.
Siste kommentarer