Migrering til skyen gir mange fordeler for bedrifter. Først og fremst reduserer de driftskostnadene med nesten 40%. De øker også smidigheten, reduserer vedlikeholdstiden for tradisjonelle IT-infrastrukturer og får fleksibilitet og skalerbarhet. Men etter hvert som antall arbeidsbelastninger distribuert i skyen vokser, sliter flere og flere organisasjoner med å holde tritt med sikkerhetskravene.
I løpet av det siste året har mer enn 80 % av organisasjonene opplevd sikkerhetshendelser i skyen, og 41 % av ingeniørene tror at sikkerheten i dette miljøet vil bli enda mer utfordrende når neste generasjon skybaserte applikasjoner distribueres.
Hva er de viktigste angrepsvektorene i skymiljøer?
Kompromitterte kontoer: Google Cloud-analyse har vist at brute force-angrep er den vanligste inngangsvektoren i Cloud-miljøer og var ansvarlig for 51% av cyberangrepene i første kvartal i år. En annen utbredt form for kompromitterende kontoer innebærer at trusselaktører kjøper legitimasjon på det mørke nettet eller utnytter legitimasjon eksponert i offentlige depoter. Dette skjer vanligvis fordi organisasjoner ikke implementerer en multifaktorautentiseringsløsning (MFA) for å sikre kontoene sine.
Utnytte applikasjoner i skyen: I IaaS-miljøer der Cloud-kunder administrerer sine egne webapplikasjoner og systemer, er klassiske webapplikasjonssårbarheter fortsatt vanlige, og å utnytte dem er en effektiv måte å få tilgang til miljøer på. Utnyttelse av sårbar programvare er den nest hyppigste trusselvektoren, og står for 37 % av skytrusselaktiviteten.
Misbruk av feilkonfigurasjon: feilkonfigurasjon innen skyarkitekturer spiller en nøkkelrolle i å bli potensielle ofre. Administrasjonskonsoller uten passordbeskyttelse eller med standardpassord er ansvarlige for 30% av slike angrep. På samme måte står eksponerte serverarbeidsbelastninger for 27% av truslene. Dette etterfølges av altfor ettergivende tjeneste- eller brukerkontoer (25 %), offentlig eksponerte webservere uten WAF (webapplikasjonsbrannmur) og/eller en belastningsfordeling (23 %), virtuelle maskiner eller beholdere som kjører som root (22 %), administrasjonsgrensesnitt uten flerfaktorautentisering (22 %), trafikk til uautoriserte IP-adresser (22 %), deaktivert logging (19 %) og åpne porter (19 %).
Phishing: Phishing utgjør også en trussel mot skymiljøer. Administratorer blir ofte lurt via e-post til å få tilgang til sider som etterligner Cloud-leverandører, noe som resulterer i legitimasjonstyveri når de logger på kontoene sine fra den falske portalen.
Oppnå skysikkerhet
Å ta i bruk cyberhygienepraksis som å bruke flerfaktorautentisering for å beskytte tilgang til kontoer, være klar over potensiell phishing, oppdatere og oppdatere programvare og sikre at elementene som er en del av skyarkitekturen er riktig konfigurert, er viktige første skritt.
WatchGuards Cloud-brannmurer en del av disse beste praksisene for cybersikkerhet, og fungerer som en brannmur for fysiske nettverksmiljøer, selv om den også fungerer for å beskytte servere i skyen. Dette gjør det mulig å oppdage og forhindre avanserte angrep som ransomcloud eller nulldagstrusler som forsøker å unngå nettverksforsvar. Ved å inkorporere AI blir beskyttelsen prediktiv, noe som betyr at den kan beskytte mot skadelig programvare som utvikler seg.
En av de største utfordringene for fagfolk innen skysikkerhet er å få synlighet i miljøet for å sikre sterkere databeskyttelse. Dette er grunnen til at vår Firebox Cloud gir full synlighet, noe som muliggjør raskere beslutningstaking og enklere sikkerhetsadministrasjon.
Nettkriminelle bruker i økende grad ondsinnede domener som en angrepsvektor. Vår Internet Security Report Q1 2021 oppdaget allerede en 281% økning i antall domener blokkert av DNSWatch i løpet av forrige kvartal, og det har vært betydelig aktivitet det siste året med slike lenker som utnytter interessen for COVID-19.
Absec tilbyr profesjonelle løsninger for alle typer av virksomheter. Fra virksomheter som vil ha administrerte sikkerhetstjenester, til virksomheter som har egen sikkerhetsavdeling, så leverer vi løsninger av høy kvalitet. Vi anbefaler alle til å ha en eller annen form for Sikkerhet som en tjeneste/ SECaaS og Administrerte Sikkerhetstjeneste/Managed Security Service. Vå ultimate sikkerhetspakke består av 24/7 – administrert sikkerhetstjeneste, som overvåker, oppdager og stopper hackere før de til og med kan bevege seg. Blackpoints 24/7 MDR holder deg ett skritt foran.
Amedia
Nortura
GCM
Østre Toten Kommune – 33Mill reparasjon + 4Mill forelegg Datatilsynet (minus16Mill i statsstøtte)
Aqva Group
Hurtigruten
Norks Hydro – 500Mill reparasjon.
Spionasje, nettfiler, banker og sosiale medier
For noen dager siden kunngjorde Microsoft at de hadde deaktivert 42 ondsinnede domener opprettet av den kinesiske APT-15 cyberspionasjegruppen. Gruppen lurte medlemmer av offentlige og private organisasjoner, tenketanker og frivillige organisasjoner relatert til menneskerettigheter gjennom lenker som slapp inn skadelig programvare når intetanende brukere klikket på dem, slik at gruppen kunne få tilgang til servere og få privilegert informasjon om kinesiske industrielle og geopolitiske interesser. Analytikere mener at dette var en del av en massiv cyberspionasjekampanje fra Kina.
Andre store domenehendelser i år har involvert legitime og kjente nettsteder som blir kompromittert. For eksempel ble det i juli oppdaget at archive.org-portalen (kjent for “Way Back Machine” -søkemotoren for gamle nettsteder) hadde et ondsinnet PowerShell-skript satt inn i en av sidene sine med en laster som inneholder AgentTesla-skadelig programvare fra Aggah, som er koblet til den pakistanske APT-gruppen Gorgon. Forskere spekulerer i at portalsidene ble brukt som verter for skadelig programvare og deretter brukt i påfølgende cyberangrep.
Phishing
Phishing er en annen av teknikkene som vanligvis brukes av disse koblingene, og bankindustrien er vanligvis blant de mest berørte fordi gevinstene som kan oppnås er svært høye hvis cyber-angripere klarer å få tak i kundepassord. Flere kunder av Chase Personal Banking var ofre for en kampanje av denne typen: de mottok en falsk e-post med meldingen “Kredittkortutskriften din er nå tilgjengelig” og en lenke som førte til en falsk destinasjonsside som ba om bankdetaljene deres. Denne hendelsen skiller seg ut som e-posten med disse falske koblingene klarte å omgå spamfiltrene til Microsoft Exchange Online Protection og Microsoft Defender for Office 365.
Facebook
Facebook har også vært en kanal for bruk av ondsinnede domener de siste månedene. I dette tilfellet brukte hackere profesjonelle Facebook-kontoer for å plassere annonser som førte til domener som fungerte som program-laster for CopperStealer-skadelig programvare. Når den er injisert, stjeler skadelig programvare legitimasjonen til ofrene, hvor deretter nettkriminelle bruker systemene sine som en kilde for ytterligere cyberangrep.
Anbefalte fremgangsmåter og brannmurer
Alle eksemplene ovenfor relatert til ondsinnede domener viser at cyberangripere bruker stadig mer sofistikerte manipulasjons-teknikker: Ikke bare lurer de brukere, men også, som Chase-svindelen for personlig bank phishing viste, klarer de noen ganger å omgå bredt distribuerte cybersikkerhetsløsninger, for eksempel de som leveres av Microsoft.
Av disse grunnene bør virksomheter neste år planlegge å implementere avanserte nettverksbeskyttelsesløsninger som inkorporerer neste generasjons brannmurer. Utstyrt med disse løsningene, vil de kunne blokkere mistenkelige lenker på en automatisert måte og til og med oppdage kryptert skadelig programvare som kan sirkulere på nettverkene deres, alt administreres veldig enkelt i et sentralisert system.
Ved hjelp av disse verktøyene er det god praksis for MSP-er og IT-team å generere lister over pålitelige nettsteder og kategorisere emner som har større sannsynlighet for å ha farlige lenker, og som vanligvis ikke er relatert til selskapets profesjonelle aktivitet (for eksempel gamblinghus eller kryptovalutaer).
I tillegg bør ansatte motta grunnleggende cybersikkerhetsinstruksjon om nettsurfing og e-post, for eksempel å ikke åpne ukjente lenker eller vite hvordan de identifiserer potensielt mistenkelige lenker.
Å vite hvor påloggingsforsøk kommer fra, er nøkkelen til MFA!
Cyberangrep innen geopolitikk spiller en stadig viktigere rolle. 2020 var et intenst år hvor pandemien ble brukt til desinformasjonskampanjer, og det var alvorlige hendelser forårsaket av grupper knyttet til utenlandske makter. En av de mest slående tilfellene i 2021 skjedde i forrige måned: Den tyske regjeringen har avslørt at den har “pålitelig informasjon” om at nylige cyberangrep mot medlemslandene i EU er arbeidet til russiske “aktører” knyttet til GRU og russisk etterretningsbyrå.
Denne cyberkampanjen har blitt kalt “Ghostwriter” og målrettet seg mot “mange parlamentsmedlemmer, regjeringsrepresentanter, politikere, medlemmer av pressen og sivilsamfunnet i EU” ifølge en pressemelding utstedt av Det europeiske råd. Hackerne brukte phishing-e-poster for å få legitimasjon, få tilgang til systemene sine og stjele informasjon.
Avansert vedvarende trussel-grupper (APT)
I dette scenariet blir det stadig viktigere å beskytte brukerlegitimasjon. For noen uker siden påpekte vi at passord fra selskaper som har blitt lekket til det mørke nettet, hadde skutt opp med 429% siden i mars i fjor.
Men utover disse massive lekkasjene der ondsinnede cyberaktører legger store mengder data ut for salg, viser tilfeller som Ghostwriter at statskoblede og svært målrettede APT-grupper også utgjør en alvorlig risiko for sikkerheten til en organisasjons legitimasjon.
Disse hackerne har ressurser til å undersøke potensielle ofre og deres arbeidsmiljøer individuelt. Etter å ha utført denne foreløpige forskningen, bruker de sosialtekniske metoder som spydfisking, der de klarer å forvirre målene sine ved å simulere identiteten til andre kolleger, IT-teamet eller til og med deres overordnede (i såkalt “CEO-svindel”). Ved å bruke denne metoden kan de lure dem til å få legitimasjon, selv om brukerne er kjent med cybersikkerhetspraksis.
Ettersom slike sofistikerte trusler kommer fra utlandet, reiser dette spørsmålet om hvordan organisasjoner og stater kan beskytte seg mot brudd og cyberangrep fra spesifikke geografiske områder? Et av svarene på dette spørsmålet er godkjenning med flere faktorer med digital geo-lokasjon.
MFA med retningslinjer for digital geo-gjerde-risiko
Politikere, tjenestemenn og andre relevante personer som er berørt i Ghostwriter-kampanjen, kunne ha unngått hendelsen hvis organisasjonene deres hadde distribuert cybersikkerhetsverktøy som ga spesifikke digital geo-inngjerding-tiltak mot tilgangsforsøk fra Russland, gitt deres merittliste.
Men disse digital geo-inngjerdings-tiltakene må kombineres med avanserte flerfaktorautentiseringsløsninger (MFA) som tilbyr risikobaserte autentiseringsfunksjoner for å sikre at den som oppgir legitimasjonen for å logge på systemet, er en legitim bruker eller ansatt.
I denne forbindelse gir Absec MFA Autentisering et avansert sikkerhetslag ved hjelp av risikobasert godkjenning for å bestemme faktorer når du utfører en godkjenningsavgjørelse. Administratorer kan for eksempel aktivere retningslinjer for geo-gjerde-risiko (veldig enkelt via Absec Cloud) for å sikre at tilgang bare skjer i autoriserte geografiske områder, selv om den kommer fra tilsynelatende legitime enheter.
Det gode med risikobasert godkjenning er at det tar hensyn til risikofaktorer når du utfører en godkjenningsbeslutning. Det går utover en statisk godkjenning, slik at administratorer kan opprette regler som kan endre godkjenningsvirkemåten, noe som noen ganger gjør det enklere hvis risikoen er lav. eller be om ytterligere trinn for å sikre at dette er riktig bruker, og blokkere tilgangen hvis risikoen er for høy, selv om brukeren ga et riktig engangspassord (OTP).
Økt verdi til kunder av administrerte tjenester (MSP)
Absec kan tilby kundene økt sikkerhet i autentiseringsprosessene sine gjennom push-varsler som inkluderer digital geo-lokasjon. Dette gjør det mulig for både administratorer og brukere å vite i detalj hvor forespørselen kom fra. Dette reduserer sannsynligheten for at utenlandske APT-grupper får tilgang til systemene sine, selv om de tidligere har klart å få legitimasjon.
MSP (Managed Service Provider) de ekte heltene, berger mange bedrifter fra kostbare angrep.
Jeg vil legge til en S for Sikkerhet; MSSP. Det finnes ikke et godt norsk ord, men det betyr ekstern leverandør for drift/administrasjon av sikkerheten.
Noen svært få leverer også bemannet 24/7 drift – men typisk mindre ressurser på natten! Det er også meget kostbar drift.
Med Watchguard som partner, så leverer AbSec 24/7 med topp teknologi som gir en høy grad av beskyttelse.
Kundebedrifter har tre måter de kan operere sin sikkerhetsoperasjon;
Sluttkunden kan selv kontakte direkte Watchguard support vedrørende mistanke om angrep – 24/7. Krever produkter fra Watchguard.
Sluttkunden kan kontakte Absec for Watchguard support vedrørende mistanke om angrep.
Sluttkunden kan abonnere på en 24/7 SOC ,som opererer sikkerheten for kunden, hvor angrep blir håndtert uten kundens involvering. Absec har ikke egen lokal 24/7 operasjon, men samarbeider med BlackPoint Cyber, som gir direkte støtte under angrep.
Sluttkunden kan selv drifte sin sikkerhetsoperasjon. Svært få små og mellomstore bedrifter gjør dette. Utfordringer med kompetanse, kostnader og rekruttering. Minimum ni personer i skift!
Ta gjerne kontakt hvis du ønsker en uforpliktende samtale rundt din bedrifts IT-sikkerhet.
Siste kommentarer