4 tiltak som beskytter virksomheten mot datakriminalitet

Det er krevende å slåss mot en 'bransje' som leder an i teknologiutviklingen og stadig finner nye måter å omgå sikkerhetstiltakene våre. Altfor mange virksomheter gir dessverre dataskurkene fine arbeidsforhold. Heldigvis er det hverken spesielt dyrt eller spesielt krevende å etablere en grunnleggende god beskyttelse. Kunnskap, kultur og verktøy er de tre avgjørende elementene i god IT-beskyttelse.

I denne artikkelen vil jeg vise deg noen enkle tiltak som øker beskyttelsesgraden betraktelig.

1. Ansatte – God sikkerhetshygiene

Har dine ansatte deltatt på datasikkerhetskurs? Ja, svarer mange, og regner med det at den generelle kompetansen på datasikkerhet er tilfredsstillende. På denne bloggen har vi skrevet mye om å bygge kultur for sikkerhet og beredskap. Når det kommer til datasikkerhet, er du avhengig av å ha en liten hær av kompetente soldater som behersker terrenget og forholdene, ter seg på korrekt måte og vet å definere fiendtlig aktivitet.

Trusselaktørene der ute har avanserte systemer, jobber kontinuerlig, har et langvarig perspektiv og følger med på endringer i bedriften slik at de kan slå til når de ser sårbarheter. For eksempel ved nyansettelse, eller når noen er konstituert som ny finansdirektør.

Det beste straks-tiltaket mot å tape virksomhetskritisk informasjon er at medarbeidere på alle nivåer deltar i IKT-sikkerhetsarbeidet. Det bør være bedriftens minimumspolicy at alle er i overkant skeptisk til eksterne henvendelser om bedriftsintern informasjon. Som det tidligere er omtalt her på bloggen, bør all informasjon klassifiseres, slik at man får oversikt over hva som ikke kan, bør, eller skal deles.

En oversiktlig metode for å kartlegge risikoer knyttet til virksomheten din.  Last ned vår gratis e-bok her.

2. Neste generasjons brannmur og DNS-filtrering

En neste generasjons brannmur er en proaktiv tjeneste-brannmur som gjennom kontinuerlig læring observerer trafikkmønstre og tjenester. Gjennom oppdaterte sentrale regelsett hindrer den trusler fra eksterne inntrengere. Denne typen tjenester vil for ansatte oppleves som «en hånd å holde i» på Internett.

Gjennom massiv bruk av maskinlæring leveres oppdaterte sentrale regelsett. For eksempel vil trafikk med en gjenkjennbar signatur for en bestemt type trojan-programvare automatisk droppes før trafikken når det interne nettverket.

DNS-filtrering ved hjelp av verktøy implementert i det lokale nettverket, for eksempel slik Nasjonal Sikkerhetsmyndighet (NSM) beskriver i sin veiledning, eller ved  å ta i bruk kommersielle verktøy, som Cisco Umbrella, gir en god grunnsikring i DNS-laget. 

Selvfølgelig kan du legge inn regler som sier at man skal droppe trafikk til og fra ett eller to domener, men det registreres tross alt mer enn 1 million nye domener pr. måned under mer enn 800 toppnivåer. Da sier det seg selv at denne typen tiltak er ikke gjennomførbart å implementere med menneskelige ressurser. 

Det er altså ikke lenger nok med en enkel brannmur for å hindre trafikk utenfra i å nå inn – det er kombinasjonen av trafikkinspeksjon, lokale tiltak som DNS-filtrering og sentralt oppdaterte regelsett som gir den grunnsikringen vi nå trenger.

3. Sårbarhetsscanner i eget nettverk

Å sette opp scannere i eget nettverk (Interne søk etter programvaresårbarheter) avdekker hvilke interne maskinvareressurser som har tjenester som burde sikres. Automatiske rapporter ved funn øker synligheten av disse for egen IT-avdeling. En passiv scanner som plukker opp anormaliteter, som en infisert pc som scanner nettverket etter sårbarheter, er også lurt å ta i bruk dersom bedriften er av tilstrekkelig størrelse.

Det er dessverre slik at man heller må anta at man er infisert med «noe» hele tiden og dermed handle på dette grunnlaget. Man kan forhindre nye sårbarheter i å nå inn, og med en intern scanner oppdager man når noen har fått noe grums i datamaskinen etter helgeturen til Åre.

4. Verifikasjonssystem for e-post

Hvis en uønsket e-post når sluttbruker, er det relevant å spørre seg om den kunne vært stoppet før. I dag finnes det gode funksjoner som kan stoppe uønsket trafikk på servernivå.

Disse sikkerhetsmekanismene er bygget inn i systemet for domenenavn (DNS). De må tas i bruk og settes opp slik at de verifiserer at en epost faktisk kommer fra den avsenderen gir seg ut for å være.

Når dette er implementert skikkelig for bedriftens domenenavn, vil de fleste falske eposter som utgir seg for å være fra eget domene stoppes i serverlagene og aldri nå brukeren.

Egen IT eller en ekstern domeneleverandør bør ha en opsettsveiledning for å ta i bruk de relevante beskyttelsesmekanismene for ditt domene: 

  • SPF (Sender Policy Framework) gir beskjed til alle e-postservere over hele verden hvilke e-postservere som har lov å sende e-post fra ditt domene.
  • DKIM (Domain Keys Identified Mail) Signerer utgående e-poster for ditt domene med en unik nøkkel og forteller at avsenderen er godkjent for å sende for domenet.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) sjekker om verktøyene SPF og DKIM er i bruk og filtrerer bort uønsket e-post før den når brukeren. Dersom SPF eller DKIM ikke klarer å verifisere e-posten, vil DMARC kunne settes opp til å avgjøre meldingens videre ferd (sletting, karantene, o.l.) samt varsle IT-avdeling om dagens usignerte bruk av eget domene.

Et eksempel: En svært utbredt svindelmetode de siste årene er at en trusselaktør utgir seg for å være eksempelvis administrerende direktør eller finansdirektør. Vedkommende sender en e-post til en medarbeider (gjerne nyansatt, identifisert gjennom egen artikkel på websiden om nyansettelsen) med beskjed om å utføre en økonomisk hastetransaksjon til en utenlandsk konto.

SPF, DKIM og DMARC som er satt opp riktig for domenet, vil her avverge et slikt svindelforsøk og enten slette e-posten eller merke den som spam.

OBS: Verdt å merke seg er at du må kontroll på all bruk av adresser knyttet til domenet, slik at for eksempel lønnslipper som sendes fra eksternt regnskapsbyrå, med avsender lønn@dittdomene.no, ikke havner i spamfilteret.

Bruker du eksterne tjenester som Mailchimp eller Hubspot må du også sette opp disse på samme måte slik at alt du sender fra de tjenestene er verifisert trafikk som ikke havner i spamfilteret og dermed blir en utfordring for omdømmet.

Kort oppsummert

Vi som jobber med datasikkerhet har alltid påpekt hvor viktig det er at alle er varsomme og årvåkne databrukere. De siste årene har vi sett en tiltagende trend der de kriminelle retter aktiviteten mot medarbeiderne i en bedrift mer enn kun mot teknologien.

Det er derfor relevant å framholde at den enkelte medarbeider er den viktigste beskyttelsen mot digitale trusler. Trygge medarbeidere, kombinert med gode verktøy, gir deg en god start på ditt nye sikkehetsregime.

  1. Bygg en sikkerhetskultur
  2. Anskaff en neste generasjons brannmur-løsning og DNS-filtrering
  3. Benytt sårbarhetsscannere i eget nettverk
  4. Ta i bruk verifikasjonssystemer for e-post

 Til slutt et tidlig tips til interne opplæringstiltak for høsten: Årets tema for nasjonal sikkerhetsmåned i oktober er skadelig e-post og svindel på nett.

 

Kom i gang med risikovurdering - last ned gratis e-bok

 

Av Anders Kringstad

Anders er løsningsarkitekt i ITsjefen AS og har vært med på å bygge opp bedriften fra tre ansatte og et bord med datamaskiner til en bedrift med mer enn 1000m2 datarom og et fibernett med 5000+ nettverkspunkter. Anders har arbeidet innen design, leveranse og drift av serverparker samt puslet med prosjekter knyttet til informasjonssikkerhet siden 90-tallet i regi av organisasjonen Underworld.

Flere artikler fra denne forfatter

Abonner på bloggen