I over ti år har NSM drevet inntrengingstesting av noen av Norges viktigste informasjonssystemer. Testene skal bidra til å styrke sikkerheten i offentlige og private virksomheter med ansvar for nasjonale sikkerhetsinteresser.
Norge må øke sin evne til å avdekke, forhindre og håndtere cyberoperasjoner, skrev vi i NSMs sikkerhetsfaglige råd. Selv om programvaren, nettverkene, brukerne og virksomhetene selv blir sikrere, ser inntrengingstesterne våre at de samme sårbarhetene går igjen år etter år. Derfor har NSM samlet de ti vanligste sårbarhetene – og råd for hvordan de kan håndteres – i rapporten «Ti sårbarheter i norske IKT-systemer».
De aller fleste informasjonssystemene vi tester er Windows-baserte. Det blir stadig vanskeligere for oss å få kontroll over en moderne Windows-maskin. Det til tross for at NSM bruker både avanserte K2-rammeverk, fil-løs skadevare og andre metoder for å skjule hensiktene våre og omgå beskyttelsesmekanismer. Det er utfordrende å kjøre egen kode, skall og annen nyttig programvare. Vi sliter med å stjele passord, bevege oss videre i nettet, sikre persistens og eskalere til brukere med høyere rettigheter. Vel å merke om virksomheten har tatt de rette grepene.
De viktigste rådene
Oppdaterte maskiner reduserer muligheten til å utnytte kjente sårbarheter. Automatiske oppdateringer har god effekt, også via proxy-tjenere for offline-systemer. Samtidig må all relevant programvare på alle maskiner med i oppdateringsregimet.
Sikkerhetsherdet programvare reduserer angrepsflaten. Å redusere tilganger til et minimum, bytte standardpassord, og ta i bruk innstillinger som begrenser programvaren til kun å utføre klart definerte oppgaver fjerner mange angrepsmuligheter.
Riktig bruk av nyere mekanismer for sikkerhet har god effekt forutsatt at de er aktivert og konfigurert. Applikasjonskontroll er en svært effektiv teknologi, men krevende å ta i bruk presist nok. Brannmurer begrenser både tilganger til og fra maskinen.
Brukerne bør kun få lov til å kjøre nødvendig programvare og kun ha tilgang til relevante data og filområder. Et angrep på en maskin begynner gjerne med tilgangene til én bruker og NSM opplever ofte å bli hindret eller sinket når vi ikke kan kjøre skript, starte skall eller mangler tilgang på filområder.
Logging, analyse og respons er viktig for å kunne oppdage og agere på unormal oppførsel. Mange av teknikkene NSM bruker for å skaffe tilganger under inntrengingstester har unormale bruksmønstre. Likevel ser NSM ofte at aktiviteten verken logges eller fanges opp.
Moderne antivirus, også kalt endepunktssikkerhetsløsninger, integrerer seg med andre sikkerhetsmekanismer og bidrar til å skape et helhetlig forsvar mot angrepsteknikker. Systemene oppdager mistenkelig oppførsel, noe som gjør det vanskeligere å kjøre skadevare eller misbruke tillatt programvare.
Folk. Det absolutt viktigste sikkerhetsgrepet en virksomhet kan ta, er å ha gode folk. Å gjennomføre alle tiltakene over uten å trå feil krever kompetanse, tid og kontinuerlig fokus. Dette gjelder tiltakene hver for seg, men også som del av en helhetlig sikkerhetsarkitektur. Det er nødvendig å ha en profesjonell driftsorganisasjon med dyktige folk med høy kompetanse.
Om du er kjent med alt over? Topp. Har du gjort noe med det? Enda bedre.
