Sikkerhetshendelse? Ring nødnummer 21 62 79 79!

 Hendelse? MENY

Effektive tiltak for å stoppe angripere #2

Basert på analyser av forskjellige tidligere angrep har vi i Fence Incident Response Team (FIRT) kommet opp med noen enkle grep for å forhindre «Lateral Movement».

Lateral Movement er når angriperne beveger seg rundt mellom maskiner — hopper fra maskin til maskin — for å kartlegge virksomheten og tilegne seg høyere rettigheter. Dette for å gi seg selv «domain admin» og tilgang til domene-kontrollere.

Når angriperne har oppnådd dette — Domain Admin og pålogging mot domene kontrollerne — har de full kontroll over hele nettverket.

Dette er enkle tiltak, og er skrevet som en oppfølging av tiltakene vi beskrev i artikkelen: «Effektive tiltak for å stoppe et angrep i tidlig fase».

Noen enkle tiltak for å forhindre «Lateral Movement»

  • Ikke la brukerne være lokal administrator på sin PC.
  • Blokker inngående trafikk mot SMB (445) porter.
    Les mer i artikkelen Angriperens beste venn i snart 20 år.
  • Skru av støtte for LLMNR & NBT-NS.
    Les mer i artikkel Slik stjeler vi brukernavn og passord i nettverket ditt.
  • Blokker kjøring av Powershell & CMD for vanlige brukere med GPO.
  • Blokker trafikk mot RDP Remote Desktop (3389) for brukere og maskiner uten behov.
  • Sørg for lange nok passord og at man skiller på passord mellom tjenester, privat, jobb og på roller som «admin» på vanlig brukerkonto.
  • Segmentering av nettverk.

NB! Husk å sørge for ekstra sikkerhet rundt backup - sørg for at det ikke er mulig å slette backup lokalt eller på annen lokasjon. Vi har sett eksempler der begge er slettet.

Denne nettsiden benytter cookies for å analysere trafikkmønster. Les personvernerklæringen vår.