Effektive tiltak for å stoppe angripere #2
Basert på analyser av forskjellige tidligere angrep har vi i Fence Incident Response Team (FIRT) kommet opp med noen enkle grep for å forhindre «Lateral Movement».
Lateral Movement er når angriperne beveger seg rundt mellom maskiner — hopper fra maskin til maskin — for å kartlegge virksomheten og tilegne seg høyere rettigheter. Dette for å gi seg selv «domain admin» og tilgang til domene-kontrollere.
Når angriperne har oppnådd dette — Domain Admin og pålogging mot domene kontrollerne — har de full kontroll over hele nettverket.
Dette er enkle tiltak, og er skrevet som en oppfølging av tiltakene vi beskrev i artikkelen: «Effektive tiltak for å stoppe et angrep i tidlig fase».
Noen enkle tiltak for å forhindre «Lateral Movement»
- Ikke la brukerne være lokal administrator på sin PC.
- Blokker inngående trafikk mot SMB (445) porter.
Les mer i artikkelen Angriperens beste venn i snart 20 år. - Skru av støtte for LLMNR & NBT-NS.
Les mer i artikkel Slik stjeler vi brukernavn og passord i nettverket ditt. - Blokker kjøring av Powershell & CMD for vanlige brukere med GPO.
- Blokker trafikk mot RDP Remote Desktop (3389) for brukere og maskiner uten behov.
- Sørg for lange nok passord og at man skiller på passord mellom tjenester, privat, jobb og på roller som «admin» på vanlig brukerkonto.
- Segmentering av nettverk.
NB! Husk å sørge for ekstra sikkerhet rundt backup - sørg for at det ikke er mulig å slette backup lokalt eller på annen lokasjon. Vi har sett eksempler der begge er slettet.