Sikkerhetshendelse? Ring nødnummer 21 62 79 79!

Hendelse?
MENY

Effektive tiltak for å stoppe et angrep i tidlig fase «Initial Access»

Basert på analyser av forskjellige tidligere angrep har vi i Fence Incident Response Team (FIRT) kommet opp med noen enkle grep for å forhindre «initial access».

Klarer vi å forhindre at angriperne får en fot på innsiden er mye av jobben gjort

Vår erfaring er at de fleste angrepene i dag benytter MS Office dokumenter med macro, lenker i e-post, phishing med Microsoft-basert innhold som f.eks. deling av filer med MS Teams og HTA-lenker som noen eksempler.

Vi ser også mange forsøk mot åpne «Remote Desktop RDP»-porter, VPN-pålogginger og Office 365-pålogginger. Det er viktig å være klar over at det finnes enkle verktøy for phishing av Office 365 2FA (to-faktor-pålogging), som brukes i forbindelse med tradisjonelle phishing-kampanjer.

Da vil angripere kunne stjele to-faktor PIN og sesjon i tillegg til passord. Det har også blitt avdekket enkelte svært veldig alvorlige sårbarheter den siste tiden i blant annet Google Chrome (CVE-2020-15999) og en sårbarhet knyttet til AD domenekontrollere (CVE-2020-1472) «ZeroLogon».

Nedenfor har vi noen enkle tiltak vi alltid anbefaler. Bruk gjerne også gjerne litt tid på MITRE sine hjemmesider og se på de ulike metodene benyttet ved «initial access».

Noen enkle strakstiltak for å forhindre «Initial Access»

  • Blokker lenker med .HTA endelse på lokal klient, i brannmur, eller mail-gateway
  • Blokker følgende filtyper på e-post og lokalt: .RTF, .SCR, .LNK, MS Macro, passordbeskyttede .ZIP e.l.
  • Blokker kjøring av Powershell & CMD for vanlige brukere med GPO.
  • Blokker kjøring av macro med applikasjonskontroll eller GPO
  • Sårbarhetsskanning/sårbarhetsadmnistrasjon for å avdekke åpne porter fra internett (RDP) og sårbare systemer Ref: (CVE-2020-15999) &(CVE-2020-1472).

Flere av disse tiltakene er enkle å iverksette, men ta gjerne kontakt med oss om dere ønsker bistand med sårbarhetsadministrasjon, rådgiving rundt etablering av tiltak eller har andre spørsmål.