Sikkerhetshendelse? Ring nødnummer 21 62 79 79!

Hendelse?
MENY

God e-post-sikkerhet forhindrer dataangrep

De fleste vellykkede angrep skjer via e-post. Vårt tips er å fokusere på enkle tiltak som effektivt og målbart bedrer sikkerheten. Verizon sin data breach report for 2020 bekrefter at minst 67% av alle datainnbrudd benytter phishing og e-postkonto-overtakelse (BEC).

Våre tall fra FIRT bekrefter disse tallene, men hvis vi ser på antallet forsøk og antall hendelser vi mottar er nok prosentandelen enda større for Norge. Det kommer selvfølgelig an på hvordan man teller disse hendelsene, men angrep som benytter e-post eller e-post-kontoer står for langt mer en 67% av de reelle hendelsene vi håndterer. Vi ønsker derfor i denne utgaven å fokusere på e-post-sikkerhet og tiltak vi mener er ganske enkle å implementere, og som gir målbare resultater:

Sikker konfigurasjon av e-post og SMTP

Våre penetrasjonstestere avdekker svak e-post konfigurasjon i mer enn 50% av alle oppdrag

Ofte som en del av en penetrasjonstest gjennomfører vi sosial manipulering ved bruk av e-post. Det kan være angrep som fisker etter brukernavn, passord og to-faktor-kode, eller levering av en bakdør via lenker og vedlegg. I forbindelse med informasjonsinnsamlingen i forkant ser vi etter åpne SMTP-porter, svak SPF, svak DMARC-implementasjon, og hvilke sikkerhetsløsninger som er på plass. Dette gjør vi for at vi på best mulig måte skal kunne forfalske en avsenderadresse (spoofing) og omgå sikkerhetsløsningen til virksomheten. Ofte er det svak implementering og dårlig konfigurasjon som er avgjørende.

  • Kontroller at SMTP ikke er tillat direkte fra Internett hvis man benytter et eksternt SPAM-filter.
  • Sørg for at benytter SPF, DKIM og DMARC for å forhindre misbruk og falske avsendere.
  • Sørg for to-faktor-autentisering for O365, OWA, Azure og andre webportaler.
  • Oppdag når kontoer er på avveie og når kontoer blir kompromitterte.
  • Implementer verktøy for administrering av DMARC.

6000% økning i bruk av ny phishing-metode.

Threatpost varslet tidligere i februar om stor økning i bruk av «malformed» URL-er som endel av phishing kampanjer.

Treatpost skriver at forskere ved GreatHorn har observert en økning på 6000% i bruk av «malformed» URL-er i phishing-e-poster. Angripere snur på «slash» i URL-er for å omgå sikkerhetsmekanismer. Mange sikkerhetsmekanismer blir lurt ved at de ikke forstår eller gjenkjenner kjente onde URL-er hvis angriperen bare snur den ene slashen i en URL. I stedet for å spesifisere URL-protokoll med «http://», benytter de «http:/\» som i de fleste tilfeller fungerer like bra, men som ikke blir oppdaget av mange sikkerhetstiltak. Dette er et eksempel på en metode som angripere benytter for å lure eksisterende sikkerhetsmekanismer.

Enkle tiltak å implementere i e-post-filter:

  • Blokker alle URL-er som inneholder «http:/\»
  • Blokker alle filer som inneholder MACRO
  • Blokker passordbeskyttede ZIP-vedlegg
  • Blokker alle lenker som inneholder .HTA-endelser.