Sikkerhetshendelse? Ring nødnummer 21 62 79 79!

Hendelse?
MENY

Av det vi kategoriserer som «alvorlige sårbarheter», skyldes så mange som 45 prosent av disse feil i konfigurasjon eller arkitektur...

Vi i Fence hjelper mange ulike virksomheter i arbeidet med sårbarhetsadministrasjon.

...de neste 45 prosentene skyldes manglende programvareoppdateringer, eller kjente sårbarheter i applikasjoner og operativsystem.

Det er kanskje litt ironisk at jeg stiller spørsmål ved om det jobbes med sårbarhetsadministrasjon, når vi i Fence jobber kontinuerlig med norske virksomheter for å avdekke sårbarheter. Men dessverre har det sluttet å overraske meg hvor mange alvorlige sårbarheter vi stadig avdekker. Eksempelvis finner vi fortsatt MS08-067 (brukt av Conficker i 2008) i store norske virksomheter, i tillegg til nyere, men svært alvorlige sårbarheter som MS17-010 (Eternalblue). Patchen for MS17-010 ble sluppet av Microsoft for snart et år siden, og selv om EternalBlue var omtalt mye i media gjennom 2017, eksisterer den fremdeles i systemene til svært mange norske virksomheter.

Jeg vet at enkelte systemer kan være krevende å oppdatere, at det kjører sære applikasjoner som ikke kan røres, men det er mulig å håndtere disse systemene på andre måter som samtidig sikrer virksomheten.

NSM NorCERT og Kripos skriver 25. januar 2018 at de jobber med flere CEO-bedragerisaker (direktørsvindel) i norske virksomheter. Les mer: https://www.nsm.stat.no/norcert/norcertvarsler/e-postsvindel-trend/

De etterforsker også flere vellykkede angrep mot ansatte i sentrale stillinger i norske teknologiselskaper. Svindelen skjer gjennom å ta over de ansattes e-post-konto for så å etablere videresending av e-post, som benyttes til å sende blant annet falske eller kopierte fakturaer. Enkelte av kontoene i disse sakene har vært kompromittert så lenge som sju måneder.

Jeg kjenner ikke til detaljene i sakene som det vises til fra NSM og Kripos, men det er nærliggende å tro at enkelte av disse kontoene er kompromittert via Outlook Web Access og/eller Office365-pålogginger uten tofaktor autentisering. Dette er en svakhet som eksisterer hos veldig mange virksomheter og som er enkelt for angripere å utnytte. De enten stjeler eller gjetter seg frem til brukernavn og passord, eller finner det via andre kanaler, som for eksempel via hackere som har stjålet dem og publisert på nett. Brukere har dessverre en uvane i å gjenbruke passord over mange år, både privat og i jobb. For å etterleve virksomhetens passord-policy endres kun noen siffer her og der. Benytter din virksomhet to-faktor for pålogging mot Outlook Web Access og Office365? Hvem vurderer om dette er en sårbarhet i din virksomhet?

30. januar ble hackerverktøyet AutoSploit sluppet. Dette kombinerer Shodan og Metasploit til et enkelt «pek-og-angrip»-verktøy, med veldig lav brukerterskel. Vi har altså kommet dit at ingenting bør være koblet til internett, uten at man har full kontroll på sårbarheter og programvareoppdateringer.

Jeg vet at mange bedrifter i Norge har svært godt utviklede program for å oppdage og håndtere sårbarheter, men jeg vet også at enda flere bedrifter ikke håndterer dette. De har ingen fast rutine for å avdekke eller håndtere sårbarheter. Så for å svare på mitt eget spørsmål; ja, det jobbes med sårbarhetsadministrasjon i enkelte virksomheter, men jeg tror det er unntaket, ikke regelen. Jeg tror vi har et stort forbedringspotensial i å sikre våre verdier bedre i Norge, ved hjelp av å jobbe strukturert med dette.

Kanskje du som leser dette blir litt inspirert, tar opp tråden og lager rutiner og regler for din virksomhet? Lykke til!