10 måder hvorpå hackere kan få adgang til netværk

CISA har afsløret de ti angrebsvektorer, der udnyttes mest af professionelle hackere for at få adgang til organisationsnetværk og trådløse netværk, samt de teknikker, de bruger til at få adgang.

8 minutters læsning. Udgivet den 05-08-2022 under kategorien: hacking.

10 måder hvorpå hackere kan få adgang til netværk

CISA, et fælles multinationalt agentur til cybersikkerhedsrådgivning, har afsløret de ti angrebsvektorer, der udnyttes mest af professionelle hackere til at få adgang til organisationsnetværk og trådløse netværk, samt de teknikker, de bruger til at få adgang.

Rådgivningen citerer fem teknikker, der bruges til at opnå uautoriseret adgang i organisationer og offentlige myndigheder:

Der er en vis grad af overlap mellem de fleste af disse teknikker, hvor nogle følger naturligt af en anden. CISA oplister ti forskellige bekymringsområder, som du kan se nedenfor.

Hvis du genkender nogle som potentielle svage punkter, eller din organisation ikke har nogen sikkerhedspolitik vedrørende disse områder, er det måske på tide at gøre noget ved det.

10 områder udnyttet af professionelle hackere

1. Multifaktorgodkendelse (MFA) håndhæves ikke

MFA er især nyttig, når hackere har stort fokus på teknikker som phishing, tillidsfulde relationer og gyldige konti. Enhver af disse tilgange kan have alvorlige langsigtede konsekvenser for en berørt organisation. Det er ikke kun, hvordan de kommer ind, men hvad de laver bagefter.

En virksomhed, der er blevet ramt af ransomware og dataeksfiltrering, kan have oplevet flere stadier af angreb for at nå det punkt. Tænk, hvis de alle aldrig havde fundet sted, fordi det første indgangssted, en stjålen adgangskode, var blevet beskyttet med MFA. Det er et helt uvurderligt værktøj for alle brugere, og især for administratorer eller personer med forhøjede privilegier.

2. Forkert anvendte privilegier eller tilladelser og fejl i adgangskontrollister

Brugere bør kun have adgang til ressourcer og IT-systemer, der er nødvendige til et givet formål. En person, der ved et uheld er blevet tildelt kontrol på administratorniveau på et virksomhedswebsted, kan forårsage kaos, hvis deres konto er blevet hacket, eller de forlader virksomheden, og ingen tilbagekalder adgangen.

På samme måde kan adgangskontrollister (ACL'er), der bruges til at filtrere netværkstrafik og/eller give visse brugere filadgang, hurtigt lede til negative konsekvenser, hvis brugere får adgang til de forkerte adgangstilladelser.

3. Software er ikke opdateret

Asset and patch management hjælper med at holde operativsystemer og anden nøglesoftware opdateret. Sårbarhedsscanninger er værdifulde til at vurdere, hvilken software der ikke understøttes i en end-of-life-tilstand eller en anden kategori, hvilket betyder, at kontinuerlige opdateringer kan være vanskelige. Forældet software er en af de mest brugte angrebsvektorer, der fører til netværkskompromis. 

4. Brug af leverandørleverede standardkonfigurationer eller standardbrugernavne og -adgangskoder

Hardware der kun indeholder standardopsætninger er et no go for alle virksomheder. Der er en meget god chance for, at standardbrugernavn/adgangskoder er let tilgængelige online, f.eks. fra generiske spørgsmål på hjælpesider. Ikke at ændre standarder på både hardware og software kan være en af de største årsager til, at en virksomhed oplever databrud.

Afhængigt af hvor du bor, kan standardadgangskoder være et stort problem, ikke kun i forretningsmæssig forstand, men også i en meget lovlig forstand. Brugen af standardkonfigurationer kan muligvis lede til bøder eller forbud, alt efter hvilket land, din virksomhed er i.

5. Fjerntjenester – såsom en VPN – mangler tilstrækkelig kontrol til at forhindre uautoriseret adgang

Yderligere sikkerheds- og privatlivsværktøjer kræver omhyggelighed med hensyn til opsætning og konfiguration. En dårligt designet VPN til arbejdspladsen kan let tilgås af en hacker og kan også hjælpe med at skjule hackerens udnyttelse af netværket.

MFA er nyttig her, ligesom overvågning af tilfælde af unormale brugsmønstre, såsom pludselig forbindelse til VPN uden for arbejdstiden.

6. Stærke adgangskodepolitikker er ikke implementeret

Svage adgangskoder udnyttes ofte af kriminelle til at tilgå netværket. Dårlige RDP-opsætninger (Remote Desktop Protocol) rammes særligt hårdt af dårlig adgangskodepraksis. Det er en almindelig måde, hvorpå ransomware-angreb rammer virksomheder gennem deres netværk. En adgangskodepolitik med informationer om brugen af stærke og forskellige passwords er et must.

Værktøjer til at gætte adgangskoder vil blive ved med at køre, indtil de gætter en svag adgangskode og muliggør adgang til målorganisationen. Dette kaldes brute force-angreb. En måde at bekæmpe dette på er at begrænse mængden af login-forsøg via RDP, før du låser brugeren ude.

7. Cloud-tjenester er ubeskyttede

Ubeskyttede cloudtjenester er en stor del af historier om sikkerhedsbrud. Standardadgangskoder, og i nogle tilfælde ingen adgangskoder, giver nem adgang til både virksomheds- og klientdata. Dette kan lede til stor skade på folks personlige oplysninger og skade på omdømmet for den organisation, der bliver ramt.

8. Forkert konfigurerede tjenester er åbne for udnyttelse på internettet

Kriminelle bruger scanningsværktøjer til at opdage sikkerhedshuller og udnytte dem som angrebsvektorer. At kompromittere en enhed på denne måde kan give anledning til muligheden for flere angreb efter den først opnåede adgang. RDP, NetBios og Telnet er alle potentielt højrisiko for et usikkert netværk.

9. Manglende opdagelse eller blokering af phishing-forsøg

Ondsindede makroer i Word-dokumenter eller Excel-filer er en nøglefunktion i forretningscentrerede phishing-angreb. De er muligvis tæt på at forsvinde takket være de seneste tilladelsesændringer i Office-produkter, som gør det sværere at køre dem.

Selv uden truslen om falske vedhæftede filer er phishing stadig et stort problem for administratorer. Ingen scanning af e-mails, der kommer ind på netværket, eller scanning af meddelelsesindhold fra interne afsendere for tegn på kompromitterede konti, vil lede til phishing-mails i de ansattes indbakker.

Denne interne trussel er et andet område, hvor MFA vil hjælpe meget. En politik for hurtig deaktivering og sletning af konti for afgåede medarbejdere bør også overvejes. 

10. Dårlig slutpunktsdetektion og -respons

Cyberkriminelle gør det ofte så svært som muligt at identificere de angreb, de bruger. Malware er pakket på bestemte måder for at undgå opdagelse og identifikation. Ondsindede scripts, der uploades til websteder, er sløret, så det er svært at finde ud af præcis, hvad de laver.

Er din hjemmeside vært for SEO-forgiftning og spam-omdirigering? Uden de rigtige programmer og analyser kan det tage meget længere tid at finde ud af, og din virksomhed vil lide under varigheden.

Bedste fremgangsmåder til at beskytte dine IT-systemer mod hacking

Rådgivning fra CISA indeholder en nyttig liste over måder at bekæmpe nogle af disse nævnte problemer på:

Kontrollér adgang: Det er vigtigt at kontrollere, hvem der kan få adgang til hvad, hvornår og hvordan. Tillad kun lokale logins for administratorer, som udelukker dem fra RDP, medmindre det er absolut nødvendigt. Overvej dedikerede admin-arbejdsstationer, hvis det er muligt.

Alle bør kun have adgang til det, der kræves for at udføre deres arbejde effektivt, med et ordentligt forretningsflow, der kræves for at godkende anmodede yderligere tilladelser. Hvis medarbejdere skifter rolle eller forlader organisationen, tilbagekaldes deres adgang med det samme.

Styrk beskyttelsen af oplysninger: MFA på tværs af alle områder af organisationen er igen nøglen her. Overvej fysiske hardware security keys til dem med adgang til forretningskritiske tjenester. Hvis MFA ikke er tilgængelig for visse medarbejdere, skal du gøre brug af andre sikkerhedsteknikker for at minimere uautoriserede logins.

En streng adgangskodepolitik kombineret med kontrol af brugte enheder, tidspunkt på dagen, placeringsdata og brugerhistorik kan hjælpe med at sammensætte et billede af, hvad der med rimelighed kan beskrives som en legitim medarbejder.

Etabler centraliseret logstyring: Loggenerering og -lagring er essentielle værktøjer til mange aspekter af sikkerheden. Data fra værktøjer til registrering af indtrængen hjælper med at forme et billede af potentielt ondsindet aktivitet, hvor den kommer fra, hvilket tidspunkt på dagen og så videre. Bestem, hvilke logfiler du har brug for. Har du brug for et fuldstændigt billede af cloud-aktivitet? Er systemlogning vigtig? Er du i stand til at fange aktivitet på netværket?

Beslut dig for en opbevaringsperiode. For kort tidsramme, og du skal muligvis henvise til logfiler, som ikke længere eksisterer. For lang, og der kan være privatlivsproblemer omkring de oplysninger, du har registreret og beholdt. Sikker opbevaring er også vigtigt, da du ikke ønsker, at hackere manipulerer med de data, du har indsamlet.

Brug antivirusløsninger: Arbejdsstationer kræver sikkerhedsløsninger, der er i stand til at håndtere udnyttelser, der ikke kræver brugerinteraktion og angreb, der er afhængige af social engineering. Et godt antivirusprogram bør installeres på alle computere.

Desktop-kapring, malvertising, malware-angreb og falske vedhæftede filer er blot nogle af de trusler, du kan blive ramt af. Rutinemæssig overvågning af scanningsresultater vil hjælpe med at finde ud af svage punkter og sårbarheder i din IT-sikkerhed.

Anvend registreringsværktøjer: Et Intrusion Detection System (IDS) hjælper med at opsnuse ondsindet netværksaktivitet og beskytter mod tvivlsom aktivitet.

Penetrationstests fra etiske hackere kan afsløre fejlkonfigurationer med tjenester anført ovenfor, såsom cloud, VPN'er og mere. Cloud-tjenesteudbyderens værktøjer vil hjælpe med at lokalisere overdelt lagring og uregelmæssig eller unormal adgang.

Forfatter Sofie Meyer

Kort om forfatteren

Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.

Lignende indlæg