Identitetstyveri er fortsatt blant de mest utbredte formene for cyberangrep. De rammer små og mellomstore bedrifter like hardt som store foretak. Ofte kan det gå en god stund før du oppdager at inntrengere har tatt seg inn i virksomheten din. Anslagene varierer fra 100 til 200 dager. Som tidligere FBI-sjef James Comey noe spissformulert uttrykte det: «Det finnes to typer organisasjoner. De som er blitt hacket, og de som ikke vet det ennå.» Men det er også lys i mørket. Analyseselskapet Gartner hevder at 99 % av sikkerhetsfeil i skyen vil være kundens skyld i 2025.
Det betyr at teknologiene er der. Nå gjelder det å få sikkerhets- og beskyttelsesmekanismene på plass, noe hovedtyngden av virksomheter fortsatt sliter med. Her skal vi se nærmere på hvordan angripere opererer for å tilrane seg påloggingsinformasjon, lure mottakere til å aktivere skadevare og utnytte sårbarheter i systemer for å trenge inn i organisasjoner. Vi viser også hvordan du kan gardere deg mot disse angrepene, basert på sikkerhetsfunksjoner og -produkter i Microsoft 365. Sammen bidrar de til å identifisere og beskytte mot trusler og automatisk respondere på dem.
Et typisk angrep med e-post-phishing
Generell nettfisking mot et utall uspesifiserte mottakere kan være enkelt å få øye på om man ikke er lettlurt. Språket er dårlig, preget av uredigert maskinoversettelse. Koblingene du oppfordres til å klikke på, er ofte helt ville. Verre er det med målrettede former for phishing. Spydfiske sikter seg inn mot bestemte personer i virksomheten som på forhånd er nøye gransket. Hvalfangst tar for seg de store fiskene, som administrerende direktør og økonomiansvarlig. Klonefisking går inn i en pågående e-postkommunikasjon og omdirigerer meldinger og utbetalinger til angriperne. Språkformen er omhyggelig tilpasset. E-posten inneholder ofte detaljer som er plukket opp fra sosiale medier og nettstedene til bedriften eller samarbeidspartnere. Det gir et pålitelig inntrykk.
Et godt forberedt phishing-angrep består av fem faser. (1) Angriperne setter opp falske domener eller kompromitterer legitime. De er grundige med å samle inn bakgrunn om mulige ofre. (2) De sender av gårde ondsinnede meldinger som ser helt tilforlatelig ut. Avsender er enten forfalsket eller til forveksling lik en adresse mottaker stoler på. (3) Adressatene lokkes til å klikke på en kobling som peker på et bedragersk nettsted. (4) Offeret lures til å legge igjen brukernavn og passord i et falskt webskjema. Det kan også skje at skadelig programvare lastes ned til offerets enheter som samler inn påloggingsopplysninger. (5) De nettkriminelle bruker denne legitimasjonen på gyldige nettsteder eller for å få tilgang til virksomhetens nettverk og bedriftsdata.
Nettkriminelle som administrerende direktør
Svindelen kan drives et hakk videre og bli langt mer lønnsom. For bedriften påføres det store tap. Her er det fire faser. (1) Den cyberkriminelle utgir seg for å være administrerende direktør ved å benytte forskjellig metoder, som forfalskede og etterlignede avsenderadresser eller identitetstyveri. (2) De kriminelle skaffer seg tilgang til direktørens e-postkonto. Dermed kan de overvåke meldingstrafikken som gir dem ytterligere opplysninger. Det gjør angrepet mer sofistikert og øker sannsynligheten for at det skal bli vellykket. De henter inn informasjon om forretningsforbindelser, måten direktøren uttrykker seg på, en oversikt over avtaler, aktiviteter og reiser, samt bankoverføringer.
De oppretter skjulte regler for videresending av e-post med utgangspunkt i nøkkelord som faktura og kundefordringer. Angriperne tar seg god tid, der de opererer usynlig for virksomheten, før de retter sviende slag. De angriper ikke nødvendigvis bare daglig leder, men andre personer i overordnede posisjoner, som managere og økonomiansvarlige. (3) Så sender angriperne e-postmeldinger som er utformet som om de kommer fra ansatte i administrative stillinger. Avsenderen kan også se ut som den kommer fra tredjeparter, som underleverandører og forretningsforbindelser. (4) Mottaker er i god tro og overfører større og mindre pengesummer til en svindelkonto.
Metoder for å forsvare deg mot e-post-phishing
Mange av disse teknologiene er behandlet i tidligere blogger. Klikk på lenkene for mer utførlig informasjon. Du bør sette opp autentiseringsprotokoller for e-post som godtgjør at avsender er den hun eller han utgir seg for. Du bør konfigurere, eventuelt investere i Microsoft Defender for Office 365 (MDO), som tidligere het Office 365 ATP. Det gir deg avansert beskyttelse mot phishing, basert på maskinlæring og Microsofts trusselintelligens. MDO analyserer koblinger idet du klikker på dem. Vedlegg undersøkes i et detonasjonskammer. Du kan revurdere virus- og trusselbeskyttelsen på brukernes enheter. Et produkt som Microsoft Defender for Endpoint (MDE) beskytter mot langt mer enn bare kjent skadelig programvare. Økt brukeropplæring er viktig.
I hybride miljøer med lokalt Windows Active Directory (AD) er Microsoft Defender for Identity (MDI) helt uunnværlig. Det oppdager identitetstyveri og fasene i en cyberdrapskjede, som omfatter at inntrengerne foretar en rekognosering i bedriftsnettverket, beveger seg sidelengs fra maskin til maskin og forsøker å elevere rettighetene til domene-administrator for å få herredømme over domenet. Noe av samme funksjonalitet gir Azure AD Identity Protection for rene skymiljøer. Naturligvis må du først som sist sette opp en sterkere autentisering enn bare brukernavn og passord. Du kan forankre godkjenningsprosessen i enheter og apper.
Sterk autentisering
Sterk autentisering innebærer totrinnsbekreftelse, også kjent som multifaktor-autentisering (MFA). Du plusser på med ytterligere én faktor i tillegg til brukernavn/passord, som en engangskode eller godkjenning fra Microsoft Authenticator.
Du kan sette opp MFA på den gammeldagse måten i adminstrasjonssentret for Microsoft 366 (ikke anbefalt). Du kan aktivere Sikkerhetsstandarder. Disse krever at alle brukere registrerer seg for MFA. Administratorer må alltid autentisere seg på den måten. Brukere trenger bare å gjøre det når den innebygde intelligensen anser det for å være nødvendig. Eldre e-postprotokoller som ikke støtter MFA, blokkeres. Det kreves MFA for administrative handlinger i
Azure. En bedre idé er å gjenskape denne funksjonaliteten med Betinget tilgang. Da kan du sette opp en policy om at du bare godtar pålogginer fra godkjente enheter. Du kan legge til unntak fra for eksempel klarerte nettverk.
Du kan også gå fullstendig over til passordløs pålogging ved hjelp av biometri (ansiktsgjenkjenning, fingeravtrykkavlesning) eller maskinvare-nøkler. Sterk autentisering fører til at angriperne ikke kan nyttiggjøre seg påloggingsinformasjonen de har rappet.
Brukeropplæring
Du bør ikke legge skylden på brukere om de lar seg lure av nettfiske. De er dypt ulykkelig. I stedet bør du ta i bruk alle sikkerhetsmekanismer som er tilgjengelig. Men det finnes ingen beskyttelse som er 100 prosent effektiv. Brukeropplæring hører også med. Opplæring i angrepssimulering lar deg rette to typer spydfisk-angrep mot brukerne dine og foreta angrep mot passord med rå kraft og med passordsprøyting, som er vanskeligere å oppdage.
Identitetsangrep mot lokalt Windows AD
Mange virksomheter har fortsatt en lokal infrastruktur som er beskyttet av brannmurer og systemer for å oppdage og forebygge innbrudd (IDS/IPS). Under gunstige omstendigheter er nettverket inndelt i segmenter for å redusere skader ved et innbrudd. Men ikke noe av det sørger for å avverge identitetsangrep. Here kommer Microsoft Defender for Identity (MDI) inn, som tidligere het Azure ATP med en lang forhistorie som serverbasert Office Advanced Threat Analytics.
Phishing-e-post er den mest utbredte metoden for å stjele legitimasjon. Men hackere har et rikt arsenal for å angripe virksomheter. De knekker passord ved rå kraft og logger seg på via eksternt skrivebord (RDP), utnytter sårbarheter i servere som vender mot Internett, og drar nytte av svake eller feilkonfigurerte innstillinger for applikasjoner.
Mimikatz sammen med Mimilove og Mikatz er populære hacker-verktøy. De brukes til å få tak i passord for kontoer med administrative rettigheter, og blokkeres umiddelbart av Defender for Endpoint. Gangen videre for angriperne er å benytte seg av helt legitime tjenester i Windows for å nå sitt mål om å få herredømmet over domenet. Underveis vil de opprette bakdører og kommunikasjon med deres kommando- og kontrollservere. De vil sørge for persistens, på godt norsk at de ikke blir hevet ut av organisasjonen de har trengt inn i. Så kjører de sine egne nyttelaster med fantasifulle navn.
Du vil se lite eller ingenting av de aktivitetene hackerne utfolder når de først er inne i lokalnettet ditt hvis du ikke har verktøy som oppdager det, så som Defender for Identity. Her har noen hacket min datters konto. Så har andre klart å få tak i en brukerkonto med administrative rettigheter. Og det er rettet et angrep for å få herredømmet over domenet.
Avsluttende ord
For flere tusen år siden skrev Sun Tzu i The Art of War (Kunsten å krige): «Hvis du kjenner fienden og du kjenner deg selv, trenger du ikke frykte resultatet av hundre kamper.» Tanken er at krigen skal vinnes lenge før slaget egentlig begynner. Verket har fortsatt aktualitet. Du må gjøre deg kjent med angrepsteknikkene og forstå hva slags forsvar du skal sette opp. Og da er vi tilbake hos Gartner som sier at de fleste bedrifter vil slite med å få den nødvendige sikkerheten på plass gjennom hele 2024. Antakelig er du best tjent med å ta kontakt med din IT-partner for å sikre organisasjonen din.
Fremstillingen står til dels i gjeld til det fremragende Pluralsight-kurset Microsoft 365 Security: Threat Protection Implementation and Management ved sikkerhetsekspert Rishalin Pillay. Figur 1 og 2 er i omarbeidet form hentet derfra. Figur 3 er fra Microsoft.
