Den kriminelle scene på nettet er industrialisert med moderne og effektive former for delings- og oppdragsøkonomi. Aktører tilbyr phishing og løsepengevirus som tjeneste, ferdige pakker med nyttelast, veiledning og portal for overføring av kryptovaluta. Angripere behøver ikke å utvikle verktøy, men leier eller kjøper dem. Terskelen senkes. Angrep krever færre tekniske ferdigheter og øker i omfang. Av nyere dato er menneskedrevne utpressingsangrep, utført av personer som tar beslutninger i hvert stadium av drapskjeden basert på kontrollene i ofrenes nettverk – noe som kan få langt mer katastrofale følger enn tilfeldig spredning av løsepengevirus.
Trusselbildet er alvorlig, blant de største sikkerhetsutfordringer i dag. Men du kan forsvare deg og unngå å bli et bytte. Microsoft behandler 43 billioner sikkerhetssignaler i døgnet og har blokkert milliarder av angrep bare i det siste året. De sporer rundt 35 løsepengevirus-familier og har kartlagt 250 aktører på tvers av nasjonalstater og organisert kriminalitet. Det har gitt selskapet dyp innsikt i den cyberkriminelle økonomien, hvordan forskjellige grupperinger opererer, og hva du kan gjøre for å beskytte deg. For deg som forsvarer betyr det at du må gå over til en ny sikkerhetsmodell: Null tillit (Zero Trust) er ikke lenger bare et mulig alternativ, men et nødvendig imperativ!
Modellen for løsepengevirus som tjeneste
Forretningsmodellen for løsepengevirus som tjeneste eller Ransomware-as-a-Service (RaaS) er basert på utviklere av skadelig programvare som leier ut løsepengevare og kontrollinfrastrukturen til andre nettkriminelle. Det er en formidlingsøkonomi som ikke er veldig forskjellig fra det vi stadig ser mer av. Eksempler er Airbnb, Uber, Foodora osv. Tre parter er involvert: (1) tilbydere av varer og tjenester; (2) en digital plattform for automatisert prosessering av kjøp og salg; (3) kunder.
Her er det to leverandører. Tilgangsmegleren kompromitterer nettverk og etablerer vedvarende fotfeste på systemer. Hun eller han tilbyr RDP-tilgang, utnyttelse, kompromittert brukerlegitimasjon og botnett – et nettverk av datamaskiner infisert av trojanere som kobler seg til én eller flere sentrale styrende noder der de får tildelt oppgaver. RaaS-operatøren utvikler og vedlikeholder verktøy. Det omfatter å bygge løsepengevare, et lekkasje-nettsted for å henge ut eksfiltrerte konfidensielle data, betalingsformidling og kommunikasjon med ofrene for å øve påtrykk.
RaaS-kunder eller -partnere foretar angrepet, beveger seg sidelengs i nettverket, holder seg skjult og forblir på systemer, eksfiltrerer data og distribuerer løsepengevirus. De stanser tjenester, raserer Windows AD og ødelegger backuper. Enkelte ganger tar de seg ikke bryet med å kryptere filer; det holder å true med å offentliggjøre informasjon. Fortjenesten deles. For bakmennene involver dette mindre arbeid og risiko – trusselaktører blir arrestert og dømt. Angrepene kjennetegnes ikke ved forbedringer innen teknologi; den gjøres bare tilgjengelig for langt flere.
Oppdage og avverge
Microsoft 365 Defender og Sentinel er gode verktøy for å detektere angrep. Løsepengeangrep genererer flere forskjellige sikkerhetsvarsler, men man kan lett gå seg vill eller ikke reagere i tide. Varslingstretthet er reelt. Nå har Microsoft 365 Defender fått en funksjon for automatisert angrepsavbrudd som under et pågående angrep isolerer enheter og blokkerer kompromitterte brukere. Men for å få til en varig beskyttelse mot målbevisste menneskelige motstandere må man redusere angrepsklasser og varslingsvolumet. Det gjør det nødvendig med et fornyet fokus på forebygging, så man kan konsentrere seg om trusler det er vanskelig å beskytte seg proaktivt mot.
Svakheter ved angrepene
Trusselaktørene er motivert av enkel fortjeneste. Nøkkelen til å ødelegge for den cyberkriminelle økonomien er å øke kostnadene deres via sikkerhetsherding. Angripere bryter seg ikke inn, de logger seg på med stjålen legitimasjon. Dette kan du lett unngå ved å kreve at alle brukere, uansett hvor de befinner seg, benytter multifaktor-autentisering (MFA). Blokker eldre protokoller som ikke støtter moderne godkjenning. For å spre løsepengevirus og eksfiltrere data trenger skurkene administrative rettigheter. En rekke metoder kan hindre at de kommer så langt.
Angriperne utnytter sårbarheter og feilkonfigurasjoner – svakheter i programvare og på enheter. Du må få kontroll over skygge-IT og alle OAuth-apper, en innfallsport for mange angrep. Sensitive data må beskyttes med finmaskede tilganger og rettighetsstyring. En løsning for atferdsanalyse av brukere og enheter (UEBA) er avgjørende for å oppdage og varsle om avvik og stadiene i en cyberdrapskjede. Nettverk bør deles inn i soner og ytterligere mikrosegmenteres for å begrense sidelengs bevegelse og utbruddsområder for løsepengevirus. Anbefalingene munner ut i sikkerhetsarkitekturen Null tillit.
Null tillit (Zero Trust)
Null tillit er en proaktiv integrert tilnærming til sikkerhet på tvers av alle lag av det digitale miljøet som eksplisitt og kontinuerlig verifiserer hver transaksjon, krever minste privilegier og er avhengig av trusselintelligens, avansert deteksjon og sanntidsrespons på angrep. Sikkerhetsmodellen hviler på tre grunnprinsipper:
Virksomheter trenger en ny sikkerhetsmodell som effektivt er tilpasset kompleksiteten i det moderne miljøet, omfavner mobile arbeidsstyrker og beskytter mennesker, enheter, applikasjoner og data –uansett hvor de oppholder seg. I stedet for å tro at alt bak bedriftens brannmur er trygt, antar Zero Trust-modellen sikkerhetsbrudd og verifiserer hver forespørsel som om den stammer fra et åpent fiendtligsinnet nettverk: «Aldri stol på noe, alltid verifiser.» Tillit er ikke lenger standardholdningen, men unntaket – identiteten må bygge opp og gjøre seg fortjent til tillit. Vi vet ikke lenger om vi har å gjøre med venn eller fiende ved en pålogging eller forespørsel.
Null tillit i hele ditt digitale miljø
Null tillit gir en mulighet til automatisk å administrere unntak og varsler, så du lettere oppdager trusler, svarer på dem og hindrer eller blokkerer uønskede hendelser på tvers av virksomheten.
Zero Trust-tilnærmingen kan organiseres rundt disse sentrale teknologiske søylene:
Identiteter – enten personer, tjenester eller IoT-enheter – definerer Zero Trust-kontrollplanet. Når en identitet prøver å få tilgang til en ressurs, verifiser forespørselen med sterk autentisering og forsikre deg om at tilgangen er typisk for vedkommende. Følg prinsippet om minste privilegium.
Endepunkter må være ved god helse og i samsvar for sikker tilgang. Når en identitet har fått adgang til en ressurs, kan data flyte til en rekke forskjellige endepunkter – fra administrerte maskiner til mobilenheter, fra lokale nyttelaster til servere i skyen. Mangfoldet skaper en massiv angrepsflate.
Applikasjoner og APIer danner grensesnittet for å konsumere data. Bruk kontroller for å avdekke skygge-IT, sikre tilpassede tillatelser i appene og gi tilgang basert på sanntidsanalyse. Overvåk med tanke på unormal atferd og kontroller brukerhandlinger. Valider om konfigurasjonene er sikre.
Nettverk sørger for tilgang til data. Nettverkskontroller er kritiske for å forbedre synlighet og forhindre at angripere beveger seg sidelengs. Segmenter nettverk (med dypere mikrosegmentering) og implementer trusselbeskyttelse i sanntid, ende-til-ende-kryptering, overvåking og analyser.
Infrastruktur – enten med lokale eller skybaserte servere, containere eller mikrotjenester – representerer en kritisk trusselvektor. Vurder versjon, konfigurasjon og akkurat-i-tide-tilgang for å herde forsvaret. Bruk telemetri for å oppdage angrep og uregelmessigheter. Blokker automatisk og flagg risikoatferd. Iverksett beskyttende handlinger.
Data er til sjuende og sist dét vi ønsker å beskytte. Der det er mulig, bør data forbli trygge selv om de forlater enhetene, appene, infrastrukturen og nettverkene organisasjonen kontrollerer. Klassifiser, merk og krypter data, og begrens tilgang basert på disse attributtene.
Synlighet, automatisering og orkestrering på tvers av miljøet øker din sikkerhet, gir bedre data for å ta tillitsbeslutninger. Siden hvert av de individuelle områdene genererer sine egne relevante varsler, trenger vi en integrert metode for å håndtere den resulterende tilstrømningen av logger for å bedre forsvaret mot trusler og validere tilliten til transaksjoner.
Betinget tilgang som policymotor
Betinget tilgang er policymotoren i Zero Trust og fungerer som beslutnings- og håndhevelsespunkt. Kontrollstrategien – aldri stol på noe, alltid verifiser – fanger opp signaler og tar informerte avgjørelser på bakgrunn av enhets- og brukerrisiko. Er enheten administrert, er det oppdaget trusler, er den i samsvar med virksomhetens retningslinjer? Benytter bruker multifaktor-autentisering (MFA), tyder atferdsanalysen på avvikende oppførsel? Beslutninger for innkommende forespørsler tas med utgangspunkt i organisasjonens policyer og re-evalueres under sesjonen. Endelig håndheves policyen på tvers av ressurser, så som moderne apper og helst også eldre applikasjoner som publiseres ut til Internett. Denne identitetsdrevne arkitekturen sentrert rundt ressurstilganger gir betydelig bedre beskyttelse mot dagens angrep enn en sikkerhetsstrategi som bygger på klarerte bedriftsnettverk.
Forsvar identiteter mot utpressingsangrep
Angriperne starter i hovedsak med identitetsangrep med phishing og legitimasjonstyveri. Dette kan du forsvare deg mot med en solid identitetshygiene. Sikkerhetsvurderingen for identitet i Azure AD analyserer hvor godt miljøet ditt følger Microsofts anbefalinger, og hjelper deg med å bedømme status for identitetssikkerhet. Tabellen viser skår- og brukerinnvirkning og implementeringskostnad.
For full uttelling må du kreve multifaktor-autentisering for administrative roller og utpeke mer enn én global administrator. Du må ikke la brukere gi samtykke til upålitelige applikasjoner og benytte minste privilegerte administrative roller. Ikke la passord utløpe. Aktiver policyer for å blokkere eldre autentisering. Beskytt alle brukere med en påloggings- og brukerrisikopolicy. Sørg for at alle kan fullføre multifaktor-autentisering. Aktiver selvbetjent tilbakestilling av passord.
Beskyttelsen av identiteter settes opp med retningslinjer for Betinget tilgang i Azure AD. Policyene kan testes med What if. Du bør legge til én eller to break glass-kontoer med globale administrator-rettigheter som unntak, så du ikke låser deg ute. Legg merke til policyen Require compliant or hybrid Azure AD joined device. Den krever at brukere kun kan logge på fra enheter som er i samsvar eller er hybride medlemmer av Azure AD. Dermed er det lagt til et sikkerhetsnett. Blocked Countries er fortsatt bare i rapporteringsmodus for å undersøke effekten.
Beskytt enheter mot løsepengeangrep
En proaktiv beskyttelse av enheter innebærer å herde dem og utbedre sårbarheter. Fremgangsmåten varierer og er avhengig av plattform. Her tar vi utgangspunkt i Windows 11, som er det sikreste operativsystem Microsoft noensinne har utviklet. I skytilkoblet tilstand visker det ut skillet mellom sky og lokal maskin. Men rett ut av boksen er Windows konfigurert med tanke på å komme enkelt i gang og bakoverkompatibilitet. Det er en rekke sikkerhetsmekanismer vi med fordel bør aktivere.
Det første du gjør, er å registrere enheter i Intune. Dermed kan du konfigurere samsvarspolicyer –krav om minimum OS-versjon, kryptert lagring, brannmur, antivirus osv. Med Defender for Endpoint, kan du kreve at indikasjoner på at enheten er infisert med skadevare, inngår i samsvarsvurderingen. Ved manglende samsvar kan du ikke logge på fra maskinen før problemene er utbedret. Sånn deltar enheter i autentiseringen av identiteter og gjør livet enda vanskeligere for angriperne.
Intune kommer med grunnlinjer for sikkerhet for Windows 10 og senere, Defender for Endpoint, Microsoft Edge og Windows 365. Bruk dem for en innledende konfigurasjon. Enkelte innstillinger i dem vil du antakelig måtte redigere for å unngå konflikter og tilpasse dem miljøet ditt.
Så foretar du en skrittvis forfining med konfigurasjonsprofiler. Med tanke på sikkerhet vil de fleste av dem ta utgangspunkt i Trussel- og sårbarhetsbehandling i Microsoft 365 Defender. Den skanner kontinuerlig enheter for sårbarheter og feilkonfigurasjoner og kommer med anbefalinger og detaljert veiledning for utbedring. Gå gjennom og vurder rådene i Sikkerhetsanbefalinger. Jo flere av dem du implementerer, desto sikrere blir enhetene, og skåren går opp i Microsoft Sikkerhetsvurdering.
Anbefalingene gjør oppmerksom på hvilke oppdateringer som mangler. I tillegg er det forslag om ytterligere å herde konfigurasjonen av enheter, som å aktivere Defender Application Guard på to maskiner og Defender Credential Guard på én av dem. PIN-lengden for oppstart (BitLocker) bør settes til seks eller flere tegn. På macOS rådes vi til å endre passordlengden og sikre hjemmemapper.
Regler for reduksjon av angrepsflaten (ASR) tar sikte på å forhindre spesifikke aktiviteter som ofte brukes i forskjellige typer angrep, men som du vanligvis ikke trenger i ditt daglige arbeid. De fleste dekker atferden til Microsoft Office-programer, andre er mer generelle. Du kan hindre at brukere kan åpne kjørbart innhold i e-postklienten, blokkere makroer og obfuskerte skript og stenge for at Office-programmer oppretter underordnede prosesser. ASR kan sørge for avansert beskyttelse mot løsepengevare og legitimasjonstyveri fra delsystemet for lokale sikkerhetsinstanser i Windows. I alt er det en 16 ASR-regler. Den enkleste måten er å sette dem opp med Intune og overvåke dem med Defender for Endpoint. Det anbefales at du i første omgang kjører dem i overvåkingsmodus for å kontrollere at de ikke ødelegger for legitime programmer.
Windows har en rekke andre funksjoner for å begrense angrepsflaten. Brukerkontokontroll hindrer prosesser og programmer i brukermodus i automatisk å heve privilegier uten samtykke. Application Guard kjører ved behov Microsoft Edge i en isolert virtualisert maskin. Application Control begrenser hvilke applikasjoner en bruker har lov til å kjøre. Exploit Guard består av forskjellige komponenter som forebygger inntrengingsforsøk. Credential Guard benytter seg av virtualisering for å beskytte påloggingsopplysninger. BitLocker-stasjonskryptering sikrer data på harddisken når enheten går tapt, blir stjålet eller fjernet.
Tradisjonell antivirusprogramvare, som opererer med signaturer og heuristikk, gir ikke lenger nok beskyttelse mot dagens angrep. Det du trenger er avansert endepunktsdeteksjon (EDR) kombinert med automatisert utbedring av sikkerhetshendelser. Defender for Endpoint/Business er en av de ledende løsninger som gjør det mulig å beskytte, oppdage og respondere på hendelser.
Alle nevnte komponenter samarbeider: Trussel- og sårbarhetsbehandling og Reduksjon av angrepsflaten fungerer som vaksine mot cyberangrep, som for lengst har antatt pandemiske dimensjoner. Neste generasjons beskyttelse (t.v.) opererer på klienten med virusdefinisjoner (ikke vist her), heuristikk, emulering og maskinlæring (ML). Klientsiden samhandler med skyen. Her undersøkes mistenkelige filer basert på metadata, filklassifisering, omdømme og smarte regler. Et detonasjonskammer kan undersøke atferden til en fil i et beskyttet virtualisert miljø.
Endepunktsdeteksjon og respons (t.h.) jobber også på klienten med overvåking av atferd og nettverk pluss skanning av minnet. Her er det atferdsbaserte maskinlæringsmoduler i skyen. AMSI-paret maskinlæring bruker klient- og skymodeller som er integrert i Antimalware Scan Interface (AMSI) for å utføre avanserte analyser av skriptatferd før og etter utføring for å fange opp avanserte trusler som filløse angrep og minne-angrep. Det er noe signaturbasert beskyttelse ikke ser. Automatisert etterforskning og utbedring sørger for at du slipper å bry deg om mange av sikkerhetshendelsene.
Avsluttende ord
Nettverksperimetere danner ikke lenger en bærekraftig sikkerhetsavgrensning. Ansatte er mobile og alternerer mellom hjem, hytte og kontor. Bruken av skyapplikasjoner øker i omfang og befinner seg utenfor huset. Angrep foretas av tilsynelatende gyldige brukere hvis kontoer er kompromittert. Den nye sikkerhetsperimeteren er identiteten i en Zero Trust-arkitektur. Identiteter og pålogginger må sikres. Enheter brukere logger på fra, må beskyttes. Dette kan virke som et langt lerret å bleke. Men det er nødvendig med en omfattende beskyttelse for å forsvare seg mot den type angrep vi ser med løsepengevare i dag. Og vi er ikke ferdige. Neste del av innlegget tar for seg applikasjoner, nettverk, infrastruktur og data, samt synlighet, automatisering og orkestrering – alt dette med utgangspunkt i forsvar mot utpressingsangrep.
