Se din frygt for ransomware i øjnene
Det øgede antal af ransomware-angreb sætter virksomhederne under pres, og mange føler sig magtesløse over for de it-kriminelle. Men det er muligt at genvinde kontrollen ved at fokusere på en af de mest almindelige angrebsvektorer: Active Directory. Ransomware-angreb bruger nemlig ofte AD-sikkerhedshuller til at skabe det første hul ind til virksomheden ved at udnytte forkerte konfigurationer eller svage adgangskoder. Når denne første dør er lirket op, er der nærmest fri adgang til resten.
It-kriminelle er ikke interesserede i at inficere én enkelt maskine. De vil inficere så meget som muligt – og allerhelst sætte hele virksomheden i stå. På den måde har de en bedre chance for at få dig til at betale løsepenge. Da moderne Windows-klientoperativsystemer er rimeligt godt opdaterede og sikre, har de it-kriminelle vendt sig mod virksomhedens AD, hvorigennem de sniger sig ind og planter skadelig ransomware-kode i it-miljøet, hvorefter de finder og sletter sikkerhedskopier og giver sig selv fjernadgang til brug for et fremtidigt angreb.
Desværre viser it-sikkerhedsanalyser foretaget efter it-angreb ofte, at grundlæggende AD-sikkerhedsforanstaltninger er blevet overset. Især virksomheder med ældre applikationer og AD’er, der er over ti år gamle opdager, at det er meget ressourcekrævende at sikre den korrekte AD-sikkerhed. Sikkerhedstjek af politik for adgangskoder og tilladelser bliver ofte nedprioriteret i en travl hverdag – lige indtil et ransomware-angreb bruger virksomhedens AD som indgang. Selv virksomheder, der har etablerede processer til at lukke AD-sikkerhedshullerne, rammes af personaleændringer, hasteanmodninger om adgang, politikændringer og andre faktorer, der gør, at konfigurationsindstillingerne ændrer sig.
Nogle af de mest almindelige AD-fejlkonfigurationer, der fører til sikkerhedssårbarheder, er bl.a.:
• Konfiguration af AD med ubegrænset delegering – det er én stor tag-selv-slikbutik for de it-kriminelle.
• Den indbyggede administratorkonto på ét domæne bruges som en tjenestekonto til andre ressourcer, f.eks. databaser.
• Risikable tilladelser på domæneniveau.
• Administrative konti med adgangskoder, der ikke er blevet ændret i årevis.
Selvom intet kan beskyttes 100 procent mod de stadigt mere resolutte og sofistikerede it-kriminelle, så er der her tre trin, der kan øge din sikkerhed mærkbart:
1. Overvåg ændringer i Active Directory: Et AD skal selvfølgelig overvåges, og her er det nyttigt at holde et ekstra øje med de mere værdifulde dele, såsom domæneadministratorer og administratorer i det hele taget. Gennemgå samtlige unormale ændringer – uanset hvor uskadelige de virker. Husk, at it-kriminelle ved, at der holdes øje med dem, så de leder konstant efter måder at holde sig under radaren på. Det så vi bl.a. med Ryuks ændring af en gruppepolitik, så de kunne tilføje et login-script.
2. Udarbejd en responsplan: Når der registreres en ændring, der kræver din opmærksomhed, skal du have en responsplan på plads. Det er som minimum vigtigt at finde ud af, hvad ændringen består i, men det skal samtidigt afklares, om den samme konto har foretaget andre ændringer. Sørg for, at I kan stoppe de ændringer, der ser mistænkelige eller direkte skadelige ud. De-aktivering af konti, manuel annullering af ændringer og låsning af endpoints er nogle af de handlingsmuligheder, du har brug for. Det er usandsynligt, at de it-kriminelle nøjes med at ændre en enkelt ting. Når du opdager én ændring, bør du antage det værste og lede efter flere ændringer.
3. Beskyt proaktivt specifikke objekter: Du skal have mulighed for at overvåge specifikke ‘beskyttede’ objekter. Det er de driftskritiske, dem der sjældent skal ændres, og dem, som overhovedet ikke bør ændres. Her skal du automatisk kunne annullere ændringer og vende tilbage til den tidligere konfiguration. Selvom de it-kriminelle bliver stadigt dygtigere til at udnytte AD, så har de også deres begrænsninger. Hvis du beskytter de mest værdifulde dele af dit Active Directory, kan du afværge det meste. Dét er den gode nyhed. Bliver din virksomhed udsat for et zero day-angreb, så kan det fanges i trin 1, og du kan udvide din responsplan ved at tilføje objektet til listen over beskyttede objekter i AD.
Ved at følge ovenstående trin kan I forhindre eller i det mindste mildne angreb rettet mod AD – og selv beslutte hvem, der skal have nøglerne til jeres kongerige.
Vil du bidrage til debatten med et synspunkt? Så skriv til vores debatredaktion på debat@ing.dk
