«Kunder blir mindre og mindre overrasket og er mer klar over sine egne feil. Kunder er også mer og mer villig til å bruke penger og ressurser på sikkerhet. Men vi ser dessverre fortsatt kunder som ikke tar sikkerhet på alvor og feier sikkerhetsfeil og risiko under teppet», Aleksander Rasmussen.
Han vet hva han snakker om etter mange år som sikkerhetsekspert og pentester . Han jobber i TietoEVRY som sikkerhetsrådgiver
Pentesting er betegnelsen på inntrengingsforsøket en etisk hacker i et IT-sikkerhetsselskap gjør på oppdrag for en kunde for å avdekke sårbarheter og feil i infrastruktur og tjenester.
Én av de største cyberrtruslene du kan bli utsatt for, enten som privatperson eller ansatt i en organisasjon, er såkalt nettfiske (phishing ). Aleksander bruker et eksempel fra Netflix for å forklare hvordan hackerne går frem.
«Du kan få opp et falskt påloggingsbilde til Netflix hvor de ber om epost og passord. I en hektisk hverdag kan det være lett å klikke på et slikt bilde. Ved nærmere ettersyn vil man se at nettadressen ikke peker til Netflix, men en falsk adresse til noen hackere i for eksempel Brasil», forklarer han.
For å unngå å gå i fellen, anbefaler han at virksomheten bruker to-faktor pålogging. I tillegg er det viktig med god sikkerhetskultur i organisasjonen og en sunn skepsis. Det er viktig å lese hvem som er avsender av informasjonene i nettleseren så kan dette avsløres, forklarer Aleksander Rasmussen, og legger til at dersom du er i tvil, så ta kontakt med noen som har kunnskap på området.
Aleksander bruker flere metoder for å komme seg innsiden av et kundesystem.
Det blir stadig flere hackere, og de vet hva som er virksomhetens svakeste punkt.
Mange hackere lykkes fordi kunder benytter tjeneste som er såkalt «End-of-life», og ikke lenger mottar sikkerhetsoppdateringer fra leverandøren. En annen typisk kontroll er usikre passord eller standardpassord som aldri er endret.
«Virksomheter må følge nøye med og tette igjen åpenbare sårbarheter med én gang. Jo lengre tid det går, dess større er risikoen for at angripere kommer seg inn.
Du skal alltid sørge for en skikkelig lås på huset ditt er låst. Og jo lengre tid du lar huset stå ulåst, dess mer øker risikoen for at du får et innbrudd», sier han.
De mest åpenbare tingene en etisk hacker sjekker er tjenester med kjente sårbarheter, usikre konfigurasjoner som for eksempel gamle kryptoalgoritmer og sertifikater.
En litt mer avansert metode er å søke etter åpninger i administrative tjenester som er eksponert direkte på internett. Eksempler på dette er SSH, TELNET og RDP.
Aleksander Rasmussen sier at som etisk hacker er det viktig at han kan ligge i forkant av de ondsinnede hackerne. Han kjenner deres metoder, og måter å tenke på.
Men det er ingen magiske «triks». Sikkerhetsarbeid er ikke skippertak , men hardt og målrettet arbeid. Virksomheten må tenke helhetlig sikkerhet i et livssyklusperspektiv, og innarbeides fra starten av. For å kunne ligge ett steg foran anbefaler Aleksander Rasmussen at man følger grunnleggende sikkerhetshygiene som patching og herdig av tjenester. Det er også viktig å overvåke dagens trusselbilde ved å følge med på sikkerhetsblogger, podcaster og andre nyheter.
Det er en selvfølge og en etisk hacker har det i ryggmargen: En viktig årsak til at hackere lykkes er rutinesvikt eller menneskelige feil. Det kan være manglende oppdatering og patching , ikke etterlevelse av sikkerhetsprosedyrer. Etiske hackere tester også om det er mulig å komme seg fysisk inn hos en bedrift og få tilgang til kritisk utstyr og teknologi.
«Skap en god sikkerhetskultur internt slik at ansatte aldri gir fra seg brukernavn og passord, og at de er varsom med å laste ned programvare. Holdningsskapende arbeid og kunnskap rundt digitale trusler og sårbarheter er viktig, og ledere må gå foran som et godt eksempel», sier Rasmussen.
Skytjenester har bidratt til en tryggere hverdag for mange bedrifter. Dette må ikke bli en sovepute, advarer Aleksander Rasmussen.
«En utfordring i skyen er mangel på kontroll over infrastruktur og tjenester rundt seg, og tredjeparts containerprogrammer er et slikt eksempel. Det er en kjent sak blant hackere at denne type skyinfrastruktur kan inneholde sårbarheter. Det samme gjelder tredjeparts kodemaler», sier han.
SolarWinds og Kaseya har skapt mange bekymringer i 2021, og denne type angrep må vi forvente flere av.
«Det er viktig at man kartlegger alle data som behandles i et system eller forretningsprosess, og at man har kontroll på hvordan dataen lagres i», sier Rasmussen.
Etiske hackere leter etter sårbarheten i en programvare, og her er det flere smutthull som det er viktig å tette igjen.
Aleksander Rasmussen mener bedrifter må kontrollere og stille krav til programvareleverandører.
Han trekker frem tre utfordringer:
Tiltak:
Ta kontroll over cybersikkerheten din med tjenester basert på bedriftens behov. Les mer her.