Taggat med: Holm Security

Tips för att höja cybersäkerheten

Tips för att höja cybersäkerheten

Med anledning av senaste tidens händelser och en ökad hotbild på cyberarenan så tänkte jag passa på att skriva ner några bra tips och råd på hur Er organisation kan höja cybersäkerheten.

Cyberresiliens och överbelastningsattacker

Er hemsida kan utsättas för överbelastningsattacker eller DDoS som det också brukar kallas. Antagonisten kommer att försöka identifiera kritiska punkter och skicka anrop om och om igen till dessa. Därför är det viktigt att se över hela den exponering som återfinnes mot Internet. Glöm inte API:er, subdomäner, DNS, SMTP osv.

Se till att ha en nödsajt samt alternativa vägar för att kommunicera inom Er organisation. Om internetförbindelsen går ner till Er organisation eller om tjänster såsom Slack går ner på grund av ökad belastning, hur kan ni då kommunicera? Om ni använder tjänster såsom Cloudfront, Akamai eller Cloudflare, se då till att den bakomliggande infrastrukturen inte går att nås via utanför dessa tjänster.

Internetexponering

Att veta hur organisationen ser ut från internet är otroligt viktigt. För det är just på dessa exponerade punkter som antagonisten kommer att fokusera först på. Kontrollera därför Er domän eller IP-adresser mot följande tjänster:

360PassiveDNS, ARIN, Ahrefs, AlienVault, AnubisDB, BinaryEdge, BGPView, BufferOver, BuiltWith, C99, Chaos, CIRCL, Censys, CommonCrawl, DNSdumpster, DNSDB, DNSlytics, DNSRepo, Detectify, FOFA, FullHunt, GitHub, GitLab, Greynoise, HackerTarget, Hunter, IntelX, IPdata, IPinfo, Maltiverse, Mnemonic, N45HT, NetworksDB, ONYPHE, PassiveTotal, PentestTools, Quake, RADb, Robtex, SecurityTrails, ShadowServer, Shodan, SonarSearch, Spamhaus, Spyse, Sublist3rAPI, TeamCymru, ThreatBook, ThreatCrowd, ThreatMiner, Twitter, Umbrella, URLScan, VirusTotal, WhoisXMLAPI, ZETAlytics, ZoomEye.

Eller använd OAWSP amass som gör det automatiskt. Använd DNS Anycast och försök att fronta via CDN och WAF. Även om jag inte är ett stort fan av Web Application Firewalls så kan det vinna Er några timmar.

Autentisering

Denna punkt har också att göra med ovan punkt. Dvs identifiera alla exponerade delar mot internet där en användare kan autentisera sig. Här är det otroligt viktigt att använda flera lager av skydd, jag rekommenderar att använda VPN som omslutning för allt. Och se till att också använda tvåfaktorsautentisering med hårdvaru-tokens såsom Yubikeys och certifikat.

Så kortfattat: Exponera inget mot internet som går att köra över VPN. Se till att den som ansluter via VPN inte kommer åt mer än nödvändigt, tänk zero-trust arkitektur.

Patchning och uppdatering

Om möjligt, se till att systemen uppdaterar sig själva automatiskt med nya säkerhetspatchar. Men var också medveten om att det finns möjlighet för bakdörrar att sig sig in den vägen. Dvs gör ett noga övervägande om för respektive nackdelar med automatiskt säkerhetspatchning. För majoriteten så är detta rätt väg att gå men inte något för alla.

Patcha inte bara mjukvaror, glöm inte heller switchar, skrivare, firmware och annat som också måste uppdatera. Och håll koll på om produkter eller system börjar närma sig End-of-Life och vad ni har för möjligheter då.

Har ni system som är äldre och som inte går att uppdatera men som ni ändå är beroende av, se till att isolera dessa extra noga. Exempelvis ett eget segment i nätverket där allt är filtrerat in och ut samt en speciell jump-host måste användas för att komma åt detta gamla system.

Härda systemen och se till att enbart mjukvaror som används exponeras eller är påslagna.

Övervaka, öva och testa

Testa säkerheten kontinuerligt med automatiska testverktyg såsom Holm Security, Detectify eller Nessus. Anlita konsulter som gör återkommande manuella penetrationstester samt genomför kodgranskning löpande om ni utvecklar mjukvara.

Öva på att återställa backup och se till att backuperna lagras offline eller på annat sätt icke åtkomliga från den ordinarie IT-infrastrukturen.

En komprometterad klient kan snabbt leda till att hela Er Windows AD-miljö blir övertagen. Se därför till att ni snabbt kan detektera om en klient börjar att bete sig suspekt. Har ni inte förmågan själva så se till att anlita ett företag som är experter på SIEM/SOC. Och vad gör ni när ni upptäcker något suspekt eller blivit utsatta för intrång, då är det bra att redan ha upparbetade kontaktvägar eller plan hur delar ska isoleras för att begränsa skada.

Glöm inte att allt ni ansluter kan producera loggfiler och hjälpa till att upptäcka intrång, syslog har funnits med länge och går att slå på och använda på nästan allt som kopplas upp.

Sammanfattning

Sist men inte minst, det ni inte känner till kan ni inte heller skydda. Se därför till att inventera och ha en god koll på vilken utrustning ni har, såväl mobiltelefoner, servrar, laptops och annat.

Administrativa konton bör användas ytterst begränsas och om möjligt med dubbelhandsfattning, tidsbegränsat eller liknande. Inventera dessa konton kontinuerligt.

Se också över beroendet gällande leverantörer, underleverantörer och tredjepartsberoenden. Upprätta en SBOM eller liknande. Jobba långsiktigt och systematiskt med cybersäkerheten och genomför omvärldsbevakning löpande, jag själv använder Twitter som en källa.

FRA FMV Försvarsmakten Säkerhetspolisen Polisen Post och Telestyrelsen MSB

Relevanta myndighetsdokument att läsa vidare:

Test av Holm Security

Sårbarhetsanalyser har över 20 år varit en hörnsten i ett bra IT-säkerhetsarbete. Allt fler organisationer stärker upp sin säkerhet. Då landskapet ändras snabbt växer behovet av kontinuerliga skanningar. Historiskt har många inte gjort skanningar alls, eller bara enstaka skanningar internt eller externt.

Marknaden har historiskt dominerats av ett par aktörer från USA såsom Nessus från Tenable, men nu finns en alternativ produkt från svenska Holm Security.

Genom att göra kontinuerliga och automatiserade skanningar upptäcker du t.ex. löpande utdaterad mjukvara, felkonfigureringar, bristfällig kryptering och svaga lösenord. Dessutom är det ett effektivt sätt att upptäcka det man kallar blank spots, alltså delar i er IT-miljö som kan vara förbisedda.
Sårbarhetsanalyser ger dig bra kontroll på din IT-säkerhet och kombineras med fördel med mer traditionell penetrationstestning.

Skärmdump från Holm Securitys administrationsgränssnitt Security Center:

Holms backend bygger på två olika skannings-motorer som kan ses i gränssnittet ovan. En motor för webbskanningar och en för nätverksskanningar.

För den som gillar API:er och programnära gränssnitt så finns det ett REST API med exempelkod på Github här: https://github.com/holmsecurity/api-examples och dokumentation för API:et kan du hitta här.

När jag testade produkten så så körde jag tester mellan 2019-06-10 – 2019-07-06. Jag skannade en testmiljö med 37 IP-nummer och 1 st så kallad Damn Vulnerable Web Application/DVWA. Nätverksskanningen tog i snitt 13 minuter och webapplikationsskanningen 7 minuter. Rekommenderat är att köra automatiska scanningar så ofta som möjligt utan att det påverkar prestanda i applikationer eller nätverk.

Om du vill testa lokala nätverk innanför brandväggar eller liknande så finns det en Scanner Appliance (SA) som går att ladda hem som en virtuell server. Obegränsat med SA går att använda och prissättningen är satt utifrån antalet IP-adresser eller webbsajter/tjänster du vill skanna av.

Prisexempel:

Skanning av 100 IPn och 5 webbappar kostar 53 356 kr/år exkl moms.

En annan intressant produkt förutom intern och extern scanning är att du kan göra phishing-tester via E-post. Det finns ett antal standardmallar du kan använda och sedan skicka ut till organisationen och mäta statistik. Inga inviduella personer pekas därmed ut.

Skärmdump på assessments/riskanalys:

Riskanalys av användare för 250 e-postadresser kostar runt 21 000 kr/år exkl moms.

Bakom Holm Security står gänget som startade Stay Secure och som således till J2 Group år 2014. Och en annan sak de har lagt mycket krut på är onboarding-processen för nya organisationer, att det ska vara så snabbt och enkelt att komma igång.

Holm Security får 4/5 Enigmor:

Transparens: Jag sitter med i Advisory Board hos Holm Security samt äger en pytteliten andel i företaget.