Bekæmpelse af Utydelige Sikkerhedstrusler ved Fjernarbejde

I foråret 2020 blev de fleste regeringer og virksomheder over hele verden tvunget til hurtigt at overføre mange ansatte til fjernarbejde. På grund af dette blev designproblemerne ved et nyt informationssikkerhedssystem udskudt. I stedet tog organisationerne de mest relevante beskyttelsesforanstaltninger, der var tilgængelige på det tidspunkt, for eksempel firewalls, VPN’er og flerfaktorautentifikation.

På grund af travlheden med at opbygge fjernarbejde og begrænsede budgetter blev mange akutte sikkerhedstrusler ignoreret. Over tid er informationssikkerhedssystemet og dets dokumentationsgrundlag blevet forfinet for at tage højde for det større antal faktiske trusler. Angribere fortsætter dog med at finde og udnytte smuthuller for at forvolde skade.

Trusler mod brugerkonti

· Aflytning af indtastede legitimationsoplysninger

Et af tiltagene til at beskytte information, når man organiserer fjernarbejde, og medarbejderne bruger personlige enheder, er virtualisering af arbejdspladser og flytning af applikationer til en terminalserver, efterfulgt af fuldstændig isolering af miljøet.

Faktisk, hvis malware installeres på en medarbejders computer, vil det ikke påvirke arbejdsmiljøet eller forretningsapplikationerne.

Selvom alternativ autentificering anvendes til fjernforbindelsen, hvis du forbinder til en virtualiseret arbejdsstation (VDI) og en terminalapplikation (for eksempel via RemoteApp), er der en høj sandsynlighed for, at applikationen vil kræve autorisation ved brug af brugernavn og adgangskode. I dette tilfælde kan malwaren opfange tastetryk, identificere den korrekte login-adgangskodekombination, og til sidst vil en angriber kunne få adgang til fortrolige data.

For at afbøde denne trussel anbefales det at bruge Single Sign-On (SSO) løsninger i forbindelse med løsninger for alternativ autentificering. SSO-løsningen bør installeres på kontorarbejdsstationer, som medarbejderen forbinder til via VDI eller på en terminalserver. Yderligere, for at bekræfte autentificering i virksomhedsapplikationer, vil systemet kræve en alternativ autentificeringsfaktor, hvorefter SSO selvstændigt vil levere de nødvendige legitimationsoplysninger. Således, selv hvis der er en keylogger på en medarbejders arbejdsstation, kan indtastede login og adgangskoder ikke opsnappes.

· Kloning af engangskodegeneratoren

Det siger sig selv, at stærke (multi-faktor) autentificeringsmetoder markant øger modstandskraften over for trusler, når man arbejder på afstand. Dog har alle autentificeringsteknologier væsentlige forskelle med hensyn til både anvendelighed og sikkerhed.

Dagens populære metoder til flerfaktorautentificering, der bruger engangskoder genereret på enheden eller sendt i beskedapps, har betydelige sårbarheder. Hvis en angriber opnår kontinuerlig adgang til en smartphone, kan han forsøge at opnå forhøjede privilegier på en smartphone (jailbreaking for iOS-enheder, root for Android.) Og hvis en angriber lykkes, vil han være i stand til at klone nøglerne til engangskodegeneratoren og konfigurere den til at sende koder til sin egen enhed.

For at mindske denne risiko anbefales det at opgive engangskoder og bruge push-godkendelse, som er eksplicit knyttet til enheden og ikke vil fungere på angriberens enhed.

Trusler mod tilgængeligheden af virksomhedsressourcer

· Fjernlåsning af brugerkonti

Ofte er webtjenester tilgængelige over internettet. For eksempel kan webmail bruges til at få adgang til virksomhedsressourcer.

Nogle gange er navnet på mailboksen det samme som domænekontoens navn. Hackere kan forsøge at gætte adgangskoden ved at lancere et brute-force angreb. For at neutralisere denne trussel bør konto-spærring aktiveres efter flere mislykkede adgangskodeforsøg.

Dog kan en angriber brute-force adgangskoder for bevidst at blokere en domænekonto. Et sådant angreb kan lamme nogle forretningsprocesser.

For at delvist neutralisere denne trussel, kan du bruge en specialiseret løsning til to-faktor autentifikation (2FA), for eksempel engangskoder. I dette tilfælde vil den anden autentifikator, og ikke kontoen, blive blokeret, selv hvis der foretages et brute-force forsøg. Således vil medarbejderen bevare evnen til at få adgang til virksomhedsressourcer, omend kun gennem en alternativ forbindelse eller ved lokalt arbejde.

· Tab eller nedbrud af et medium, der opbevarer sikkerhedsnøgler

Når fjernarbejdere udfører arbejdsopgaver, kan de bruge digitale certifikater til at underskrive dokumenter, forbinde til tredjeparts webtjenester eller til andre opgaver. Samtidig, i tilfælde af tab eller nedbrud af enheden (for eksempel USB-nøglen, der opbevarer nøglerne), opstår problemet med hurtig erstatning. Ofte kan det ikke implementeres inden for en rimelig tid, især hvis medarbejderen er placeret langt væk fra kontoret.

For at neutralisere truslen kan du bruge specialiserede løsninger, der implementerer et virtuelt smartkort, som ikke opbevarer nøgleinformation på en flytbar enhed.

I dette tilfælde vil lagringen af nøglen blive udført på følgende måder:

1) På server siden udføres alle operationer med nøgler på serveren.

2) Et specialiseret modul inde i enheden – Trusted Platform Module.

Sådanne løsninger betragtes som mindre sikre end aftagelige beskyttede medier, men disse løsninger er de mest fleksible og egnede til den beskrevne nødsituation.

Efter udskiftning af nøglen kan det virtuelle smartkort deaktiveres. Således, selv hvis nøglebæreren mistes eller går i stykker, vil der ikke være nogen nedetid i virksomhedens forretningsprocesser.

Trusler om ikke-attribuering af handlingerne, der førte til hændelsen

· Tvister i tilfælde af kritisk ressourcesvigt

Når privilegerede brugere arbejder med IT-ressourcer, er der altid en risiko for menneskelige fejl. Deres handlinger i sig selv kan føre til nedbrud af en kritisk ressource.

Selv når man arbejder direkte på en organisations lokation, kan det være svært at finde ud af, hvad der skete, og hvem der er ansvarlig for fejlen. I tilfældet med fjernadgang bliver denne situation mere kompliceret. Undersøgelsen af sådanne hændelser påvirker ikke kun arbejdsmiljøet negativt, når der er forsøg på at give den uskyldige skylden, men spilder også meget tid på uproduktive handlinger.

At bruge SIEM-løsninger vil sandsynligvis gøre det muligt for dig at finde ud af, hvem der forbandt sig til ressourcen, men det er usandsynligt, at det nøjagtigt vil bestemme, hvem der er ansvarlig i tilfælde af flere samtidige forbindelser. Og sekvensen af handlinger, der førte til fejlen, er også svær at bestemme.

Når man dog anvender Privileged Access Management (PAM)-løsninger, kan alle forbindelser fra privilegerede brugere blive optaget i forskellige formater (video, tekst, skærmbilleder, tastetryk, overførte filer osv.) Senere kan man ved hjælp af disse logs hurtigt fastslå, hvilken række af handlinger der førte til fejlen, og identificere den person, der er ansvarlig for hændelsen.

· Et forsøg på at undvige ansvar

Der er situationer, hvor en ondsindet insider arbejder i en virksomhed. Han kan med vilje udføre nogle handlinger, der kan føre til en fejl eller afbrydelse af en kritisk ressource. I sig selv er opgaven med at identificere den ansvarlige ikke let; dog ved at bruge PAM-løsninger, kan du hurtigt finde synderen.

Når en ansat bliver fanget, kan vedkommende sige, at hans adgangskode er blevet stjålet. Det er ingen hemmelighed, at adgangskodegodkendelse er meget sårbar over for forskellige trusler, og selve afsløringen bliver ofte kun afsløret efter hændelsen.

Naturligvis kan sikkerhedsvagterne i en sådan situation tænke, at medarbejderen er uskyldig, og at det, der skete, bare er en uheldig tilfældighed.

For at neutralisere denne trussel anbefales det at bruge 2FA i forbindelse med PAM-løsningen. Hvis medarbejderen virkelig er en ondsindet insider, vil det være svært for ham at undgå ansvar. Hvis en medarbejder alligevel hævder, at ikke kun hans adgangskode, men også hans telefon er blevet stjålet, hvorpå en engangskodegenerator er installeret, vil han blive stillet et logisk spørgsmål: “Hvorfor underrettede du ikke omgående sikkerhedstjenesten om dette?”

Konklusion

Efter at have overvejet yderligere trusler, der opstår, når man arbejder på afstand, er det nødvendigt at huske på, at trusler mod informationssikkerheden udvikler sig i takt med udviklingen af IT-teknologier. Angribere tilpasser sig og leder altid efter nye måder at tjene flere penge på. Indtil forsvarssystemerne er fuldstændig genopbygget til nye realiteter, kan cyberkriminelle udnytte dine gamle og nye svagheder til deres egne formål.

I dag er fjernarbejdsformatet fast indtrådt i vores liv og er endda reguleret på statsniveau i nogle lande. Følgelig er det nødvendigt for informationssikkerhedsspecialister at overveje grundigt og uden hast, i hvilket omfang de eksisterende beskyttelsessystemer er klar til at modstå moderne cyberudfordringer. Vi har endda været nødt til at begynde at se på ting, vi aldrig troede, vi skulle overveje, som sikkerhedsrisici ved at spise ude.