Kjempar mot Uklare Sikkerheitstruslar ved Fjernarbeid

I våren 2020 vart dei fleste regjeringar og bedrifter rundt om i verda tvungne til å raskt overføre mange tilsette til fjernarbeid. På grunn av dette vart utformingsspørsmåla til eit nytt informasjonstryggleikssystem utsett. I staden tok organisasjonar dei mest relevante tryggingstiltaka som var tilgjengelege på den tida, til dømes brannmurar, VPN-er og fleirfaktorautentisering.

På grunn av hastverket med å bygge opp fjernarbeid og begrensa budsjett, vart mange hastande tryggingstruslar ignorerte. Over tid har informasjonsbeskyttelsessystemet og dets dokumentgrunnlag blitt forbetra for å ta hensyn til det større antallet faktiske truslar. Likevel fortset angriparar å finne og bruke smutthull for å påføre skade.

Truslar mot brukarkontoar

· Å avlytte innskrivne legitimasjonar

Ei av tiltaka for å beskytte informasjon når ein organiserer fjernarbeid og tilsette brukar personlege einingar, er virtualisering av arbeidsplassar og flytting av applikasjonar til ein terminalserver, etterfølgt av fullstendig isolasjon av miljøet.

Faktisk, om skadevare blir installert på ein tilsett sin datamaskin, vil det ikkje påverke arbeidsmiljøet eller forretningsapplikasjonane.

Likevel, sjølv om alternativ autentisering blir brukt for fjernkoplinga, om du koplar til ein virtualisert arbeidsstasjon (VDI) og ein terminalapplikasjon (til dømes, via RemoteApp), er det høg sannsyn for at applikasjonen vil krevje autorisasjon ved bruk av brukarnamn og passord. I dette tilfellet, kan skadevaren avlytte tastetrykk, identifisere den korrekte innloggings-passordkombinasjonen, og til slutt, vil ein angripar kunne få tilgang til konfidensielle data.

For å redusere denne trusselen, er det tilrådd å bruke Single Sign-On (SSO)-løysingar i samspel med løysingar for alternativ autentisering. SSO-løysinga bør installerast på kontorarbeidsstasjonar som tilsette koblar seg til via VDI eller på ein terminalserver. Vidare, for å stadfeste autentisering i bedriftsapplikasjonar, vil systemet krevje ein alternativ autentiseringsfaktor, etter kva SSO sjølvstendig vil tilby dei nødvendige påloggingsinformasjonane. Slik kan ikkje innloggingsnamn og passord bli avlytta, sjølv om det finst ein tastaturloggjar på ein tilsett sin arbeidsstasjon.

· Klone eingongs passordgeneratoren

Det er klart at sterke (fleirfaktor) autentiseringsmetodar vesentleg aukar motstanden mot truslar når ein jobbar på avstand. Likevel har alle autentiseringsteknologiar betydelege forskjellar når det gjeld både anvendbarheit og tryggleik.

Dagens populære metodar for fleirfaktorautentisering som brukar eingongskodar generert på eininga eller sendt i meldingsappar har vesentlege sårbarheiter. Om ein angripar får kontinuerleg tilgang til ein smarttelefon, kan han prøve å få auka privilegium på ein smarttelefon (jailbreaking for iOS-einingar, root for Android.) Og om ein angripar lykkast, vil han kunne klone nøklane til eingongspassordgeneratoren og konfigurere den til å sende kodar til sin eigen eining.

For å redusere denne risikoen, er det tilrådd å gi opp eingongs-passord og bruke push-autentisering, som er eksplisitt knytt til eininga og vil ikkje fungere på angriparen si eining.

Truslar mot tilgjengelegheita til bedriftsressursar

· Fjernlåsing av brukarkontoar

Ofte er nettstenester tilgjengelege over Internett. Til dømes kan webpost brukast for å få tilgang til bedriftsressursar.

Nokre gonger er namnet på postkassa det same som domenekontonamnet. Hackarar kan prøve å gjette passordet ved å starte eit brute-force angrep. For å nøytralisere denne trusselen, bør kontoen bli låst etter fleire mislukka passordforsøk.

Likevel kan ein angripar bruke brute-force på passord for å med vilje blokkere ein domenekonto. Eit slikt angrep kan lamme nokre forretningsprosessar.

For å delvis nøytralisere denne trusselen, kan du bruke ei spesialisert løysing for tofaktorautentisering (2FA), til dømes eingongspassord. I dette tilfellet, sjølv om eit brute-force forsøk blir gjort, vil den andre autentisatoren, og ikkje kontoen, bli blokkert. Såleis vil tilsette behalde evna til å få tilgang til bedriftsressursar, om enn berre gjennom ei alternativ tilkopling eller når dei arbeider lokalt.

· Tap eller samanbrot av eit medium som lagrar tryggingsnøklar

Når ein utfører arbeidsoppgåver, kan fjernarbeidarar bruke digitale sertifikat til å signere dokument, kople seg til tredjepartstenester på nettet, eller for andre oppgåver. Samstundes, i hendinga av tap eller havari av eininga (til dømes, minnepinnen som lagrar nøklane), oppstår problemet med rask erstatning. Ofte kan dette ikkje gjennomførast innanfor ein rimeleg tidsramme, særleg om tilsett er lokalisert langt vekke frå kontoret.

For å nøytralisere trusselen, kan du bruke spesialiserte løysingar som implementerer eit virtuelt smartkort som ikkje held nøkkelinformasjon på ein flyttbar eining.

I dette tilfellet vil lagringa av nøkkelen bli utført på følgjande måtar:

1) På tenarsida blir alle operasjonar med nøklar utførte på tenaren.

2) Ein spesialisert modul inne i eininga – Trusted Platform Module.

Slike løysingar blir rekna som mindre sikre enn flyttbare beskytta medium, men desse løysingane er dei mest fleksible og eigna for den beskrivne naudsituasjonen.

Etter at nøkkelen er erstatta, kan det virtuelle smartkortet bli deaktivert. Slik at sjølv om nøkkelberaren blir mista eller øydelagt, vil det ikkje vere noko nedetid i bedrifta sine forretningsprosessar.

Truslar om ikkje-tilskriving av handlingane som førte til hendinga

· Tvistar ved hending av kritisk ressurssvikt

Kvar gong privilegerte brukarar arbeider med IT-ressursar, er det alltid ein risiko for menneskelege feil. Handlingane deira i seg sjølv kan føre til at ein kritisk ressurs sviktar.

Sjølv når ein arbeider direkte på lokalitetane til ein organisasjon, kan det vere vanskeleg å finne ut kva som skjedde og kven som er ansvarleg for feilen. I tilfellet med fjernaksess blir denne situasjonen meir komplisert. Undersøkinga av slike hendingar påverkar ikkje berre arbeidsmiljøet negativt når det er forsøk på å skulde den uskuldige parten, men sløsar også bort mykje tid på uproduktive handlingar.

Å bruke SIEM-løysingar vil truleg la deg finne ut kven som kopla seg til ressursen, men det er lite sannsynleg at det nøyaktig kan fastsetje kven som er ansvarleg i tilfelle av fleire samtidige tilkoplingar. Og rekkefølgja av handlingar som førte til feilen er også vanskeleg å fastsetje.

Når ein derimot brukar Privileged Access Management (PAM)-løysingar, kan alle tilkoplingar frå privilegerte brukarar bli registrerte i ulike format (video, tekst, skjermbilete, tastetrykk, overførte filer, osv.) Seinare kan ein ved hjelp av desse loggane raskt finne ut kva rekkefølge av handlingar som førte til feilen og identifisere personen ansvarleg for hendinga.

· Eit forsøk på å unndra seg ansvar

Det finst situasjonar når ein ondsinna innsider arbeider i eit selskap. Han kan med vilje utføre nokre handlingar som kan føre til ein feil eller forstyrring av ein kritisk ressurs. I seg sjølv er oppgåva med å identifisere den ansvarlege ikkje enkel; likevel, ved å bruke PAM-løysingar, kan du raskt finne skuldige.

Når ein tilsett blir fanga, kan han seie at passordet hans vart stole. Det er ingen løyndom at passordautentisering er svært sårbar for ulike truslar, og sjølve faktumet om avsløring blir ofte berre avdekt etter hendinga.

Sjølvsagt kan tryggingsvaktene i ein slik situasjon tenkje at tilsett er uskuldig og at det som hende berre er ein uheldig samantreff.

For å nøytralisere denne trusselen, er det tilrådd å bruke 2FA i samspel med PAM-løysinga. Om tilsett verkeleg er ein ondsinna insider, vil det vere vanskeleg for han å unngå ansvar. Om ein tilsett likevel hevdar at ikkje berre passordet hans, men også telefonen hans har blitt stolen, der ein eingongspassordgenerator er installert, vil han bli stilt eit logisk spørsmål: «Kvifor varsla du ikkje tryggingstenesta om dette straks?»

Konklusjon

Etter å ha vurdert ekstra truslar som oppstår ved fjernarbeid, er det nødvendig å hugse på at truslar mot informasjonstryggleiken utviklar seg med utviklinga av IT-teknologiar. Angriparar tilpassar seg og er alltid på utkikk etter nye måtar å tjene meir pengar på. Inntil forsvarssystema er fullstendig ombygde for nye realitetar, kan cyberkriminelle utnytte dine gamle og nye svakheiter for sine eigne føremål.

I dag har fjernarbeidsformatet fast etablert seg i livet vårt og er til og med regulert på statleg nivå i nokre land. Følgjeleg må informasjonssikkerheitsspesialistar grundig og utan hast vurdere i kva grad dei eksisterande beskyttelsessystema er klare til å motstå moderne cyberutfordringar. Vi har til og med måtta byrje å sjå på ting vi aldri trudde vi måtte vurdere, som sikkerheitsrisikoane ved å ete ute.