MSB – Rekommendationer kring Cybersäkerhet

december 13, 2022
0 min lästid

”Se till att använda tvåfaktorsautentisering och se över era återställningsrutiner” – Varför?

Ett av de vanligaste sätten att komma åt företagsinformation är genom att komma åt användarna på företaget och deras konton.

Genom att aktivera multifaktorautentisering (2FA/MFA) ökar du skyddet avsevärt för hela organisationen genom billiga medel (ibland gratis), är oftast enkelt och brukar bara ta några minuter för varje enskild användare.

Med multifaktorautentisering krävs det mer än ditt användarkonto och lösenord för att logga in, man behöver då en extra säkerhetskod som skickas till din telefon, e-post eller hämtas från en extern applikation. På så sätt blir det svårare för en obehörig person att få tillgång till ditt konto om de har fått tag i ditt lösenord.

2FA/MFA som det kallas i förkortning går idag att aktivera på en stor majoritet av tjänster – Du bör ha sett att dina privata konton för sociala plattformar som Facebook, Instagram, WhatsUp etc, rekommenderar aktivering av MFA för att öka säkerheten för dig som användare.

Ta också reda på hur återställningen fungerar för de applikationer som man väljer att aktivera multifaktorautentisering på, då det finns flera sätt att även missbruka/attackera eller få tillgång till konton via återställning. Exempelvis – Skickas det alltid ett mail till användarens privata adress vid begäran om återställning, eller behöver användaren kontakta IT-avdelning för att få ett nytt lösenord/kod?


Vad bör jag göra?

För att hitta mer information om hur du aktiverer multifaktor för en specifik tjänst – söker efter: Aktivera 2FA/MFA ”applikationsnamn”på google för att få instruktioner.

För att aktivera tvåfaktorsautentisering behöver du först gå till inställningarna för ditt konto på den tjänst du vill använda det på. Därefter bör du se ett alternativ för säkerhet eller tvåfaktorsautentisering.
Här nedan kommer några guider till de vanligaste applikationerna: 

De flesta lösenordshanterare idag erbjuder MFA i deras tjänster, vi rekommenderar att alla anställda bör använda detta för att öka säkerheten. Med lösenordshanterare kan IT-avdelningen eller användaren själv skapa avancerade lösenord som de inte behöver komma ihåg, och har dessutom tillgång till egna applikationer på telefon, dator och webbläsare för enkel och automatisk inloggning.

Multifaktor fungerar som en superväktare, så inga obehöriga lyckas smita in på kontoret

”Håll koll på aktiviteten i loggar, på administratörskonton och generellt i IT-miljön” – Varför?

Loggning används för att upptäcka, förebygga och efteråt granska incidenter. Genom att spåra aktivitet och återgärder som görs på administratörskontona kan man identifiera och stoppa misstänkta aktiviteter som kan skada ditt företag.

Detta kan vara svårt för en person som inte är utbildad eller erfaren inom IT/IT-Sec att konfigurera och läsa loggar. Vi rekommenderar i detta fall om ni inte har kunskapen in-house att ta kontakt med en IT-säkerhetspartner som kan hjälpa er (om det är just säkerhet som ligger i fokus).

Även för en erfaren person är det svårt att se dessa mönster och attacker som sker, åtminstone utan rätt verktyg. När man tar in en parnter som hjälper en är det inte bara kunskapen du betalar för utan även tillgången till verktygen i deras arsenal. Dessa program och verktyg brukar kosta en slant, och om du inte har en stor IT-organisation brukar det vara bättre att låta en partner som redan köpt in och utbildat sig i dessa program hjälpa er.

Vad bör jag göra?

När du tar kontakt med en säkerhetspartner så kommer de med största trolighet vilja göra en audit och analys av er IT-miljö och policys. Detta för att förstå hur ni har byggt IT-infrastrukturen, vilket tjänster/program som finns och hur de olika avdelningarna drar nytta av dessa. Därefter påbörjas arbetet i etapper för att införa rutiner, verktyg, policys och ibland även penetrationstester för att öka er säkerhet.

Om du annars jobbar på ett av företagen där dessa lösningar finns (ex SIEM, XDR, SOAR etc) så bör du redan ha god kunskap om vart du ska vända dig för att ställa in övervakningar, bygga script och automatiseringar för att använda alla verktyg effektivt. Om inte bör du ta kontakt med tillverkarna för att få hänvisning till partners som kan hjälpa er, eller begära information kring utbildning.

Flertalet leverantörer inom cybersäkerhet erbjuder idag playbooks och threat-intel för ens SIEM-verktyg. Med dessa verktyg så blir det lättare för ert team att agera på hot när något väl upptäcks, få en bättre förståelse kring vem som attackerar, anledningen varför samt vad de vill komma åt.

”Se till att det finns tillräckliga loggar över de tjänster som används och att dessa sparas i minst tre månader, och gärna längre än så.” – Varför?

Loggar är en viktig källa till information om vad som händer i ens IT-miljö, och de kan användas för att identifiera och åtgärda problem, upptäcka och förebygga säkerhetsincidenter och kan även fungera som bevis i forensiska sammanhang.

Dagens attacker är avancerade, det är lätt att tro att en attack sker direkt när någon lyckas komma in i företaget, men så är sällan fallet.

De flesta attacker sker under loppet av 6-12 månader. Detta då ”hackarna” vill observera företaget och få bättre insikt i vilka tjänster som används, var information sparas, vad för typ av information som sparas, vart den svagaste länken finns inom infrastrukturen, hur man ska samla informationen och få ut den till sig själva, få en bild om vem som kan vara intresserad av informationen – för att nämna några anledningar.

Genom att spara loggar har man en grund med information för att kunna undersöka och hantera de flesta typer av problem och incidenter. Det är dock viktigt att notera att vissa typer av incidenter kan ta längre tid att upptäcka och att det då kan vara nödvändigt att spara loggar under en längre tid för att upptäcka dem.

Vad bör jag göra?

Precis som punkten ovan så krävs det kompetens för att kunna förstå sig på loggar, förutom att kunna tyda dem så finns det även rekommendationer för hur loggar bör sparas, konsolideras och allmänt hanteras.
Vi rekommenderar att om du inte har kunskapens internt att ta kontakt med en partner som är expert inom infrastruktur eller säkerhet beroende på åtagande.

Viktigt att förstå är att loggar går att använda för annat än säkerhetsincidenter, det brukar oftast vara ett viktigt verktyg för den interna IT-avdelningen att förstå om något har gått sönder eller är på väg att sluta fungera. Så var tydlig med den partner ni pratar med om vad ni vill ha hjälp med och varför.  

Om du redan jobbar på ett bolag som har en större IT-organisation bör du veta hur du ska arbeta med detta eller vart du ska vända dig för att få hjälp. Det finns även verktyg som kan hjälpa er med resursförvaltning och spårning av tillgångar och för att skapa en bättre och realtids-anpassad bild för er IT-miljö. 

Vi skulle rekommendera minst sex (helst nio) månader med tanke på hur långt snittet idag är innan cyberkriminella aktiverar sina attacker och samlar data i offers miljö.  

Det underlättar att ha en superkollega som kan undersöka loggar

”Se över vilka tjänster i nätverket som är internetuppkopplade, inklusive fjärråtkomstlösningar.” – Varför?

Med tanke på den digitaliseringsom skett under det senaste deceniet har man ofta sett att företag inte låser ner infrastruktur och dess applikationer på ett säkert sätt, eftersom affärsnyttan av att få tillgång till dessa tjänster har ansetts vara viktigare än säkerheten.

Tjänster som ibland kanske inte är kritiska för verksamheten kan vara en enkel väg in vid cyberattacker eftersom de ofta glöms bort, inte uppdateras kontinuerligt, och då som skapar luckor i ens försvar.
Ibland kan det vara tillfälliga tjänster och funktioner som har satts upp vid driftstörningar och incidenter för att verksamheten skall kunna arbeta som vanligt, som lätt kan glömmas bort när allt fungerar som normalt igen.

Alla tjänster som på något sätt är exponerade mot internet / externt kan bli attackerade – Detta kallas för attackvektor. Desto mer tjänster och applikationer företaget använder, desto mer växer attackvektorn där cyberattacker kan utföras. Föreställ dig ett slott med en stor mur runt sig – desto fler tjänster som använder internet för att dina anställda ska kunna komma ut i världen, desto fler utgångar och dörrar behöver slottet ha.

Fjärråtkomstlösningar, även kallat VPN (Virtual private network) är en funktion som gör att du som användare kan komma åt program, funktioner och dokument som finns i er egenprivata miljö / infrastruktur.  

Vad bör jag göra?

Om ni själva inte driftar egna applikationer och servrar så fokusera då på multifaktorsautentensering och se även över vilka externa applikationer som era anställda använder i samband med dessa tjänster, exempelvis tillägg i Chrome, Gmail, Outlook etc. då dessa blir ”en väg ur” er molninfrastruktur. Administratörer kan enkelt sätta en spärr som förhindrar kopplingar ut från er miljö, och gör så att de anställda måste begära godkännande. På så sätt förhindras shadow IT, mindre data kommer på vift och minskar chansen till intrång.

För de företag som har egen drift (både moln och on-prem) rekommenderar vi att ni ser över brandväggsregler och loggar för att få en bättre förståelse kring den trafik som flödar både in och ut ur er infrastruktur. Se gärna även över era VPN-inställningar och vilka användare som har tillgång till VPN, behöver det kanske rensas och spärras access för vissa användare nu efter Corona-perioden? 

Man kan även använda verktyg som ExtraHop eller Tanium som är verktyg för resursspårning (asset discovery) för att få en bättre bild kring er IT-miljö, och med den informationen få möjlighet att kunna ta snabba beslut som ökar säkerheten. Intune är ett bra verktyg att börja med, men ger sällan en bra bild i real-tid. om hur läget egentligen ser ut på alla siter.

”Överväg att stänga av trafiken till de nätverk och applikationer som inte är verksamhetskritiska (Och Geofiltrera/Blockera trafik)” – Varför?

Detta relaterar mycket till punkt 4:a ovan, under hösten 2022 har det skett ett stort antal attacker som fått uppmärksamhet i media och påverkat vårt liv som privatpersoner här i Sverige. MSB har med största förmodan sett att flertalet cyberattacker har skett genom itrång via tjänster och applikationer som inte är verksamhetskritiska, och vill säkert dessutom minska svenska företags attackytor.

Man måste ha i åtanke att cyberattacker påverkar företag på flera sätt, att hemlig företagsinformationsprids är en sak, att företag behöver stängas ner för att verksamheten inte kan bedrivas (då system inte fungerar) är en annan. Så här handlar det om vad företag prioriterar och vad man behöver skydda för att se till att företag kan fortsättabe driva sin verksamhet.

Ett av råden i denna punkt är även att övervaka och blockera nätverkstrafik från länder där man som företag inte har verksamhet.

Vad bör jag göra?

Den första delen av rubriken säger sig självt, se över vilka tjänster som ni har möjlighet att stänga av trafik till/från för att öka säkerheten och har minst påverkan på den dagliga verksamheten.

Gällande den andra delen kring Geolokation: Många applikationer går det att sätta geo-spärrar vid inloggning. En Geo-spärrning betyder att applikationen granskar vart din enhet befinner sig som försöker logga in i systemet. Upptäcker den då att du tex. är i ett land som företaget inte bedriver sin verksamhet i så blockeras inloggningen och rapporteras till IT-avdelningen.

Tänkt dig exempelvis att du är på semesterresa i Spanien och vill försöka logga in i din e-post.
Detta räknas inte som ett ”normalt beteende” med tanke på att du bor i Sverige och brukar arbeta på kontoret i exempelvis Stockholm. Din inloggning kan då bli nekad eller så kan finns alternativet att släppa in dig om du i några extra steg ger den flera säkerhetskoder via MFA-applikationer och SMS-koder.

Med hjälp av XDR kan ni sammankoppla MFA (ex SentinelOne & Okta) och andra applikationer som gör att när en användare blockeras så utförs ett antal säkerhetsåtgärdet som låser kontot och samtliga sessioner avslutas.

Att ha en superinventerare gör så man enkelt får koll på sina resurser

Summering / TLDR

MSB:s vill att svenska företag ska öka sin cybersäkerhet genom flertalet aktiva handlingar, allt från enkla till mer omfattande. Om man gör en snabb överblick så handlar rekommendationerna om:

Se till att företagets personal använder säkra metoder för att logga in i era applikationer

– Ett användarnamn och lösenord kan en cyberbrottsling komma långt på ifall MFA & Geospärrning inte är aktiverat.

Börja arbeta med resursförvaltning och spårning (Asset Management & Discovery)

– Om ni inte har full koll på vad som finns i er infrastruktur kan ni inte ta rätt beslut som skyddar er.

Minska er attackyta genom att minska exponeringen av er IT-miljö ut på nätet

– Gör ditt företag till en mindre måltavla genom att minska antalet sätt du kan bli attackerad på.

Få loggning och spårbarhet i er infrastruktur

– Skaffa data över vad som händer i infrastrukturen på ert företag, så man efter intrång kan se vad som har skett. Loggning skapar även möjligheter att börja arbeta mer proaktivt när man ser att saker inte stämmer i ens infrastruktur.

Vill du ha rådgivning för att få superkoll på er Cybersäkerhet?

Behöver du hjälp med att hitta en partner som kan hjälpa till med någon av ovanstående punkter, eller är du intresserad av ett specifikt verktyg som kan hjälpa till att utveckla er cybersäkerhet?

Då är ni varmt välkomna att höra av er till oss på Wingr genom att fylla i er e-postadress nedan.

Publicerad:
december 13, 2022