Af Ivan Vinogradov, Security Analyst, Logpoint, og Jan Quach, Global Director of Customer Success Engineering, Logpoint

Med de seneste begivenheder i Ukraine må det forventes, at de typer cyberangreb, som organisationer står over for, vil blive mere aggressive, avancerede og vedvarende på grund af inddragelsen af statslige aktører og organiserede kriminelle grupper, som har midlerne til at udføre og opretholde sådanne handlinger over længere perioder.

En sådan gruppe, Conti, er blevet offentliggjort med det formål at deltage i retribuerende handlinger mod regeringer, der indfører sanktioner mod Rusland, dens værtsstat.

Det er en sag, der ikke bør tages let, da alle kan blive offer for disse cyberangreb – både direkte og indirekte.

Call-to-action – Praktiske trin til at øge din sikkerhedsstilling

I den situation, vi befinder os i, ser truslen i høj grad ud til at gælde for brancher, der er nytteværdige, relevante for den offentlige eller sociale funktion – eller blot store virksomheder, der er højt profilerede og dermed vil få medieopmærksomhed.

I betragtning af vores økosystem og forsyningskæde, selv om organisationer måske ikke er et direkte mål, er det tidligere set, at organisationer stadig indirekte kan blive påvirket af cyberangreb fra virksomheder, de interagerer med eller har underentreprise med.

Selvom det lyder skræmmende, er der handlinger til rådighed for at styrke en organisations cybersikkerhedsholdning.

Nedenfor finder du vores fem anbefalinger:

1 Kontekstualisere og analysere en potentiel trussel

Trusselsintelligens er en vigtig videnbase om cybertrusler og deres modus operandi. Det er værdifuldt i den forstand, at det gør det muligt for organisationer at analysere identificerede trusler og evaluere deres gyldighed og potentielle indvirkning på din organisation.

Det er afgørende at have threat intelligence feeds og leverandører af høj kvalitet, såsom Recorded Future, Crowd Strike eller Mandiant for blot at nævne nogle få, der tidligere har bevist deres værd med relevante trusselsintelliga relateret til tilstandsfokuserede angreb. Der er også gratis og offentligt tilgængelige threat intelligence-tilbud, der kan udnyttes. Nogle af disse kilder kan generere en betydelig mængde falske positiver, som vil kræve yderligere analyse eller automatisering.

Statslige CERT’er, branchespecifikke cyberrelaterede udgivelser og leverandørrapporter er pålidelige kilder til threat intelligence og beskyttelsesforanstaltninger, selvom nogle kan være utilstrækkelige til nye angreb.

De fleste SIEM-leverandører, endpoint management og andre sikkerhedsløsninger på højere niveau kan integreres med threat intelligence-kilder, uanset om det er gennem STIX/TAXII eller direkte.

  1. Detektivevne

Et godt forsvar kræver en effektiv detektivmekanisme, der normalt udføres af SIEM, baseret på Sysmons grundlæggende mekanisme, hvilket muliggør detektering af en lang række angreb. En af disse er ransomware, en grundpille blandt igangsættere, der udfører avancerede og vedvarende cyberangreb. Et eksempel kunne være PowerShell-aktivitet, som er almindelig for næsten alle former for malware i naturen.

Vi anbefaler, at du starter med Sysmon-konfigurationsskabelonen, der hostes her. Sysmon kan downloades fra den dedikerede Microsoft-side og udrulles via Group Policy, og vi anbefaler, at IT- og sikkerhedschefer udruller det på slutpunkter samt servere.

  1. Beskyttende egenskaber

Kontokontrol er det vigtigste aspekt af en organisations sikkerhed. Alle enheder, uanset om det er småkriminelle eller regeringer, bruger strategien om at få kontrol over gyldige legitimationsoplysninger.

De fleste sikkerhedsløsninger er udstyret til at håndtere overtagelsen af kontoen. LogPoint SIEM+SOAR har f.eks. MITRE ATT&CK-baserede registreringsregler og automatiseringsplaybooks til at registrere, undersøge og reagere automatisk, mens LogPoint UEBA-løsningen automatisk advarer om en adfærdsændring på en bestemt konto. Det er dog ikke nødvendigt at eje en sofistikeret og automatiseret løsning for at sikre din organisations konti. Begrænsning af rettigheder og opsætning af adgangskodekrav i Active Directory er det første vigtige skridt mod kontosikkerhed.

Det kan også lade sig gøre med orkestreringsløsninger som f.eks. Puppet, hvis dit miljø er blandet eller Linux-baseret, eller hvis din virksomhed kræver en bred flåde af virtuelle maskiner.

Dette er til gengæld en modforanstaltning til nogle af de mest destruktive belastninger af malware, såsom Contis ransomware-angreb. Regelmæssige best practices for sikkerhed er lige så vigtige, f.eks. regelmæssige sikkerhedskopieringer, MFA osv.

Men i Contis situation annoncerede aktørerne ondsindede hensigter i modsætning til rene økonomiske fordele. I dette tilfælde anbefaler vi, at du også ser på mindre undersøgte kontroller – såsom segmentering af din mest værdifulde infrastruktur væk, og primært data, på grund af modstanderens aggressive karakter, samt implementering i det mindste en grundlæggende honningkrukke.

Sidstnævnte ville være vigtigt for hurtig detektering, da selv en enkelt server, der ikke tilgås af brugerne, er nem at overvåge gennem næsten enhver løsning – og de fleste ransomware-taktikker involverer stadig opdagelse og lateral bevægelse, der også på sigt vil berøre den.

  1. Svarmulighed

Trusselsintelligens, Sysmon og adgangskontroller er alle brikker i sikkerhedspuslespillet. Men i det moderne miljø er det afgørende at have et centralt overblik. Dette kan opnås ved hjælp af en grundlæggende logstyringsløsning, en SIEM eller en SIEM, der er forstærket med automatiseringsfunktioner.

Et SIEM giver mulighed for at kontekstualisere, evaluere, validere og undersøge på tværs af flere sikkerhedskontroller, så drifts- og beredskabsteams får et tiltrængt sundhedsoverblik over en organisations IT-infrastruktur, hvilket resulterer i en hurtigere reaktion på potentielle trusler.

Når du har en SIEM-løsning eller en anden samlings-/orkestreringsløsning, er det nemt at konfigurere et meget strammere feedback-loop med hensyn til tid-til-registrering af en bestemt trussel. LogPoint implementerer f.eks. dette ved hjælp af alarmering, som er konfigureret til at registrere bredere mønstre i stedet for en enkelt meddelelse.

En udvidet version af et SIEM ville være et SIEM med automatisering, for eksempel LogPoint SIEM+SOAR. Vi anbefaler dog først at fokusere på at implementere advarsler, der er dedikeret til at registrere trusler og indsamle de logfiler, der er nødvendige for at udløse dem, før indsatsen for at automatisere Incident Response-processen omdirigeres.

  1. Genopretning – Forretningskontinuitet

Ud fra et robust perspektiv skal du engagere, teste og gennemføre øvelser i forretningskontinuitetsplanerne. Forvent at blive påvirket, og sørg for, at personalet er uddannet, at systemerne har genoprettelsesfunktioner, og at beredskabsteams har de nødvendige værktøjer til at genoprette fra en indvirkning på deres IT-infrastruktur. En fælles mulighed i enhver genoprettelsessituation omfatter genoprettelsesværktøjer såsom hændelsesstyring, kommunikationskanaler, genoprettelsespunkter osv. Hvis IT-infrastrukturen ikke er tilgængelig på grund af angrebet, har hændelsesteamet brug for separate platforme til effektivt at administrere deres hændelsesrespons, kommunikation og adgang til genoprettelsesplaner og datagendannelsespunkter.

Gør livet svært for angriberen

Disse trin bør øge din sikkerhedsstilling i lyset af den aktuelle bølge af angreb – de omfatter nogle standardråd samt nogle mindre kendte praksisser. Det er vigtigt at indse, at der ikke findes en perfekt sikkerhedsstrategi, men en forsvarer kan med en lille indsats gøre det betydeligt vanskeligere for en sofistikeret angriber at få succes.

Kontakt Logpoint

Kontakt os og hør, hvorfor brancheførende virksomheder vælger Logpoint:

Kontakt Logpoint

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews