Vet du vad din organisation exponerar mot internet?
Det råder inga tvivel om att den gamla sanningen ”hotaktörer hackar sig inte in – de loggar in” fortfarande gäller. Stulna inloggningsuppgifter och social manipulering (”social engineering”) är fortsatt två av de vanligaste metoderna för hotaktörer att ta sig in i målsatta miljöer. Det räcker dock inte att motverka en eller två tillvägagångssätt för en försvarare – ett ”blue team” måste se till att inga vägar in i it-systemen är öppna.
Incident Responder
I den här artikeln läggs fokus på just den här typen av öppna dörrar: sårbarheter i tjänster som är exponerade mot internet. Risken att drabbas av intrång via tekniska sårbarheter ökar om organisationen inte har kontroll över vad som exponeras ”öppet” mot internet. Med öppet avses här sådant som kan nås av vem som helst utan särskild åtkomstkontroll. Det finns många anledningar till att tjänster exponeras på det här sättet: okunskap, missöden, eller i värsta fall ren bekvämlighet eftersom det kan vara fördelaktigt för administratörer att enkelt nå servrar från hela världen.
Intresserad av våra erbjudanden inom cyberförsvar? Se mer här: Cybersäkerhet
Shodan upplyser om extern exponering
Tyvärr är detta även en bekvämlighet för hotaktörer som konstant skannar internet efter öppna portar. En leverantör som gör det samma, i syfte att upplysa sina kunder om extern exponering, är Shodan.io. Bilderna nedan är hämtade från Shodan och visar att i Sverige står många av portarna TCP 23, TCP 3389 öppna direkt mot internet utan någon form av åtkomstkontroll. Det kan inte liknas vid något annat än att lämna sin ytterdörr på vid gavel när man går och lägger sig.
IoT-lösningar kan kapas
Telnet, som finns på port 23, är ett nätverksprotokoll som gör det möjligt att ansluta till och kommunicera med fjärrdatorer över TCP/IP-nätverk. Protokollet är föråldrat eftersom det inte krypterar trafik och ersätts generellt idag av SSH. Tyvärr är det många IoT-lösningar som använder Telnet även utanför isolerade nätverk och därtill används ofta standardlösenord vid installation vilket är en känd riskfaktor. Dessa IoT-enheter löper stor risk att bli så kallade zombie-enheter i ett större botnät där hotaktörer kapar utrustningen och använder kapaciteten för storskaliga attacker. Bland de mer kända exemplen är Mirai botnet som under sin mest aktiva period hade över 600 000 enheter under sin kontroll.
RDP-lösningar utsätts ofta för lösenordsattacker
Ett annat exempel på protokoll som används för fjärraccess är RDP, Remote Desktop Protocol, port 3389. Tyvärr är även RDP frekvent överexponerat mot internet eftersom det underlättar det vardagliga arbetet för systemadministratörer. RDP-lösningar utsätts ofta för lösenordsattacker där hotaktören försöker gissa sig till rätt inloggningsuppgifter (”brute force”).
Vad kan ni göra för att minska risken att drabbas?
För att minska risken att drabbas av intrång via Internetexponerade tjänster bör Telnet helt sluta användas, det är en föråldrad teknik som innebär att all information sänds i klartext. Om det inte finns några alternativ till Telnet är det kritiskt att den uppkopplade enheten inte är exponerad mot internet. Samma rekommendation gäller för lösningar där RDP används. Den här typen av utrustning ska inte publiceras mot Internet utan ligga bakom brandvägg och VPN-lösning med multifaktorsautentisering, gärna phishing resistant sådan.
Ha som vana att kontrollera it-miljön regelbundet så att inte portar eller tjänster felaktigt publiceras ut mot Internet, där en hotaktör kan upptäcka och utnyttja enheten. Det faktum att både verksamheter och it-system ständigt förändras gör att man inte kan förutsätta att vad som en gång var korrekt uppsatt alltid förblir så.
För att få bättre kontroll över din externa exponeringsyta finns även färdiga lösningar att använda. En tjänst med låg tröskel för uppstart är CERT-SE:s ANTS (Atuomatisk Notifiering av Tekniska Sårbarheter). ANTS är ett kostnadsfritt verktyg för att öka motståndskraften mot cyberangrepp som riktas mot det svenska samhället och svenska verksamheter. Genom att ansluta sig till ANTS får du notifieringar via epost om CERT-SE upptäcker sårbara och exponerade tjänster och enheter i din it-miljö. Läs mer på CERT-SE.
För att hjälpa er identifiera och hantera tekniska sårbarheter i it-miljön har vi flera erbjudanden i vår Cyberförsvarsportfölj:
- Continous Threat Exposure Management (CTEM) levereras av vårt Offensive Security Team och syftar till att systematiskt kartlägga den externa exponeringsytan genom att skanna applikationer, system och molntjänster för att identifiera vad som är åtkomligt för obehöriga samt bevaka dataläckor för att identifiera stulen information.
- Incident Response levereras av vårt Incident Response Team och handlar om att ge snabb, trygg och professionell hjälp vid cyberattacker – dygnet runt, året om. Med dedikerade och certifierade specialister på incidenthantering stöttar vi er före, under och efter en incident.
- Penetrationstester levereras av vårt Offensive Security Team för att detektera brister i infrastruktur och applikationer genom att simulera attackförsök.
Se hela vår erbjudandeportfölj inom cybersäkerhet här: Cybersäkerhet: Skydda din verksamhet mot digital hot.
