Förvalta behörigheter och använd starka autentiseringsfunktioner
När en hotaktör attackerar våra informationssystem och it-miljöer så sker det ofta med ett fullt legitimt konto som på ett eller annat sätt hamnat i orätta händer. Generellt sett så är vi högst medvetna om detta även om problemen med lösenord kan vara utmanande att fullt ut komma till bukt med, framförallt då cyberhotlandskapet och tillvägagångssätten hela tiden utvecklas.
Bloggpost #2 ⎸ Förvalta behörigheter och använd starka autentiseringsfunktioner
Författare: Johan Nylén, säkerhetsspecialist
Om en hotaktör verkligen vill komma över inloggningsuppgifter i vår it-miljö så är det bara en tidsfråga innan dom gör det. Antingen genom att lura en användare att helt enkelt fylla i dom på en förfalskad hemsida, alternativt hitta ett lösenord som återanvänts i någon av de miljarder läckta inloggningsuppgifter som hackare kontinuerligt stjäl från olika typer av tjänster online.
Hur ska man då som organisation förhålla sig till vad vi nu introducerat ovan?
Stark autentisering hade ju varit det mest logiska ämnet att dyka ner i tänker ni (och tro mig det kommer sen), men själva förvaltningen av konton och behörigheter är något som jag tycker får ganska lite utrymme i den här problemställningen. Börja med att grovt kartlägga vilka olika kategorier av konton som finns hos er idag och om det finns förutsättningar för att automatisera vissa av dessa kontons livscykel och tilldelning av dess behörigheter. På så sätt så minimerar man risken med konton vars uppgifter kommer på vift.
Ett livscykelhanterat användarkonto skapas och aktiveras med automatik med data från en pålitlig källa (t.ex. ett HR-system) och avslutas med automatik då anställningen upphör. Oftast så samlar man in information i sådana källor så att man också kan tilldela behörigheter till applikationer och tjänster som behövs för att kunna utföra sitt arbete. Alla anställda kanske ska ha en e-postadress och tillgång till intranätet, men vi kan också tilldela behörigheter till mer specifika applikationer om vi t.ex. vet vilken avdelning personen i fråga ska jobba på. Användarkonton och behörigheter som ges ut till extern personal bör vara kortlivade med ett fast slutdatum och kontinuerligt reviderade. Man bör också upprätta rutiner för inbyggda icke personliga administratörskonton och så kallade ”break the glass”-konton och hur dessa hanteras inom organisationen.
Den största säkerhetshöjande åtgärden
Att implementera stark autentisering i en it-miljö anses av många vara den enskilt största säkerhetshöjande åtgärden som en it-avdelning kan göra. Det finns en uppsjö av olika alternativ, teknologier och leverantörer, och såklart är dessa alternativ olika i hur säkra de är, hur användarvänliga de är och hur mycket de kostar. Välj ett alternativ som möter upp er verksamhets krav och arbetssätt, och som har tillräckligt bra säkerhet givet vad som ska skyddas. Det finns inget alternativ som är ”one size fits all” utan varje organisation har olika förutsättningar. Prioritera stark autentisering på konton med systemadministrativa behörigheter, applikationer och tjänster som kan nås direkt från internet (t.ex. epost, intranät, VPN), samt de applikationer och tjänster som innehåller information med högt skyddsvärde för just er organisation.
Många säkerhetsplattformar har idag möjligheten att konfigurera ytterligare kontroller som en del i att utvärdera enskilda inloggningar, och både risk- och beteendebaserade regler för att förhindra illvillig användning av konton inom organisationen. Dessa medför ytterligare dimensioner och möjliga kombinationer till ökad säkerhet.
Läs mer om hur Atea kan stötta er organisation med just den här rekommenderade åtgärden på CIS - Ramverk för cybersakerhet under kontroll 5 och 6.
Vill du veta hur ni säkerställer god informationssäkerhet och hur just din verksamhet bör tänka säkert? Tveka inte att höra av dig till Johan Nylén, säkerhetsspecialist.
Så länge..
...Tänk säkert och skydda era tillgångar 
