Hoppa till innehållet
Avanet
Sophos rekommendationer - Cybersecurity Best Practices

Sophos rekommendationer - Cybersecurity Best Practices

Sophos har publicerat en lista med nio Cybersecurity Best Practices som ska påminna företag om att enkla men effektiva åtgärder kan höja IT-säkerheten avsevärt.

För att säkerställa ett optimalt skydd mot cyberattacker räcker det inte att implementera moderna säkerhetslösningar. En avgörande och ofta försummad aspekt är att systemen konfigureras korrekt. Vi ser gång på gång att företag som vi tar över ansvaret för visserligen har en Sophos Firewall installerad, men att inte alla säkerhetsfunktioner är aktiverade eller korrekt konfigurerade. Det kan leda till betydande säkerhetsluckor.

Därför är det av stor vikt att man inte bara satsar på högkvalitativa cybersäkerhetslösningar utan även installerar och konfigurerar dem fackmannamässigt. Ett ansvarsfullt och informerat agerande är dessutom oumbärligt för att minimera potentiella risker.

Nedan följer ett antal Cybersecurity Best Practices som kan bidra till att långsiktigt förbättra säkerhetsläget och skapa en solid grund för företagets säkerhet:

Lista över åtgärder

Patchning: Regelbundet och omedelbart!

År 2021 var opatchade sårbarheter orsaken till nästan hälften av alla cyberincidenter som Sophos undersökte. Det framgår tydligt att snabb och regelbunden patchning avsevärt ökar systemets säkerhet och minimerar risken att dessa sårbarheter utnyttjas.

Ingen programvara är helt säker; i all mjukvara finns potentiella säkerhetsbrister. Regelbundna uppdateringar är därför avgörande, även om de ibland upplevs som irriterande. De ger inte alltid bara nya funktioner, utan åtgärdar ofta också kritiska säkerhetsproblem som inte nödvändigtvis nämns i release notes.

Även om en uppdatering ibland kan leda till problem, är risken att hoppa över en uppdatering betydligt större. Det är därför lämpligt att vara proaktiv och tillämpa patchar kontinuerligt och omedelbart.

Säkerhetskopior: Automatiserade och inte på kontoret

Enligt Sophos Ransomware Report 2022 kunde 73 % av de tillfrågade IT-cheferna återställa krypterad data med hjälp av sina säkerhetskopior efter en cyberattack.

Det rekommenderas starkt att kryptera säkerhetskopior. Det skyddar inte bara mot ransomware-attacker, där data krypteras för att pressa fram en lösensumma, utan även mot datastöld. Angripare kan försöka stjäla känslig data för att senare utpressa företaget med hot om publicering. Kryptering av säkerhetskopior utgör därmed en viktig barriär som avsevärt försvårar åtkomsten till data.

Lika viktigt är det att lagra säkerhetskopior offline och utanför kontorslokalerna. Detta skyddar mot fysiska skador från naturkatastrofer eller inbrott och säkerställer att nödvändiga data alltid kan nås i krissituationer.

Dessutom bör dataåterställning testas regelbundet. På så sätt kan man agera snabbt och effektivt vid dataförlust och säkerställa att säkerhetskopiorna fungerar i skarpt läge.

Visa filtyp

I operativsystemen Windows och macOS visas filnamnstillägg inte som standard. Det rekommenderas dock att aktivera synligheten för att identifiera potentiellt farliga filtyper, t.ex. JavaScript-filer. Naturligtvis bör sådana filändelser inte tas emot via e-post överhuvudtaget. Med en lösning som t.ex. Sophos Central Email kan detta blockeras, bland annat, så att användaren inte ens kan ta emot sådana filer.

Lista från Sophos över filnamnstillägg som bör blockeras.

Tidigare utförde vi själva ett test och utnyttjade just detta. Vi skickade USB-minnen med en HTML-fil förklädd som en ansökan till olika företag. Många trodde förmodligen att det var ett PDF- eller Word-dokument, men när de öppnade filen omdirigerades de till en webbplats. Mer detaljer om detta experiment: Experiment – Varför du borde ha låtit bli att koppla in detta USB-minne.

Trots möjligheten att identifiera filnamnstillägg är det nödvändigt att utbilda medarbetarna på området. Bara då kan man säkerställa att de faktiskt kan känna igen misstänkta filer och agera försiktigt.

Öppna skript med textredigerare

Att öppna en JavaScript-fil i en textredigerare förhindrar körning av möjliga skadliga skript och möjliggör en säker granskning av filens innehåll. Förutsatt, förstås, att man har nödvändig kunskap.

Det är klokt att hantera körbara filer med försiktighet, eftersom de ofta används för skadlig kod. Det är viktigt att komma ihåg att inte bara JavaScript-filer utan även bilagor med filändelser som .exe, .bat, .scr och .vbs kan vara potentiellt farliga och köra skript som orsakar betydande skada. Naturligtvis gäller detta även Office-filer – ämnet makron, men mer om det strax.

Därför bör filbilagor endast öppnas från betrodda källor, och i tveksamma fall bör innehållet först kontrolleras i en textredigerare.

I sista hand hjälper en bra Endpoint Protection-lösning, eller i värsta fall den ovan nämnda säkerhetskopian. 😋

Makron: Nej

Redan för några år sedan deaktiverade Microsoft automatisk körning av makron av säkerhetsskäl. Många infektioner är endast möjliga om man aktiverar makron. Därför bör man undvika att aktivera makron!

E-postbilagor: Försiktighet även med kända avsändare

Cyberkriminella utnyttjar ofta ett gammalt problem: man ska egentligen bara öppna ett dokument om man är säker på att det är ofarligt. För att uppnå denna säkerhet måste man dock först öppna det. I sådana situationer är det lämpligt att inte öppna en misstänkt bilaga i tveksamma fall.

Det bör nämnas att hackade e-postservrar ofta missbrukas för att skicka skadliga bilagor. Angriparen som kontrollerar e-postservern kan inte bara skicka från en legitim domän, utan också läsa konversationer och ge kontextbaserade svar med hjälp av AI-teknik. Det gör sådana e-postmeddelanden extremt svåra att upptäcka, eftersom de är mycket specifika och anpassade till den tidigare konversationen.

Administratörsrättigheter: Mindre är mer

Det bör periodiskt kontrolleras vem i nätverket som har lokala administratörsrättigheter och domänadministratörsrättigheter. Det är lämpligt att noggrant kontrollera vem som har dessa rättigheter och att återkalla dem om de inte behövs. Dessutom bör man endast logga in som administratör så länge som absolut nödvändigt.

Lika viktigt är det att säkerställa nätverkets säkerhet genom lämpliga försiktighetsåtgärder. En av dessa åtgärder bör vara att se till att inga portar lämnas onödigt öppna för att undvika potentiella säkerhetssårbarheter. RDP-åtkomst och andra fjärradministrationsprotokoll för företaget bör konsekvent blockeras för att förhindra obehörig åtkomst. Kort sagt, en korrekt konfigurerad brandvägg.

Dessutom är det lämpligt att implementera tvåfaktorsautentisering, vilket ger ett extra säkerhetslager genom att bekräfta användarens identitet med en andra faktor. Det bör också säkerställas att fjärranvändare alltid autentiserar sig via VPN för att få en säker och krypterad anslutning som skyddar dataintegritet och konfidentialitet. Naturligtvis vore Zero Trust ett ännu bättre angreppssätt här.

Använd starka lösenord

Slutligen ett ämne som skulle ha förtjänat ett eget blogginlägg. Det finns ju också den internationella Lösenordsdagen, som alltid infaller första torsdagen i maj, för att ständigt påminna om ämnet. Därför, det viktigaste i korthet.

Om du tittar på lösenordet i 3 sekunder och kan komma ihåg det är det med stor sannolikhet skit 💩. Det går inte att linda in snyggare än så. För de smarta som nu tror att 5 sekunder gör allt bättre: ja, men ändå inte riktigt.

  • Längd: Längden är viktig här. Det bör bestå av minst 12 tecken.
  • Komplexitet: Det bör innehålla en blandning av stora och små bokstäver, siffror och specialtecken.
  • Ingen koppling till personlig information: Undvik att använda lättåtkomlig information som födelsedatum, namn eller adresser.
  • Oförutsägbarhet: Det bör inte bestå av lättgissade ordkombinationer eller vanliga fraser.
  • Unikhet: Varje lösenord bör vara unikt och inte användas för flera konton.
  • Regelbunden uppdatering: Det är lämpligt att ändra lösenord regelbundet för att öka säkerheten.
  • Slumpmässighet: Använd slumpmässigt genererade lösenord som inte baseras på ord som finns i ordboken. Det finns lösenordsgeneratorer.
  • Användning av lösenfraser: Ibland är det säkrare att använda en lösenfras som består av flera ord separerade med specialtecken.
  • Tvåfaktorsautentisering (2FA): Där det är möjligt bör tvåfaktorsautentisering aktiveras för att ge ett extra säkerhetslager.
  • Undvik upprepningar: Undvik att använda liknande eller identiska lösenord för olika tjänster.

🙏 Amen! Eller för alla icke-religiösa 🖐️🎤

Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.