Hoppa till innehållet
Avanet
Sophos Rekommendationer - Bästa praxis för cybersäkerhet

Sophos Rekommendationer - Bästa praxis för cybersäkerhet

8. SEPTEMBER 2023

Sophos har utfärdat en lista med nio bästa praxis för cybersäkerhet som syftar till att påminna företag om att enkla men effektiva åtgärder kan avsevärt öka IT-säkerheten.

För att säkerställa optimalt skydd mot cyberattacker räcker det inte med att implementera toppmoderna säkerhetslösningar. En avgörande och ofta försummad aspekt är den korrekta konfigurationen av dessa system. Vi märker gång på gång att i företag som vi får förmånen att ta hand om, är en Sophos Firewall installerad, men inte alla säkerhetsfunktioner är aktiverade eller korrekt konfigurerade, vilket kan leda till betydande säkerhetsluckor.

Därför är det av stor vikt att man inte bara satsar på högkvalitativa cybersäkerhetslösningar utan även installerar och konfigurerar dem fackmannamässigt. Ett ansvarsfullt och informerat agerande är dessutom oumbärligt för att minimera potentiella risker.

Följande listar ett antal bästa praxis för cybersäkerhet som kan bidra till att kontinuerligt förbättra säkerhetsläget och skapa en solid grund för företagets säkerhet:

Lista över åtgärder

Patchning: Regelbundet och omedelbart!

År 2021 var opatchade sårbarheter orsaken till nästan hälften av alla cyberincidenter som Sophos undersökte. Det framgår tydligt att snabb och regelbunden patchning avsevärt ökar systemets säkerhet och minimerar risken att dessa sårbarheter utnyttjas.

Ingen programvara är helt säker; i varje finns potentiella säkerhetsbrister. Regelbundna uppdateringar är därför avgörande, även om de ibland upplevs som irriterande. De ger inte alltid bara nya funktioner, utan åtgärdar ofta också kritiska säkerhetsproblem som inte nödvändigtvis listas i release notes.

Även om en uppdatering ibland kan leda till problem, är risken att hoppa över en uppdatering betydligt större. Det är därför lämpligt att vara proaktiv och tillämpa patchar kontinuerligt och omedelbart.

Säkerhetskopior: Automatiserade och inte på kontoret

Enligt Sophos Ransomware Report 2022 kunde 73 % av de tillfrågade IT-cheferna återställa krypterad data med hjälp av sina säkerhetskopior efter en cyberattack.

Det rekommenderas starkt att kryptera säkerhetskopior. Detta tjänar inte bara till att skydda mot ransomware-attacker, där data krypteras för att utpressa lösensumma, utan också till att skydda mot datastöld. Angripare kan försöka stjäla känsliga data för att senare utpressa företaget med hot om att publicera denna data. Kryptering av säkerhetskopior utgör därmed en viktig barriär som avsevärt försvårar åtkomsten till data.

Lika viktigt är det att lagra säkerhetskopior offline och utanför kontorslokalerna. Detta skyddar mot fysiska skador från naturkatastrofer eller inbrott och säkerställer att nödvändiga data alltid kan nås i krissituationer.

Dessutom bör dataåterställningen testas regelbundet. På så sätt kan man vid dataförlust agera snabbt och effektivt och säkerhetskopieringarnas funktionalitet säkerställs i en nödsituation.

Visa filtyp

I operativsystemen Windows och macOS visas filnamnstillägg inte som standard. Det rekommenderas dock att aktivera synligheten för att identifiera potentiellt farliga filtyper, t.ex. JavaScript-filer. Naturligtvis bör sådana filändelser inte tas emot via e-post överhuvudtaget. Med en lösning som t.ex. Sophos Central Email kan detta blockeras, bland annat, så att användaren inte ens kan ta emot sådana filer.

Lista från Sophos över filnamnstillägg som bör blockeras.

Tidigare utförde vi själva ett test och utnyttjade just detta. Vi skickade USB-minnen med en HTML-fil förklädd som en ansökan till olika företag. Många trodde förmodligen att det var ett PDF- eller Word-dokument, men när de öppnade filen omdirigerades de till en webbplats. Mer detaljer om detta experiment: Experiment – Varför du borde ha låtit bli att koppla in detta USB-minne.

Trots möjligheten att identifiera filnamnstillägg är det viktigt att utbilda anställda i enlighet därmed. Detta är det enda sättet att säkerställa att de effektivt kan identifiera misstänkta filer och agera försiktigt.

Öppna skript med textredigerare

Att öppna en JavaScript-fil i en textredigerare förhindrar körning av möjliga skadliga skript och möjliggör en säker granskning av filens innehåll. Förutsatt, förstås, att man har nödvändig kunskap.

Det är lämpligt att hantera körbara filer med försiktighet, eftersom de ofta används för skadlig kod. Det bör noteras att inte bara JavaScript-filer, utan även filbilagor med filändelserna .exe, .bat, .scr och .vbs, bland andra, kan vara potentiellt farliga och ha förmågan att köra skript som kan orsaka betydande skada. Självklart påverkas även Office-filer – ämnet makron, men mer om det senare.

Därför bör filbilagor endast öppnas från betrodda källor, och i tveksamma fall bör innehållet först kontrolleras i en textredigerare.

I sista hand hjälper en bra Endpoint Protection-lösning, eller i värsta fall den ovan nämnda säkerhetskopian 😋.

Makron: Nej

Redan för några år sedan deaktiverade Microsoft automatisk körning av makron av säkerhetsskäl. Många infektioner är endast möjliga om man aktiverar makron. Därför bör man undvika att aktivera makron!

E-postbilagor: Försiktighet även med kända avsändare

Cyberkriminella utnyttjar ofta ett gammalt problem: man ska egentligen bara öppna ett dokument om man är säker på att det är ofarligt. För att uppnå denna säkerhet måste man dock först öppna det. I sådana situationer är det lämpligt att inte öppna en misstänkt bilaga i tveksamma fall.

Det bör noteras att hackade e-postservrar ofta missbrukas för att skicka skadliga bilagor. Angriparen som har kontroll över e-postservern kan inte bara skicka från en legitim domän, utan också se konversationer och ge kontextbaserade svar med hjälp av AI-tekniker. Detta gör det extremt svårt att upptäcka sådana e-postmeddelanden, eftersom de är mycket specifika och anpassade till den tidigare konversationen.

Administratörsrättigheter: Mindre är mer

Det bör periodiskt kontrolleras vem i nätverket som har lokala administratörsrättigheter och domänadministratörsrättigheter. Det är lämpligt att noggrant kontrollera vem som har dessa rättigheter och att återkalla dem om de inte behövs. Dessutom bör man endast logga in som administratör så länge som absolut nödvändigt.

Lika viktigt är det att säkerställa nätverkets säkerhet genom lämpliga försiktighetsåtgärder. En av dessa åtgärder bör vara att se till att inga portar lämnas onödigt öppna för att undvika potentiella säkerhetssårbarheter. RDP-åtkomst och andra fjärradministrationsprotokoll för företaget bör konsekvent blockeras för att förhindra obehörig åtkomst. Kort sagt, en korrekt konfigurerad brandvägg.

Dessutom är det lämpligt att implementera tvåfaktorsautentisering, vilket ger ett extra säkerhetslager genom att bekräfta användarens identitet med en andra komponent. Dessutom bör det säkerställas att fjärranvändare alltid autentiserar sig via en VPN för att säkerställa en säker och krypterad anslutning som skyddar dataintegriteten och konfidentialiteten. Naturligtvis vore Zero Trust det bättre tillvägagångssättet här.

Använd starka lösenord

Slutligen ett ämne som skulle ha förtjänat ett eget blogginlägg. Det finns ju också den internationella Lösenordsdagen, som alltid infaller första torsdagen i maj, för att ständigt påminna om ämnet. Därför, det viktigaste i korthet.

Om du tittar på lösenordet i 3 sekunder och kan komma ihåg det, är det med stor sannolikhet skit 💩. Det går inte att försköna det vid det här laget. De smarta som nu tror att 5 sekunder gör allt bättre, ja, men på något sätt ändå inte.

  • Längd: Längden är viktig här. Det bör bestå av minst 12 tecken.
  • Komplexitet: Det bör innehålla en blandning av stora och små bokstäver, siffror och specialtecken.
  • Ingen koppling till personlig information: Undvik att använda lättåtkomlig information som födelsedatum, namn eller adresser.
  • Oförutsägbarhet: Det bör inte bestå av lättgissade ordkombinationer eller vanliga fraser.
  • Unikhet: Varje lösenord bör vara unikt och inte användas för flera konton.
  • Regelbunden uppdatering: Det är lämpligt att ändra lösenord regelbundet för att öka säkerheten.
  • Slumpmässighet: Använd slumpmässigt genererade lösenord som inte baseras på ord som finns i ordboken. Det finns lösenordsgeneratorer.
  • Användning av lösenfraser: Ibland är det säkrare att använda en lösenfras som består av flera ord separerade med specialtecken.
  • Tvåfaktorsautentisering (2FA): Där det är möjligt bör tvåfaktorsautentisering aktiveras för att ge ett extra säkerhetslager.
  • Undvik upprepningar: Undvik att använda liknande eller identiska lösenord för olika tjänster.

🙏 Amen! Eller för alla icke-religiösa 🖐️🎤

Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.