Center for Cybersikkerhed offentliggjorde i en pressemeddelelse den 18. maj, at trusselsniveauet for cyberaktivisme hæves fra LAV til MIDDEL. Der er nu en generel trussel mod Danmark og danske virksomheder, hvilket betyder, at vi på kort sigt risikerer at blive udsat for aktivistiske cyberangreb.
Helt overordnet hæves trusselsniveauet på grund af den russiske invasion af Ukraine og aktivistiske cyberangreb udført i den forbindelse, samt de reaktioner krigen har ført med sig. I de seneste uger er det dog ikke kun de aktive parter i krigen, der har været mål for aktivistiske cyberangreb, hvor især lande i Ukraines nærområde er blevet ramt af angreb fra pro-russiske aktivistgrupper. Således er der set overbelastningsangreb mod myndigheders hjemmesider i Estland, Rumænien og Letland, banker i Polen og TV- og radiostationer i Tjekkiet.
Selvom trusselsniveauet hæves på grund af de konkrete pro-russiske angreb, så er det ikke kun de pro-russiske aktivistgrupper, der udgør en trussel. Også de anti-russiske aktivistgrupper kunne have et ønske om at ramme organisationer med tilknytning til Rusland, eller lande og organisationer de ikke mener gør nok for at støtte Ukraine.
Hvad skal man beskytte sig mod og hvordan?
Som nævnt er der de seneste uger set overbelastningsangreb fra pro-russiske aktivistgrupper. Langt de fleste virksomheder er stærkt afhængige af internetforbindelser, og overbelastnings- eller DDoS-angreb vil have en konsekvens. Center for Cybersikkerhed har lavet en vejledning i beskyttelse mod DDoS-angreb, der med fordel kan læses her.
Derudover er egentlige kompromitteringsangreb også en bekymring, og virksomheder bør styrke deres forsvar for at fratage angribere muligheden for indledende adgang til systemer. Blandt de mest anvendte teknikker til indledende adgang er:
- Exploit Public-Facing Applications [T1190]
- External Remote Services [T1133]
- Phishing [T1566]
- Trusted Relationship [T1199]
- Valid Accounts [T1078]
Ovenstående teknikker er nærmere beskrevet i MITRE ATT&CK frameworket, som kan findes via her.
Det amerikanske Cybersecurity and Infrastructure Security Agency har i samarbejde med National Security Agency og sikkerhedsagenturer fra Canada, New Zealand, Holland og England netop udsendt en vejledning med ”Best Practices” og mitigeringer mod indledende adgang. Her er anbefalingen for beskyttelse af systemer, at man:
- Kontrollerer hvem og hvad, der har adgang til systemer, begrænser brugen af lokal administrator adgang, og husker princippet om ”Least Privilege”.
- Hærder autentifikation, eventuelt med implementering af MFA, samt husker at ændre leverandørens standard brugernavne og adgangskoder. Endvidere bør man monitere brug af kompromitterede autentifikationsoplysninger.
- Etablerer centraliseret log management og sørger for at indsamle nok til at give den fornødne visibilitet.
- Anvender et antivirusprodukt og moniterer scanningsresultater rutinemæssigt.
- Implementerer detekteringsværktøjer i form af endepunktsbeskyttelse, Intrusion Detection / Prevention systemer og foretager pentrationstests for at afdække miskonfigurationer og sårbarheder.
- Anvender sikre konfigurationer på maskiner med internetvendte services.
- Holder systemer og software opdateret – Patch Management er vigtigt.
Referencer:
https://www.cfcs.dk/da/forebyggelse/vejledninger/ddos-angreb/