Center for Cybersikkerhed offentliggjorde i en pressemeddelelse den 31. januar, at trusselsniveauet for cyberaktivisme hæves fra MIDDEL til HØJ. Det betyder, at det nu er sandsynligt, at danske virksomheder og myndigheder på kort sigt bliver udsat for aktivistiske cyberangreb.
Helt overordnet hæves trusselsniveauet på grund af fortsat øgede spændinger mellem Rusland og Vesten, og et højt aktivitetsniveau fra pro-russiske aktivistiske hackergrupper mod NATO-lande, herunder Danmark. De pro-russiske hackergrupper udvælger mål i sektorer, som kan knyttes til andre landes fortsatte støtte til Ukraine. Herunder har der særligt været angreb mod virksomheder inden for transport-, finans- og forsvarssektoren, og i de seneste uger er det især overbelastnings-angreb der er udført. Overbelastningsangreb er simple, og de har sjældent varige eller destruktive konsekvenser for målene, men de er stadig forstyrrende, og de tiltrækker stor opmærksomhed.
Hvad skal man beskytte sig mod og hvordan?
Som nævnt er der de seneste uger set overbelastningsangreb fra pro-russiske aktivistgrupper. Langt de fleste virksomheder er stærkt afhængige af internetforbindelser, og overbelastnings- eller DDoS-angreb vil have en konsekvens. Center for Cybersikkerhed har lavet en vejledning i beskyttelse mod DDoS-angreb, der med fordel kan læses via linket nedenfor.
Derudover er egentlige kompromitteringsangreb også en bekymring, og virksomheder bør styrke deres forsvar for at fratage angribere muligheden for indledende adgang til systemer. Blandt de mest anvendte teknikker til indledende adgang er:
- Exploit Public-Facing Applications [T1190]
- External Remote Services [T1133]
- Phishing [T1566]
- Trusted Relationship [T1199]
- Valid Accounts [T1078]
Ovenstående teknikker er nærmere beskrevet i MITRE ATT&CK frameworket, som kan findes via linket nedenfor.
Det amerikanske Cybersecurity and Infrastructure Security Agency har i samarbejde med National Security Agency og sikkerhedsagenturer fra Canada, New Zealand, Holland og England udsendt en vejledning med ”Best Practices” og mitigeringer mod indledende adgang. Her er anbefalingen for beskyttelse af systemer, at man:
- Kontrollerer hvem og hvad der har adgang til systemer, begrænser brugen af lokal administrator adgang, og husker princippet om ”Least Privilege”.
- Hærder autentifikation, eventuelt med implementering af MFA, samt husker at ændre leverandørens standard brugernavne og adgangskoder. Endvidere bør man monitere brug af kompromitterede autentifikationsoplysninger.
- Etablerer centraliseret log management og sørger for at indsamle nok til at give den fornødne visibilitet.
- Anvender et antivirusprodukt og moniterer scanningsresultater rutinemæssigt.
- Implementerer detekteringsværktøjer i form af endepunktsbeskyttelse, Intrusion Detection / Prevention systemer og foretager pentrationstests for at afdække miskonfigurationer og sårbarheder.
- Anvender sikre konfigurationer på maskiner med internetvendte services.
- Holder systemer og software opdateret – Patch Management er vigtigt.
Referencer:
https://www.cfcs.dk/da/cybertruslen/trusselsvurderinger/cfcs-haver-cyberaktivisme-til-hoj/
https://www.cfcs.dk/da/forebyggelse/vejledninger/ddos-angreb/