Trace Id is missing

Grunnleggende cyberhygiene forhindrer 99 % av angrepene

Del
En datamaskin og en telefon på en blå overflate

I dagens digitale alder er selskaper stadig mer avhengige av teknologi og nettbaserte systemer for å drive virksomheten sin. Som et resultat av dette, er det avgjørende å oppfylle minimumsstandardene for cyberhygiene, for å beskytte mot cybertrusler, minimere risiko, og sørge for at bedriften alltid er levedyktig.

Grunnleggende sikkerhetshygiene beskytter fortsatt mot 98 % av angrepene.1

Bjellekurvegrafikken for cyberhygiene, tatt fra Microsoft-rapporten om digitalt forsvar 2022 (MDDR)

Minimumsstandardene enhver organisasjon bør innføre, er:

  • Kreve phishing-motsandsdyktig godkjenning med flere faktorer (MFA)
  • Bruk prinsippene for nulltillit
  • Bruke moderne beskyttelse mot skadelig programvare
  • Holde systemene oppdatert
  • Beskytte data

Vil du redusere angrepene på kontoene? Slå på MFA. Godkjenning med flere faktorer, som navnet indikerer, krever to eller flere bekreftelsesfaktorer. Å kompromittere mer enn én godkjenningsfaktor utgjør en betydelig utfordring for angripere, fordi å kunne (eller knekke) et passord ikke er nok til å få tilgang til et system. Når MFA er aktivert, kan du forebygge 99,9 % av angrepene på kontoene.2

Gjør MFA mye, mye enklere

Godkjenning med flere faktorer – selv om ekstra trinn er en del av navnet, bør du prøve å velge et MFA-alternativ med minst mulig friksjon (for eksempel bruk av biometri på enheter eller FIDO2-kompatible faktorer som Feitan- eller Yubico-sikkerhetsnøkler) for de ansatte.

Unngå å gjøre MFA vanskelig.

Velg MFA når ekstra godkjenning kan bidra til å beskytte sensitive data og kritiske systemer i stedet for å bruke det på hver eneste samhandling.

MFA trenger ikke være utfordrende for sluttbrukeren. Bruk policyer for betinget tilgang, som utløser totrinnskontroll basert på risikooppdagelser, samt direktegodkjenning og enkel pålogging (SSO). På denne måten trenger ikke sluttbrukere å gå gjennom flere påloggingssekvenser for å få tilgang til ikke-kritiske fildelinger eller kalendere i bedriftsnettverket når enhetene er oppdatert med de nyeste programvareoppdateringene. Brukerne har heller ikke tilbakestilling av passord etter 90 dager, noe som forbedrer opplevelsen betydelig.

Vanlige phishing-angrep

I et phishing-angrep bruker kriminelle sosiale manipuleringsteknikker for å lure brukerne til å oppgi tilgangslegitimasjon eller avsløre sensitiv informasjon. Vanlige phishing-angrep omfatter:

Bilde som beskriver vanlige phishing-angrep (e-post, innholdsinjeksjon, koblingsmanipulering, målrettet phishing og mellommannbasert angrep)

Nulltillitsprinsipper er hjørnesteinen for enhver sikkerhetsplan som begrenser innvirkningen på organisasjonen. En nulltillitsmodell er en proaktiv, integrert tilnærming til sikkerhet på tvers av alle lag i den digitale eiendommen, som eksplisitt og kontinuerlig kontrollerer hver transaksjon, bruker minst priviligert tilgang, og er avhengig av informasjon, avansert oppdagelse og respons på trusler i sanntid.

Når du innfører en nulltillitstilnærming, blir det mulig å:
  • Støtte fjernarbeid og hybridarbeid
  • Forhindre eller redusere skade på bedriften fra et sikkerhetsbrudd
  • Identifisere og beskytte sensitive bedriftsdata og -identiteter
  • Bygge tillit i sikkerhetsstatus og programmer på tvers av lederteamet, ansatte, partnere, interessenter og kunder
Prinsippene for nulltillit er:
  • Anta sikkerhetsbrudd  Anta at angripere kan og vil angripe hva som helst (identitet, nettverk, enhet, app, infrastruktur osv.), og planlegg i henhold til dette. Det betyr at man må konstant overvåke miljøet og være bevisst over mulige angrep.
  • Bekreft eksplisitt Sørg for at brukere og enheter er oppdaterte før du gir tilgang til ressurser. Beskytt ressurser mot angriperkontroll ved å eksplisitt bekrefte at alle klarerings- og sikkerhetsbeslutninger bruker relevant tilgjengelig informasjon og telemetri.
  • Bruk minst priviligert tilgang Begrens tilgangen til potensielt kompromittert ressurs med just-in-time-tilgang (JIT/JEA) og risikobaserte policyer som adaptiv tilgangskontroll. Du bør kun tillate privilegiene som trengs for tilgang til en ressurs, ikke noe mer.

Nulltillitssikkerhetslag

Et skjermbilde av en dataskjerm

Det finnes noe som heter for mye sikkerhet

For mye sikkerhet – det vil si sikkerhet som føles altfor begrensende for vanlige brukere – kan føre til samme utfall som å ikke ha nok sikkerhet i utgangspunktet – større risiko.

Strenge sikkerhetsprosesser kan gjøre det vanskelig for folk å gjøre jobben sin. Og det som er verre, er at kan inspirere folk til å finne kreative midlertidige skygge-IT-løsninger, som motiverer dem til å omgå sikkerheten fullstendig – noen ganger ved å bruke egne enheter, e-post, og lagring – og bruke systemer som (ironisk nok) har lavere sikkerhet, og utgjør en større risiko for bedriften.

Bruk beskyttelse mot skadelig programvare for utvidet oppdagelse og svar. Innfør programvare som oppdager og automatisk blokkerer angrep og gir innsikter til sikkerhetsoperasjoner.

Å overvåke innsikter fra systemer som oppdager trusler, er grunnleggende for å kunne beskytte seg mot trusler i tide.

Anbefalt fremgangsmåte for automatisering og orkestrering av sikkerhet av sikkerhet

Flytt så mye av arbeidet som mulig, til detektorene

Velg og distribuer sensorer som automatiserer, korrelerer og kobler sammen funnene før de sendes til en analytiker.

Automatisere varselsamling

Sikkerhetsoperasjonsanalytikeren bør ha alt som trengs for å vurdere og respondere på et varsel uten å utføre ekstra informasjonsinnsamling, slik som å spørre systemer som er frakoblet eller ikke, eller samle inn informasjon fra ekstra kilder, slik som ressursstyringssystemer eller nettverksenheter.

Automatisere prioritering av varsler

Analyse i sanntid bør utnyttes for å prioritere hendelser basert på trusselinformasjonsfeeder, ressursinformasjon og angrepsindikatorer. Analytikere og hendelsesrespondenter bør fokusere på varslene med høyest alvorsgrad.

Automatisere oppgaver og prosesser

Ha vanlige, gjentakende og tidkrevende administrative prosesser som mål først, og standardiser responsprosedyrer. Så fort responsen er standardisert, automatiserer du arbeidsflyten til sikkerhetsoperasjonsanalytikeren for å fjerne eventuell menneskelig inngripen der det er mulig, slik at de kan fokusere på mer kritiske oppgaver.

Kontinuerlig forbedring

Overvåk viktige måledata, og juster sensorer og arbeidsflyter til å drive trinnvise endringer.

Bidra til å forhindre, oppdage og respondere på trusler

Beskytt mot trusler på tvers av arbeidsbelastninger ved å utnytte omfattende forebyggings-, oppdagelses- og responsfunksjoner med funksjoner for integrert utvidet oppdagelse og svar (XDR) og administrasjon av sikkerhetsinformasjon og -hendelser.

Ekstern tilgang

Angripere retter seg ofte mot fjerntilgangsløsninger (RDP, VDI, VPN osv.) for å gå inn i et miljø og kjøre pågående operasjoner for å skade interne ressurser.
Du forhindrer at angripere kommer seg inn ved å:
  • Vedlikeholde programvare- og utstyrsoppdateringer
  • Håndheve nulltillitsbruker og -enhetsvalidering
  • Konfigurere sikkerhet for tredjeparts VPN-løsninger
  • Publisere lokale nettapper

Programvare for e-post og samarbeid

En annen vanlig taktikk for å gå inn i miljøer er å overføre skadelig innhold via e-post eller fildelingsverktøy og deretter overbevise brukerne om å kjøre det.
Du forhindrer at angripere kommer seg inn ved å:
  • Implementere avansert e-postsikkerhet
  • Aktivere regler for reduksjon av angrepsoverflaten for å blokkere vanlige angrepsteknikker
  • Skanne vedlegg for makrobaserte trusler

Endepunkter

Endepunkter som eksponeres på nettet, er en favorittinngangsvektor fordi de gir angriperne tilgang til en organisasjons ressurser.
Du forhindrer at angripere kommer seg inn ved å:
  • Blokkere kjente trusler med regler for angrepsoverflatereduksjon som retter seg mot bestemte typer programvareatferd, som å starte kjørbare filer og skript som forsøker å laste ned eller kjøre filer, kjøre komplisert eller mistenkelig skript, eller utføre atferd som apper vanligvis ikke starter i det normale daglige arbeidet.
  • Vedlikeholde programvaren slik at den er oppdatert og støttet
  • Isolere, deaktivere og trekke tilbake usikre systemer og protokoller
  • Blokkere uventet trafikk med vertsbaserte brannmurer og nettverksbeskyttelse

Opprettholde konstant årvåkenhet

Bruk integrert XDR og SIEM for å gi varsler av høy kvalitet og minimere friksjon og manuelle trinn under responsen.

Forsterke eldre systemer

Eldre systemer som mangler sikkerhetskontroller som antivirus- og endepunktsoppdagelse og -svar (EDR)-løsninger, kan gi angripere mulighet til å utføre hele løsepengevirus- og eksfiltrasjonsangrepskjeden fra ett enkelt system.

Hvis det ikke er mulig å konfigurere sikkerhetsverktøy for det gamle systemet, må du isolere systemet enten fysisk (gjennom en brannmur) eller logisk (ved å fjerne overlappende legitimasjon med andre systemer).

Ikke ignorer handelsprogramvare

Klassisk automatisert løsepengevirus mangler ofte kompleksiteten til tastaturangrep, men det gjør det ikke mindre farlig.

Vær på vakt for motstandere som deaktiverer sikkerhet

Overvåk miljøet for motstandere som deaktiverer sikkerhet (ofte en del av en angrepskjede) som fjerning av hendelseslogg – særlig sikkerhetshendelseslogg og PowerShell-driftslogger – og deaktivering av sikkerhetsverktøy og -kontroller (knyttet til enkelte grupper).

Ikke-oppdaterte og gamle systemer er hovedgrunnen til at mange organisasjoner blir angrepet. Sørg for at alle systemene er oppdaterte, inkludert fastvare, operativsystemer og programmer.

Anbefalte fremgangsmåter
  • Forsikre deg om at enhetene er robuste ved å oppdatere dem, endre standardpassord og standard SSH-porter.
  • Reduser angrepsoverflaten ved å fjerne unødvendige Internett-tilkoblinger og åpne porter, begrens ekstern tilgang ved å blokkere porter, nekte ekstern tilgang og bruk av VPN-tjenester.
  • Bruk en tingenes Internett og driftsteknologi (IoT/OT)-bevisst nettverksdeteksjon og responsløsning (NDR), en sikkerhetsinformasjon og hendelsesbehandling (SIEM), en sikkerhetsorkestrering og responsløsning (SOAR) for å overvåke enheter for unormal eller uautorisert atferd, for eksempel kommunikasjon med ukjente verter.
  • Segmenter nettverk for å begrense angriperens evne til å bevege seg sideveis og risikere dine eiendeler etter første inntrenging. IoT-enheter og OT-nettverk burde være isolert fra bedriftens IT-nettverk via brannmur.
  • Sørg for at ICS-protokoller ikke er direkte eksponert mot Internett
  • Få et dypere innblikk i IoT/OT-enheter på nettverket ditt og prioriter dem etter risiko for virksomheten hvis de er kompromittert.
  • Bruk skanneverktøy for å forstå potensielle svake punkter i fastvaresikkerheten og samarbeid med leverandører for å identifisere hvordan du kan redusere risikoen for høyrisikoenheter.
  • Påvirk sikkerheten til IoT/OT-enheter i en positiv retning ved å kreve at leverandørene dine bruker best mulig praksis for sikker utviklingslivssyklus.
  • Unngå overførsel av filer som inneholder systemdefinerende informasjon via usikre kanaler, eller til ikke-essensielt personell.
  • I tilfeller der overførsel av slike filer er uunngåelig, sørg for å overvåke aktiviteten på nettverket og sikre at eiendeler er sikre.
  • Beskytt ingeniørstasjoner ved overvåking med EDR-løsninger.
  • Gjennomfør proaktivt hendelsesrespons for OT-nettverk.
  • Distribuer kontinuerlig overvåking med løsninger som Microsoft Defender for IoT.

Å være bevisst på viktig data, hvor den er lokalisert og om relevante systemer er blitt innført, er grunnleggende for innføring av passende beskyttelse.

Datasikkerhetsutfordringer omfatter:
  • Redusere og administrere risikoene for brukerfeil
  • Manuell brukerklassifisering er upraktisk i stor skala
  • Data må beskyttes utenfor nettverket
  • Overholdelse og sikkerhet krever en komplett strategi
  • Møte stadig strengere krav til overholdelse
5 grunnprinsipper for en forsvarspreget tilnærming til datasikkerhet
Dagens hybride arbeidsområder krever data for å få tilgang fra flere enheter, apper og tjenester rundt om i verden. Men så mange plattformer og tilgangspunkter må du ha sterk beskyttelse mot datatyveri og -lekkasje. I dagens miljø vil en forsvarspreget tilnærming gi den beste beskyttelsen for å forsterke datasikkerheten. Det finnes fem komponenter i denne strategien, der alle kan vedtas i den rekkefølgen som passer organisasjonens unike behov, og eventuelle forskriftsmessige krav.
  • Identifisere datalandskapet
    Før du kan beskytte sensitive data må du finne ut hvor de er og hvordan de åpnes. Dette krever fullstendig synlighet i hele dataeiendommen, enten det er lokalt, hybrid eller multisky.
  • Beskytt sensitive data I tillegg til å lage et holistisk kart må du beskytte dataene – både inaktive data og data som flyttes. Det er her nøyaktig merking og klassifisering av dataene spiller inn, slik at du kan få innsikt i hvordan de åpnes, lagres og deles. Nøyaktig sporing av data hindrer at de blir ofre for lekkasjer og sikkerhetsbrudd.
  • Administrere risiko Selv når dataene er riktig tilordnet og merket, må du ta hensyn til brukerkontekst rundt dataene og aktiviteter som kan resultere i potensielle datasikkerhetshendelser, og dette inkluderer interne trusler. Den beste tilnærmingen for håndtering av intern risiko samler riktige personer, prosesser, opplæring og verktøy.
  • Hindre datatap Ikke glem den uautoriserte bruken av data – dette er også tap. En effektiv beskyttelsesløsning mot tap av data må balansere beskyttelse og produktivitet. Det er avgjørende å sikre at riktige tilgangskontroller er på plass, og at policyer er angitt for å forebygge handlinger som upassende lagring, oppbevaring eller utskrift av sensitive data.
  • Styring av livssyklus for data Etter hvert som datastyring skifter mot at bedriftsteam blir forvaltere av egne data, er det viktig at organisasjoner lager en enhetlig tilnærming på tvers av virksomheten. Denne typen proaktiv administrasjon av livssyklus fører til bedre datasikkerhet og bidrar til å sikre at data demokratiseres på en ansvarlig måte for brukerne, hvor det kan drive frem forretningsverdi.

Selv om trusselaktører fortsetter å utvikle seg og blir mer komplekse, tåler denne sikkerhetsbanaliteten å bli gjentatt: Grunnleggende cybersikkerhetshygiene – aktivere MFA, innføre nulltillitsprinsipper, være oppdatert, bruke moderne beskyttelse mot skadelig programvare og beskytte data – forhindrer 98 % av angrepene.

Hvis du trenger hjelp til å beskytte mot cybertrusler, minimere risiko, og sørge for at organisasjonen alltid er levedyktig, er det avgjørende å oppfylle minimumsstandardene for cybersikkerhetshygiene.

Relaterte artikler

61 % økning i phishing-angrep. Kjenn til den moderne angrepsoverflaten.

For å administrere en stadig mer kompleks angrepsoverflate må organisasjoner utvikle en omfattende sikkerhetsstatus. Med seks viktige overflateområder for angrep viser denne rapporten hvordan riktig trusselinformasjon kan snu spillereglene i beskytternes favør.
Mer informasjon

Cyberkriminalitet-som-en-tjeneste (CaaS) driver 38 % av økningen til bedrifts-e-postsvindel

Kompromittering av bedrifts-e-post (BEC) er i fremmarsj nå som cyberkriminelle kan skjule kilden til angrepene, så de er enda mer ondskapsfulle. Finn ut mer om CaaS, og hvordan du bidrar til å beskytte organisasjonen.
Mer informasjon

Skybasert sikkerhet: Slik fyller ledende CISO-er sikkerhetshull

CISO-er deler endrede sikkerhetsprioriteringer etter hvert som organisasjonene skifter til skybaserte modeller, og utfordringene rundt å ta hele den digitale eiendommen med på reisen.
Mer informasjon

Følg Microsoft Sikkerhet