Trace Id is missing

Grundläggande cyberhygien förhindrar 99 procent av alla attacker

Dela
En dator och en telefon på en blå yta

I dagens digitala tidsålder förlitar sig företagen alltmer på teknik och onlinesystem när de ska bedriva sin verksamhet. Därför är det viktigt att företagen uppfyller minimikraven vad gäller cyberhygien, om man vill skydda sig mot cyberhot, minimera riskerna och säkerställa att verksamheten kan fortskrida utan problem.

Grundläggande säkerhetshygien skyddar fortfarande mot 98 % av angreppen.1

En bild av en fördelningskurva för cyberhygien från Microsofts rapport om digitalt försvar 2022

De minimistandarder som varje organisation bör följa är:

  • Kräv multifaktorautentisering (MFA) med skydd mot nätfiske
  • Tillämpa principer för Nolltillit
  • Använd moderna program mot skadlig kod
  • Håll systemen uppdaterade
  • Skydda data

Vill du minska attackerna mot dina konton? Aktivera MFA. Multifaktorautentisering kräver, som namnet antyder, två eller fler faktorer vid verifiering. Att angripa mer än en autentiseringsfaktor innebär en betydande utmaning för en angripare eftersom det inte räcker med att knäcka ett lösenord får att få åtkomst till ett system. Om du har MFA aktiverat kan du förebygga 99,9 % av alla attacker mot dina konton.2

Gör MFA mycket mycket enklare

Multifaktorautentisering – även om extra steg antyds av namnet, så bör du välja ett MFA-alternativ med minsta möjliga friktion (som biometri på enheter eller FIDO2-kompatibla faktorer som Feitan- eller Yubico-säkerhetsnycklar) för dina anställda.

Undvik att göra MFA för besvärligt.

Välj MFA när extra autentisering kan bidra till att skydda känsliga data och kritiska system, men använd det inte för varje enskild interaktion.

MFA behöver inte vara en utmaning för slutanvändaren. Använd principer för villkorsstyrd åtkomst, som utlöser tvåstegsverifiering utifrån riskidentifiering, autentisering via direktströmning eller enkel inloggning (SSO). På så vis slipper slutanvändarna uthärda flera multifaktorautentiseringssekvenser på varandra bara för att få dela filer eller kalendrar i företagsnätverket när deras enheter har uppdaterats med de senaste uppdateringarna. Användarna behöver heller inte återställa sina lösenord var 90:e dag, vilket förbättrar deras upplevelse avsevärt.

Vanliga nätfiskeattacker

Vid nätfiskeattacker använder sig brottslingarna av social manipulering för att lura användarna till att tillhandahålla autentiseringsuppgifter som ger åtkomst till känslig information. Vanliga typer av nätfiskeattacker är:

En bild som beskriver vanliga typer av nätfiskeattacker (e-post, innehållsinjektion, länkmanipulation, harpunfiske och man-i-mitten-attacker)

Zero Trust är hörnstenen i all motståndskraftsplanering, som begränsar påverkan på en organisation. En Zero Trust-modell är en proaktiv strategi för säkerhet på den digitala egendomens alla nivåer, som uttryckligen och kontinuerligt verifierar varje transaktion, fastställer minst privilegierade åtkomst och förlitar sig på information, identifiering i förväg och besvarande av hot i realtid.

När du använder en Zero Trust-strategi kan du:
  • Stödja distans- och hybridarbete
  • Bidra till att förebygga eller minska skador på verksamheten i samband med intrång
  • Identifiera och bidra till att skydda känsliga data och identiteter
  • Skapa förtroende för din säkerhetsstatus och dina program bland ledarskap, anställda, partner, intressenter och kunder
Nolltillitsprinciperna är:
  • Förutsätt intrång  Förutsätt att angripare kan och kommer att angripa vad som helst (identitet, nätverk, enhet, app, infrastruktur osv) och planera därefter. Det innebär att du ständigt måste övervaka miljön och kontrollera möjliga attacker.
  • Verifiera explicit Säkerställ ett gott tillstånd för användare och enheter innan åtkomst till resurser tillåts. Skydda tillgångar mot angriparkontroll genom att explicit validera det faktum att alla förtroende- och säkerhetsbeslut använder relevant tillgänglig information och telemetri.
  • Använd minst privilegierad åtkomst Begränsa åtkomsten för en potentiellt komprometterad tillgång med JIT (Just-In-Time) och JEA (Just-Enough-Access (JIT/JEA) och riskbaserade principer som anpassningsbar åtkomstkontroll. Bu bör bara tillåta den behörighet som krävs för åtkomst till en resurs, inte mer än så.

Säkerhetsnivåer för Nolltillit

En skärmbild av en datorskärm

Man kan ha för mycket säkerhet

För mycket säkerhet – det vill säga säkerhet som känns alltför restriktiv för den normala användaren – kan leda till samma resultat som man inte hade någon säkerhet alls – mer risk.

Strikta säkerhetsprocesser kan göra det svårt för personer att göra sitt jobb. Och än värre, så kan det driva dem till att ta till skugg-IT-lösningar med vilka de kan kringgå säkerheten helt och hållet – ibland genom att använda sina egna enheter, sin privata e-post och sin egen lagring – och använda system som (ironiskt nog) har lägre säkerhet och utgör en större risk för företaget.

Använd programvara för utökad identifiering och åtgärd. Implementera programvara för att identifiera och automatiskt blockera attacker och ge insikter i säkerhetsåtgärderna.

Att övervaka insikter från hotidentifieringssystem är ytterst viktigt för att du ska kunna agera på hot i tid.

Bästa praxis för automation och orkestrering av säkerhet

Flytta så mycket som möjligt av arbetet till dina identifierare

Välj och distribuera sensorer som automatiserar, korrelerar och länkar sina upptäckter innan de skickar dem till en analytiker.

Automatisera aviseringsinsamling

Säkerhetsåtgärdsanalytikerna ska ha allt de behöver för att kunna prioritera och svara på en avisering utan att behöva genomföra något ytterligare informationsinsamlande, som att ställa frågor till system som eventuellt är eller inte är offline eller samla in information från ytterligare källor som tillgångshanteringssystem eller nätverksenheter.

Automatisera prioritering av aviseringar

Realtidsanalys ska användas för att prioritera händelser utifrån hotinformationsflöden, tillgångsinformation och attackindikatorer. Analytiker och incidentsvarare ska fokusera på aviseringarna med högst allvarlighetsgrad.

Automatisera uppgifter och processer

Fokusera på vanliga, repetitiva och tidskrävande administrativa processer först och standardisera svarsprocedurer. När svaret väl är standardiserat, så automatisera arbetsflödet för säkerhetsåtgärdsanalys genom att ta bort all mänsklig inblandning där så är möjligt, så att de kan fokusera på mer kritiska uppgifter.

Kontinuerlig förbättring

Övervaka statistiköversikt och anpassa dina sensorer och arbetsflöden till att driva inkrementella ändringar.

Bidra till att skydda, upptäcka och hantera avancerade hot

Sätt upp ett försvar mot hot på alla arbetsbelastningar genom att utnyttja heltäckande skydds-, identifierings- och svarskapaciteter med funktioner som utökad identifiering och åtgärd (XDR) och säkerhetsinformation och händelsehantering (SIEM).

Fjärråtkomst

Angripare riktar ofta in sig på fjärråtkomstlösningar (RDP, VDI, VPN, etc.) för att ta sig in i miljöer och köra kontinuerliga åtgärder som skadar interna resurser.
Om du vill förhindra angripare från att ta sig in måste du:
  • Kontinuerligt uppdatera program- och maskinvara
  • Tillämpa användar- och enhetsvalidering med Nolltillit
  • Konfigurera säkerhet för VPN-lösningar från tredje part
  • Publicera lokala webbappar

Verktyg för e-post och samarbete

En annan vanlig taktik för att ta sig in i miljöer är att överföra skadligt innehåll via e-post eller fildelningsverktyg och sedan övertyga användarna om att köra det.
Om du vill förhindra angripare från att ta sig in måste du:
  • Implementera avancerad säkerhet för e-post
  • Aktivera regler för minskning av attackytan som blockerar vanliga attacktekniker
  • Sök igenom bifogade filer efter makrobaserade hot

Slutpunkter

Internet-exponerade slutpunkter är favoritintrångsvektorer eftersom de erbjuder angriparna åtkomst till en organisations tillgångar.
Om du vill förhindra angripare från att ta sig in måste du:
  • Blockera kända hot med regler för minskning av attackytan som fokuserar på specifika programbeteenden, som körning av körbara filer och skript som försöker ladda ned eller köra filer, köra maskerade eller på annat sätt misstänkta skript eller genomföra beteenden som appar vanligtvis inte initierar under det normala dagliga arbetet.
  • Vårda din programvara genom att se till att den uppdateras och har stöd
  • Isolera, inaktivera eller dra tillbaka osäkra system och protokoll
  • Blockera oväntad trafik med värdbaserade brandväggar och nätverksförsvar

Iaktta konstant vaksamhet

Använd integrerad XDR och SIEM som erbjuder högkvalitativa aviseringar och minimerar friktion och manuella åtgärder under svarsprocesser.

Tillslut äldre system

Äldre system som saknar säkerhetskontroller som antiviruslösningar och lösningar för identifiering och åtgärd på slutpunkt (EDR) gör det möjligt för angripare att genomföra hela attackkedjan av utpressningstrojaner exfiltrering från ett enda system.

Om det inte är möjligt att konfigurera säkerhetsverktygen för det äldre systemet, så måste du isolera detta system – antingen fysiskt (med en brandvägg) eller logiskt (genom att ta bort överlappning av autentiseringsuppgifter med andra system).

Ignorera inte automatisk skadlig programvara

Klassiska automatiska utpressningstrojaner är kanske inte lika sofistikerade som direkta attacker, men det gör dem inte mindre farliga.

Var uppmärksam på att angripare kan inaktivera säkerheten

Övervaka din miljö och var uppmärksam på att angripare kan försöka inaktivera säkerheten (ofta som en del av en attackkedja), exempelvis genom att rensa loggar – i synnerhet säkerhetshändelseloggen och PowerShell-driftloggarna – eller inaktivera säkerhetsverktyg och -kontroller (associerade med vissa grupper).

System som är föråldrade och inte har uppdaterats med korrigeringar är en av de främsta orsakerna till att organisationer påverkas av attacker. Se till att alla system hålls uppdaterade, inklusive inbyggd programvara, operativsystem och program.

Bästa metoder
  • Gör enheter robusta genom att installera korrigeringar samt ändra standardlösenord och förvalda SSH-portar.
  • Minska attackytan genom att eliminera onödiga Internet-anslutningar och öppna portar, förhindra fjärråtkomst genom att blockera portar, neka fjärranslutning och använda VPN-tjänster.
  • Använd en IoT-/OT-medveten lösning för nätverksupptäckt och svar (NDR) och säkerhetsinformation och händelsehantering (SIEM)/lösning för säkerhetsorkestrering och åtgärdande (SOAR) för att övervaka enheter gällande avvikande eller oauktoriserat beteende, till exempel kommunikation med okända värddatorer.
  • Segmentera nätverk för att begränsa angripares förmåga att röra sig lateralt och kompromettera tillgångar efter intrånget. IoT-enheter och OT-nätverk ska isoleras från företagets IT-nätverk genom brandväggar.
  • Se till att ICS-protokoll inte exponeras direkt mot Internet
  • Få större synlighet i IoT-/OT-enheter på ditt nätverk och prioritera dem enligt risken de utgör för verksamheten om de komprometteras.
  • Använd verktyg för att genomsöka inbyggd programvara för att hitta brister i säkerheten och ta hjälp av återförsäljare för att hitta och minimera riskerna för högrisk-enheter.
  • Påverka säkerheten för IoT-/OT-enheter positivt genom att kräva att våra återförsäljares regelverk för livscykeln för säkerhetsutveckling implementeras.
  • Undvik att överföra filer som innehåller systemdefinitioner via osäkra kanaler, eller till icke nödvändig personal.
  • Granska aktiviteten på nätverket och försäkra dig om att tillgångarna är skyddade i fall då överföring av sådana filer inte kan undvikas.
  • Skydda tekniska stationer genom övervakning med EDR-lösningar.
  • Genomför incidenthantering i förebyggande syfte för OT-nätverk.
  • Använd kontinuerlig övervakning med lösningar som Microsoft Defender for IoT.

Det är viktigt att du vet vilka dina viktiga data är, var de finns och om rätt system har implementerats för att du ska kunna använda rätt skyddsåtgärder.

Utmaningarna inom datasäkerhet är:
  • Minska och hantera riskerna med att användare begår misstag
  • Manuell användarklassificering är opraktiskt i stor skala
  • Data måste skyddas utanför nätverket
  • Efterlevnad och säkerhet kräver en fullständig strategi
  • Uppfylla alltmer stringenta efterlevnadskrav
Djupförsvarets 5 pelare när det gäller datasäkerhet
Dagens hybridarbetsytor kräver att data kan nås från flera enheter, appar och tjänster runtom i världen. Med så många plattformar och åtkomstpunkter måste man ha ett starkt skydd mot datastöld och dataläckage. När det gäller dagens miljöer erbjuder ett djupförsvar det bästa alternativet när det gäller att stärka datasäkerheten. Den här strategin omfattar fem komponenter, som alla kan tillämpas i den ordning som bäst passar din organisations unika behov och eventuella regelkrav.
  • Identifiera datalandskapet
    Innan du kan skydda dina känsliga data måste du kartlägga var de finns och hur man får åtkomst till dem. Det kräver fullständig synlighet för hela dataegendomen, oavsett om den finns lokalt, i hybridmiljö eller i flera moln.
  • Skydda känsliga data Förutom att du måste skapa en holistisk karta måste du skydda dina data – såväl i vila som under överföring. Det är här som korrekt etikettering och klassificering av data kommer in, så att du kan se hur informationen kan nås, lagras och delas. Att kunna spåra data korrekt är till stor hjälp när man ska förhindra att de utsätts för läckor eller intrång.
  • Hantera risker Även när dina data mappas och etiketteras därefter måste du ta hänsyn till användarsammanhanget kring dessa data och aktiviteter som kan resultera i potentiella datasäkerhetsincidenter, och det innefattar även interna hot. Den bästa strategin för att hantera insiderrisker är att föra samman rätt personer, processer, utbildning och verktyg.
  • Förhindra dataförlust Glöm inte oauktoriserad dataanvändning – det innebär också en förlust. En effektiv lösning för dataförlustskydd måste balansera skydd och produktivitet. Det är viktigt att se till att rätt åtkomstkontroller är på plats och att principer har konfigurerats som bidrar till att förhindra att känsliga data sparas, lagras eller skrivs ut felaktigt.
  • Styr datalivscykeln I takt med att datastyrningen rör sig mot att verksamhetsteamen får ansvar för sina egna data, så är det viktigt att organisationerna skapar enhetliga strategier för hela organisationen. Denna typ av proaktiv livcykelhantering leder till bättre datasäkerhet och bidrar till att säkerställa ett för användarna demokratiskt dataansvar, vilket kan öka affärsvärdet.

Även om hotaktörerna fortsätter att utvecklas och bli mer sofistikerade, så finns det en datasäkerhetstruism som tål att upprepas: Grundläggande cybersäkerhetshygien – d.v.s. att aktivera MFA, tillämpa Nolltillitsprinciper, hålla data uppdaterade, använda moderna program mot skadlig kod och skydda data – skyddar mot 98 % av attackerna.

Om din organisation vill skydda sig mot cyberhot, minimera riskerna och säkerställa att verksamheten kan fortskrida utan problem är det viktigt att man uppfyller minimikraven vad gäller cyberhygien.

Relaterade artiklar

61 % ökning av nätfiskeattacker. Lär känna din moderna attackyta.

Organisationer måste utveckla en heltäckande säkerhetsstatus om de ska kunna hantera en alltmer komplex attackyta. Den här rapporten innehåller sex viktiga attackytor så att du kan se hur rätt hotinformation kan ge försvararna en fördel.
Mer information

Cyberbrott-som-en-tjänst (CaaS) ligger bakom en ökning på 38 % av e-postbedrägerierna

Kompromettering av företags e-post (BEC) är ett växande hot nu när cyberbrottslingarna kan dölja attackernas källa så att de blir ännu mer skadliga. Läs mer om CaaS och hur du kan skydda din organisation.
Mer information

Molninriktad säkerhet: Hur ledande CISO täpper till täckningsklyftorna

CISO:s ändrar sina säkerhetsprioriteringar i samband med att deras organisation övergår till molninriktade modeller med de utmaningar det medför när man ska ta med sig hela sin digitala egendom i processen.
Mer information

Följ Microsoft Security