Artikel top billede

Trin for trin: Sådan misbruger andre din adgang til kritiske data

De it-kriminelle nyder godt af, at medarbejderne i mange virksomheder har adgang til et bredt udvalg af forretningskritiske og følsomme data. Her er et eksempel på en angrebs-metode.

71 procent af respondenterne i en ny undersøgelse fra Ponemon Institute siger, at de har adgang til for mange fortrolige virksomhedsdata på deres arbejdsplads.

Samtidig viser en global undersøgelse fra Ernst & Young, at topledere fra 1.800 organisationer mener, at den mest sandsynlige enkeltstående kilde til et angreb er en medarbejder i virksomheden.

Men mens det er et klart problem, at man ikke har styr på, hvilke medarbejdere, der skal have adgang til hvilke data i virksomheden, så er den egentlige trusset ikke medarbejderne i sig selv, mener Jens Christian Høy Monrad, der er it-sikkerhedsekspert hos FireEye.

Han mener generelt, at problemet med ringe kontrol og styring af medarbejdernes data-adgang skal ses i en større kontekst, hvor det største problem er, at de kriminelle også udnytter medarbejdernes data-adgang.

"Jeg kender ikke til så mange sager, hvor det er dokumenteret, at det er en medarbejder, som har haft onde hensigter - men jeg kender til et overvældende antal sager, hvor man har misbrugt en medarbejders initialer til sin videre færden i netværket."

"Man kan sige meget om dem, der angriber, men et fællestræk for dem er, at de gider ikke opfinde den den dybe tallerken flere gange. Så hvis man kan kompromittere en medarbejder, som har den rette beføjelse inde i virksomheden, kan man også bruge de initialer til at bevæge sig videre rundt," siger Jens Christian Høy Monrad til Computerworld.

Trin for trin: Sådan arbejder de it-kriminelle
Jens Christian Høy Monrad beskriver, hvordan de kriminelle typisk forsøger at komme ind i virksomhedens systemer via en medarbejders data-adgang:

"Et scenarie kunne være, at jeg går ind på LinkedIN, hvor jeg kan søge efter folk og dermed få den rigtige profil på, hvem jeg gerne vil angribe. Så kan jeg skrive en meget målrettet mail, som jeg kan håbe på, at den person vil klikke på - og så kan jeg have en forfalsket side, der til forveksling ligner det, virksomheden benytter.

"Det kunne for eksempel være en Outlook webmail, en adgang til VPN eller til noget andet, hvor medarbejderen skal skrive sine initialer."

"Når jeg så har de initialer, kan jeg bruge dem sammen med forskellige angrebsmetoder. Jeg kan bruge noget malware til at kompromittere virksomheden - og så har jeg allerede de pågældende initialer fra medarbejderen, som jeg så kan bruge til at bevæge mig rundt med efterfølgende. Det ser vi i høj grad blive brugt."

Jens Christian Høy Monrad forklarer, at de it-kriminelle godt er klar over, at risikoen for at blive opdaget er mindre ved denne type angreb:

"Noget virus eller andet, der ikke skal være i netværket, vil man på sigt opdage - det er bare et spørgsmål, om man opdager det hurtigt nok. I de mere avancerede angreb ser vi derfor, at malware simpelthen bliver droppet, fordi der så ikke er nogen alarmklokker, der ringer."

Jens Christian Høy Monrad siger, at denne type angreb også finder sted i Danmark.

"Det er over hele kloden - og også i Norden og i danske organisationer."

Derfor har it-organisationen det svært

Sikkerhedseksperten fra FireEye forklarer, at denne form for angreb giver betydelige udforinger for it-organisationerne i viorksomhederne, fordi de ikke har spor i form af skadelig kode, de kan gå efter, men i stedet skal i gang med at sammenkøre logfiler, login informationer og så videre for at kunne afgøre, hvad der legitime medarbejdere, og hvad der er it-kriminelle, som misbruger medarbejderens adgang.

"For it-organisationen er det meget svært at finde ud af, om den person, der nu er logget ind i netværket remote fra, er en, der arbejder hjemmefra, og om det er en legitim person eller ej."

Hvad skal man gøre ved det som virksomhed?

"Modsvaret er i hvert fald at have en nødvendig og fornuftig tilgang til adgangskontrol. Medarbejdere skal generelt ikke have adgang til alt. Man må evaluere på, om den pågældende medarbejder har en berettigelse til at skulle have adgang til de givne ressourcer eller systemer."

"Og så selvfølge også nogle af de andre værktøjer som at indføre to-faktor-validering, og at medarbejderen skal give sig selv til kende med noget andet end bare et brugernavn."

"Jeg er også stor fortaler for, at man segmenterer sit netværk i højere grad, end man måske har gjort tidligere."

Nødvendig dialog i virksomheden

Jens Christian Høy Monrad fortæller, at man i en del danske virksomheder er begyndt arbejdet med at afgrænse medarbejdernes data-adgang, men han tilføjer samtidig:

"Men det er også svært, fordi mange medarbejdere et eller andet sted føler, at noget, som de har haft før, bliver taget fra dem."

"Men det er en nødvendig dialog, der selvfølgelig skal starte højt oppe i ledelsen og derefter dryppe ned i organisationen, for det er en realitet i dag, at virksomheder får stjålet sensitiv information, personfølsomme oplysninger og andre ting."