Søg

Fem store sikkerhedsfejl som du helt sikkert begår

Virksomhederne bliver hacket så ofte, at man skulle tro, at hackerne kan trylle, men i virkeligheden handler det om en kronisk mangel på forståelse for helt basale sikkerhedsspørgsmål.

20. marts 2012 kl. 11.02
Artikel top billede
Roger A. Grimes Roger A. Grimes

Sikkerhedsfejl #1: Opdateringerne

Computerworld News Service: Virksomhederne er så sårbare over for hacking, at hackere påstår, at de kan pege deres systemer mod stort set hvilken som helst virksomhed og bryde ind uden de store problemer.

De fleste helt almindelige sikkerheds-testere er ofte i stand til at bryde ind i en virksomhed på ganske få timer.. 

For de professionelle kriminelle er det endnu nemmere.

Men sådan behøver det ikke være.

Problemet er, at de fleste it-administratorer bliver ved med at begå de samme fejl igen og igen.

Sikkerhedsfejl #1: Du går ud fra, at alt er opdateret
De fleste virksomheder mener, at at der er styr på opdateringerne. 

De mener i virkeligheden, at styresystemet er opdateret på de fleste computere. Men hvad med de sårbare applikationer, der ofte bliver udsat for angreb? Her ser det knapt så godt ud. 

Der findes eksempelvis rigtigt mange Apache Webserver i virksomhederne, der aldrig bliver ordentligt opdateret.

Det samme gælder computere med Adobe Acrobat Reader, Adobe Flash eller Java. Det er ikke noget tilfælde, at netop disse applikationer også er dem, der oftest bliver udnyttet af de kriminelle. Og problemet har eksisteret i årevis.

Har købt dyre opdateringsprogrammer

It-administratorerne tror, de har styr på opdateringerne, fordi de har købt dyrt opdateringsprogram, uddelegeret opgaven til en eller anden, fået bedre opdateringer i det hele taget og krydset det af på to-do-listen.

Pyt med at opdateringerne aldrig har fungeret perfekt, at det ikke er alle computerne, der bliver opdaterede, og at der stadig står sårbar software tilbage. Det går ligesom i glemmebogen.

Derudover afholder mange it-afdelinger sig fra at opdatere applikationer på grund af problemer med kompatibiliteten.

Hvis afdelingen for eksempel har opdateret Java, og der bagefter sker en eller anden tilfældig fejl i en af applikationerne, vil it-afdelingen ofte forbyde allle at opdatere Java.

På den måde kan computerne stå hen i årevis uden at blive opdateret.

Ledelsen er godt tilfreds og tror, at opdateringsproblemet er løst, men i virkeligheden er det værre end nogensinde.

Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer

Sikkerhedsfejl #2: Applikationerne

Sikkerhedsfejl #2: Du ved ikke, hvilke applikationer der kører

De fleste it-afdelinger har ingen anelse om, hvilke programmer der kører på deres computere.

Nye computere kommer preloadet med forskellige programmer, som brugeren i virkeligheden ikke har brug for, og brugerne selv henter andre programmer.

Det er ikke unormalt, at en pc kører i hundredevis af programmmer ved opstart.

Men hvordan kan du håndtere programmer, som du ikke engang ved eksisterer?

Mange af de pågældende rogrammer indeholder store velkendte sårbarheder eller bagdøre fra leverandøren, som alle og enhver kan udnytte.

Hvis du gerne vil sikre dit miljø, skal du skabe et overblik over alle de programmer, der kører, smide de unødvendige programmer ud og sikre resten.

Sikkerhedsfejl #3: Du ser det forkerte sted

Sikkerhedsfejl #3: Du overser anormaliteterne
Selv om hackere kan bryde ind uden at blive opdaget, så er det svært for dem at hacke løs uden at gøre noget som helst unormalt.

De er nødt til at undersøge netværket og forbinde computere, som normalt aldrig taler sammen.

Hackere foretager altså handlinger, som ingen af de normale brugere nogensinde foretager.

De færreste it-administratorer har nogen særlig god fornemmelse af, hvilke aktiviteter og aktivitetsniveauer, der kan regnes for at være normale.

Hvis du ikke har defineret det normale, hvordan kan du så spore anormaliteter og udsende advarsler?

År efter år fortæller The Verizon Data Breach Investigations Report, at næsten alle databrud kunne have været undgået, hvis ofrene havde implementeret alle de nødvendige kontroller lige fra begyndelsen.

Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer

Sikkerhedsfejl #4: De slappe regler

Sikkerhedsfejl #4: Du er ikke skrap nok med passwords
Vi ved alle sammen godt, at et password skal være langt og komplekst, og at det skal skiftes med jævne mellemrum.

Langt de fleste administratorer vil sige, at at deres egne passwords er stærke, men ofte passer det ikke.

Eller måske er de stærke på nogle områder, mens de er svare på de områder, hvor det virkelig gælder - eksempelvis til konti, der bruges på tværs af virksomheden eller på tværs af et domæne, eller andre former for superbruger-konti.

Men jo stærkere kontoen er, jo svagere er passwordet, og jo større er sandsynligheden for, at det aldrig bliver skiftet.

Hvis du gerne vil vide, hvor effektiv password-politikken er i virksomheden, så skulle du prøve at undersøge, hvor mange dage, der er gået, siden de forskellige passwords sidste blev skiftet.

Jeg vil godt garantere, at du kan finde konti, der ikke er blevet ændret i tusindvis af dage.

Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer

Sikkerhedsfejl #5: Manglende uddannelse

Sikkerhedsfejl #5: Du uddanner ikke brugerne i nye trusler 
Vi siger, at slutbrugerne er vores svageste led, med alligevel uddanner vi dem ikke i de nyeste trusler - altså de angreb, der har fundet sted i løbet af de seneste fem år.

De fleste brugere ved alt om vedhæftede virus i e-mails - den slags angreb, der var populære for 10 år siden.

Men prøv at spørge slutbrugerne, om de er klar over, at den største infektionstrussel i dag stammer fra hjemmesider, som de allerede kender, stoler på og besøger hver eneste dag.

De fleste slutbrugere ved ikke noget om ondsindede reklamer på deres yndlingshjemmeside eller om det faktum, at populære søgemaskiner på nettet kan inficere dem.

De kender ikke forskel på deres egen antivirus-software og det falske program, der lige poppede op på et vindue på skærmen.

De ved det ikke, fordi vi ikke har lært dem det.

De fem sårbarheder er langt fra nye. 

De har eksisteret i hvert fald i 20 år. 

Problemet bliver krydset af på listen, så de kan koncentrere sig om noget andet - men faktum er, at hele miljøet er grundlæggende fejlbefængt.

Det eneste, det ville kræve at opdage det, var at stille et par spørgsmål eller køre nogle få forespørgsler.

Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer

Oversat af Marie Dyekjær Eriksen

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Danske CIO’ers evner i strategi og eksekvering er afgørende for succes med generativ AI

    Annonceindlæg fra Deloitte

    Danske CIO’ers evner i strategi og eksekvering er afgørende for succes med generativ AI

    Ny rapport varsler risiko for, at vi i Norden sakker bagud på teknologier med de mest markante potentialer. CIO’erne bliver afgørende for succes.

    Spillehallen.dk ApS

    Experienced System Administrator (Hybrid Infra + Azure + DevOps mindset)

    Midtjylland

    Netcompany A/S

    Data Management Consultant

    Midtjylland

    Timengo DPG

    Vil du være med til at skabe stærke kunderelationer og udvikle dig som sælger i et energisk team?

    Københavnsområdet

    Styrelsen For It og Læring

    Ambitiøs it-arkitekt til tværgående arkitekturenhed

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Netip A/S har pr. 15. september 2025 ansat Benjamin Terp som Supportkonsulent ved netIP's kontor i Odense. Han er uddannet IT-Supporter hos Kjaer Data. Nyt job

    Benjamin Terp

    Netip A/S

    Netip A/S har pr. 19. august 2025 ansat Dennis Kobberø Nagy som Datateknikerelev ved netIP's kontor i Herning. Han har tidligere beskæftiget sig med flere andre fagområder - bla. har han været forsikringsrådgiver og rekrutteringskonsulent. Nyt job

    Dennis Kobberø Nagy

    Netip A/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Søren Vindfelt Røn som Data & AI Consultant. Han skal især beskæftige sig med at effektivisere, planlægge og implementere innovative, digitale løsninger for Norriqs kunder. Han kommer fra en stilling som Co-founder & CMO hos DrinkSaver. Han er uddannet Masters of science på Københavns IT-Universitet. Nyt job

    Søren Vindfelt Røn

    Norriq Danmark A/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Hans Christian Thisen som AI Consultant. Han skal især beskæftige sig med at bidrage til udvikling og implementering af AI- og automatiseringsløsninger. Nyt job

    Hans Christian Thisen

    Norriq Danmark A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Hacker-alarm mod DSV pludselig forsvundet fra darkweb: "Hvis DSV har betalt, har de fået det værste fra to verdener"
    2 CGI kræver kæmpe dansk it-ordre til Deloitte annulleret på grund af fejl: Nu har dommerne kigget på sagen
    3 Test: Samsungs foldbare Galaxy Z Fold7 er en stor magtdemonstration
    4 IBM køber konsulenthus: Vil styrke sig på SAP-transformationer
    5 Morgen-briefing: Dansk topchef stopper i infrastruktur-selskab: Erstatningen er fundet / SAP-partner udvider i Norden og udnævner dansker til særlig rolle / Oracle lancerer en hel stribe AI-nyheder
    6 Apple har givet iPad Pro en overhaling: Byder på en række helt nye opdateringer
    7 Hjemmearbejde er altså ikke en rettighed: It-branchen skal gå forrest med den balancerede brug
    8 Her vil Aarhus Kommune begynde: Disse tre centrale initiativer skal sparke gang i stor frigørelse fra Microsoft

    Se seneste uge