Trin for trin: Sådan misbruger andre din adgang til kritiske data

De it-kriminelle nyder godt af, at medarbejderne i mange virksomheder har adgang til et bredt udvalg af forretningskritiske og følsomme data. Her er et eksempel på en angrebs-metode.

71 procent af respondenterne i en ny undersøgelse fra Ponemon Institute siger, at de har adgang til for mange fortrolige virksomhedsdata på deres arbejdsplads.

Samtidig viser en global undersøgelse fra Ernst & Young, at topledere fra 1.800 organisationer mener, at den mest sandsynlige enkeltstående kilde til et angreb er en medarbejder i virksomheden.

Men mens det er et klart problem, at man ikke har styr på, hvilke medarbejdere, der skal have adgang til hvilke data i virksomheden, så er den egentlige trusset ikke medarbejderne i sig selv, mener Jens Christian Høy Monrad, der er it-sikkerhedsekspert hos FireEye.

Han mener generelt, at problemet med ringe kontrol og styring af medarbejdernes data-adgang skal ses i en større kontekst, hvor det største problem er, at de kriminelle også udnytter medarbejdernes data-adgang.

"Jeg kender ikke til så mange sager, hvor det er dokumenteret, at det er en medarbejder, som har haft onde hensigter - men jeg kender til et overvældende antal sager, hvor man har misbrugt en medarbejders initialer til sin videre færden i netværket."

"Man kan sige meget om dem, der angriber, men et fællestræk for dem er, at de gider ikke opfinde den den dybe tallerken flere gange. Så hvis man kan kompromittere en medarbejder, som har den rette beføjelse inde i virksomheden, kan man også bruge de initialer til at bevæge sig videre rundt," siger Jens Christian Høy Monrad til Computerworld.

Trin for trin: Sådan arbejder de it-kriminelle
Jens Christian Høy Monrad beskriver, hvordan de kriminelle typisk forsøger at komme ind i virksomhedens systemer via en medarbejders data-adgang:

"Et scenarie kunne være, at jeg går ind på LinkedIN, hvor jeg kan søge efter folk og dermed få den rigtige profil på, hvem jeg gerne vil angribe. Så kan jeg skrive en meget målrettet mail, som jeg kan håbe på, at den person vil klikke på - og så kan jeg have en forfalsket side, der til forveksling ligner det, virksomheden benytter.

"Det kunne for eksempel være en Outlook webmail, en adgang til VPN eller til noget andet, hvor medarbejderen skal skrive sine initialer."

"Når jeg så har de initialer, kan jeg bruge dem sammen med forskellige angrebsmetoder. Jeg kan bruge noget malware til at kompromittere virksomheden - og så har jeg allerede de pågældende initialer fra medarbejderen, som jeg så kan bruge til at bevæge mig rundt med efterfølgende. Det ser vi i høj grad blive brugt."

Jens Christian Høy Monrad forklarer, at de it-kriminelle godt er klar over, at risikoen for at blive opdaget er mindre ved denne type angreb:

"Noget virus eller andet, der ikke skal være i netværket, vil man på sigt opdage - det er bare et spørgsmål, om man opdager det hurtigt nok. I de mere avancerede angreb ser vi derfor, at malware simpelthen bliver droppet, fordi der så ikke er nogen alarmklokker, der ringer."

Jens Christian Høy Monrad siger, at denne type angreb også finder sted i Danmark.

"Det er over hele kloden - og også i Norden og i danske organisationer."

Derfor har it-organisationen det svært
Sikkerhedseksperten fra FireEye forklarer, at denne form for angreb giver betydelige udforinger for it-organisationerne i viorksomhederne, fordi de ikke har spor i form af skadelig kode, de kan gå efter, men i stedet skal i gang med at sammenkøre logfiler, login informationer og så videre for at kunne afgøre, hvad der legitime medarbejdere, og hvad der er it-kriminelle, som misbruger medarbejderens adgang.

"For it-organisationen er det meget svært at finde ud af, om den person, der nu er logget ind i netværket remote fra, er en, der arbejder hjemmefra, og om det er en legitim person eller ej."

Hvad skal man gøre ved det som virksomhed?

"Modsvaret er i hvert fald at have en nødvendig og fornuftig tilgang til adgangskontrol. Medarbejdere skal generelt ikke have adgang til alt. Man må evaluere på, om den pågældende medarbejder har en berettigelse til at skulle have adgang til de givne ressourcer eller systemer."

"Og så selvfølge også nogle af de andre værktøjer som at indføre to-faktor-validering, og at medarbejderen skal give sig selv til kende med noget andet end bare et brugernavn."

"Jeg er også stor fortaler for, at man segmenterer sit netværk i højere grad, end man måske har gjort tidligere."

Nødvendig dialog i virksomheden
Jens Christian Høy Monrad fortæller, at man i en del danske virksomheder er begyndt arbejdet med at afgrænse medarbejdernes data-adgang, men han tilføjer samtidig:

"Men det er også svært, fordi mange medarbejdere et eller andet sted føler, at noget, som de har haft før, bliver taget fra dem."

"Men det er en nødvendig dialog, der selvfølgelig skal starte højt oppe i ledelsen og derefter dryppe ned i organisationen, for det er en realitet i dag, at virksomheder får stjålet sensitiv information, personfølsomme oplysninger og andre ting."


Premium
Test: Apple lider vist af idétørke - men slipper alligevel rimelig godt afsted med det nye Watch Series 6
Computerworld tester: Der er ikke meget nyt at spore i Apples nye Watch, alligevel er det svært at anbefale andet en et Apple Watch.
Computerworld
Statens Serum Institut har slettet alle sendte mails ved en fejl: "Det er dybt beklageligt"
Alle sendte mails fra Statens Seruminstitut og Sundhedsdatastyrelsen er blevet slettet, hvis de er sendt før 22. juli, oplyser de to myndigheder.
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Job & Karriere
Regner din ferie væk? Brug tiden på at søge en af disse otte stillinger, der er ledige netop nu
Det sjasker ned over hele Danmark. Du kan bruge de våde sommerdage på at søge et af disse otte job, der er ledige lige nu.
White paper
Beskyt virksomhedens data og digitale værdier i døgndrift – målrettet, hurtigt og effektivt
Et konstant skiftende trusselsbillede og ændrede behov for eksempelvis flere hjemmearbejdspladser udfordrer virksomheden drift, indtjening og – i værste fald – eksistens. Men her er ofte allerede ganske mange sikkerhedssystemer i drift, og derfor er løsningen sjældent endnu flere tiltag og lag. De vil ofte blot bidrage til forvirringen, øge antallet af alarmer og måske endda ende med at gøre virksomhedens mere sårbar. I stedet kan det give mening at vælge en ekstern leverandør, der kan overvåge og sikre de digitale aktiver fokuseret, effektivt og i døgndrift. Helt uden behov for at sætte kostbare og ressourcekrævende projekter i søen – og uden at skulle tilkøbe dyre konsulentydelser og specialressourcer. Det kan du læse meget mere om i denne hvidbog.