Artikel top billede

(Foto: Dan Jensen)

Sådan holder du dem væk: Disse fem ting synes hackerne er de største barrierer

Hackerne er blevet rigtigt dygtige. Men især fem ting kan genere dem, hvis de forsøger at trænge ind i dine systemer, viser rundspørge blandt 250 hackere.

Hacker-miljøerne er i de senere år blevet stærkt professionaliserede i takt med, at området har udviklet nye forretningsmodeller, der har gjort, at det er muligt at tjene penge på at hacke organisationer og virksomheder.

Læs også: Her er de 10 bedste sikkerhedsteknologier til at bremse hackerangreb

Der findes imidlertid fem sikkerheds-funktioner, som enhver it-chef bør lægge vægt på, hvis han vil holde hackerne ude.

Sådan lyder det fra det amerikanske sikkerheds-selskab Thycotic, der på den netop afholde Black Hat-konference spurgte 250 deltagere - både black hat og white hat - om de fem barrierer, der gør det sværest at være hacker.

Du kan læse mere fra Black Hat her: Hacker-konference afslørede store sikkerhedsfejl: IoT er meget usikker - og logfiler bliver syltet

1: Begrænset administrator-adgang til systemer

Øverst på hackernes liste over ting, der kan holde dem fra døren, er begrænset administrator-adgang til virksomhedens systemer.

Med andre ord: Skal du sikre organisationens systemer, bør du begynde med at kigge på omfanget og antallet af konto-privilegier.

Bedst for hackerne er det, hvis de kan få adgang til hele systemet, alle filer og alt ved at skaffe sig adgang til en enkelt konto og sprede sig ud derfra.

De privilegerede accounts er således altid de primære mål for en hacker.

Læs også: It-sikkerhed er en guldrandet forretning: Så mange penge skovler sikkerhedsbranchen ind

Thycotic anbefaler derfor, at man anvender en 'least privilege'-strategi, hvor adgangs-privilegier alene tildeles i forhold til de enkelte opgaver.

Og så bør it-administratorer kun anvende deres privilegerede konti, når det er absolut nødvendigt. Ellers bør de anvende standard-konti, lyder anbefalingen.

2: Beskyt passwords til privilegerede konti

Ifølge Thycotic er det nemt at falde i en fælde, hvor man betragter privilegerede konti ud fra de personer, der 'ejer' dem.

Men privilegerede rettigheder gælder også maskiner og systemer, der interagerer - også selv om ejeren ikke nødvendigvis arbejder aktivt.

Faktisk har en organisation typisk to-tre gange flere privilegerede konti end medarbejdere.

Hvert system, der deployes, er her udstyret med en default-konto, og systemerne forbindes med en service-konto med henblik på vedligeholdelse.

Læs også: PornDroid låste 10.000 telefoner - masser af ny, avanceret mobil ransomware på vej

"Ved at hijacke privilegerede konto får hackeren mulighed for at tilgå og downloade eller forgifte en organisations mest følsomme data, distribuere malware og forbigå sikkerheds-foranstaltninger," lyder det fra sikkerhedsselskabet.

Derfor er det afgørende, at man proaktivt overvåger og håndterer adgangs-forhold til de privilegerede konti: Hvem kommer ind? Og hvordan? Hvornår?

Man bør desuden opsætte automatiske systemer til overvågning, password-idskiftning, analyse og håndtering af rettigheder, så man hurtigt kan opdage uregelmæssigheder og lignende.

3: Bedre og mere uddannelse

Vi hører igen og igen de it-ansvarlige sige, at det svageste it-sikkerhedsmæssige led i enhver organisation er medarbejderne.

Vi bombarderes dagligt med mails, informationer og henvendelser fra websites, intranet, mail og andre kanaler, og i mængderne er det nemt at lade paraderne falde og klikke på ting, som ingen burde klikke på.

En meget stor del af hackernes forsøg på at trænge ind i organisationernes systemer ville forblive ufrugtbare, hvis blot den enkelte medarbejdere tænkte sig lidt om.

Langt de fleste hackerforsøg - eksempelvis phishing og social engineering - via mail. mobiltelefoner eller lignende kan nemlig nemt afsløres, hvis blot modtageren er opmærksom.

Derfor bør organisationerne fokusere på øget uddannelse og oplysning til medarbejderne.

4: Bloker for ukendte applikationer

Det er i sagens natur svært at beskytte noget, som du ikke ved findes, og det gælder også dine applikationer.

Derfor er det helt afgørende, at du har nøje styr på hvilke applikationer, der er autoriserede til at køre på dit netværk - samt selvfølgelig sørge for, at de alle anvender solide passwords.

Alle applikations-konti bør bogføres og klassificeres.

"Centraliseret kontrol og afrapportering på disse konto er essentielt, når det handler om at beskytte kritisk information," hedder det.

5: Beskyt bruger-passwords

På femtepladsen over ting, der ifølge hackerne kan forhindre hackere i at komme ind i virksomheden, finder vi god password-policy.

Den omfatter blandt andet hyppig udskiftning af passwords, nem og sikker mulighed for at resette passwords (for ellers gider medarbejderne ikke),

Hele 77 procent af de adspurgt hackere oplyser dog i rundspørgen, at de ikke mener, at et password - uanset beskaffenhed og form - kan holde en dygtig hacker ude, hvis han har besluttet sig for, at han vil ind.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TIETOEVRY DENMARK A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Bliv klar til NIS2 - indhold, krav og konsekvenser

På dagen vil du både få et koncentreret, fokuseret overblik over de juridiske aspekter og de krav, du vil skulle leve op til. Du går også hjem med praktisk viden fra eksperter, der arbejder med NIS2-compliance på både det tekniske og organisatoriske niveau.

28. februar 2024 | Læs mere


Hybrid, on-premise eller public cloud. Bliv klogere på fremtidens datacenter

Vi dykker ned i, hvordan du finder den perfekte pasform for netop din virksomhed. Vi ser på, hvordan du kan imødekomme jeres behov for fleksibilitet og hurtig udvikling, samtidig med at håndtere udfordringerne ved cloud-tjenester.

29. februar 2024 | Læs mere


Faldgruber og forberedelser når du skal implementere Dynamics 365 FO

På dette webinar stiller vir skarpt på overvejelser, forberedelser, forretning og faldgruber, så din virksomhed får det bedste udgangspunkt for jeres Dynamics 365-implementering. Du bliver også klogere på at håndtere master data, som er et af de absolut vigtigste områder i ethvert ERP-projekt, og på hvorfor Dynamics 365 FO er en del af et samlet cloud-transformationsprojekt.

29. februar 2024 | Læs mere