Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
I månederne efter den russiske invasion af Ukraine observerede cyberefterretningsenheden under Microsoft, MSTIC, en stigning i antallet af cyberangreb mod lande, der har allieret sig med Ukraine efter den russiske invasion.
Den efterfølgende rapport over de første fire måneder af invasionen viste, at næsten 16 procent af de russiske cyberangreb mod statslige myndigheder udenfor Ukraine ramte de skandinaviske lande.
Hvert sjette angreb var altså rettet mod den kritiske infrastruktur i Skandinavien.
Mens cyberangreb generelt kan forårsage store skader, så kan angreb på den offentlige infrastruktur, f.eks. transportsystemer og offentlige forsyningsvirksomheder, forårsage omfattende forstyrrelser i det daglige liv eller endda true den offentlige sikkerhed.
Stigningen i antallet af angreb på den offentlige infrastruktur er et tegn på, at målet for et angreb har flyttet sig fra at tjene penge til at ødelægge, afbryde tjenester og skabe panik.
Et uhyggeligt eksempel var angrebet på et vandbehandlingsanlæg i den lille amerikanske by Oldsmar i Florida i april 2021, hvor hackerne manipulerede systemet for at øge mængderne af natriumhydroxid i vandforsyningen.
Natriumhydroxid kan forårsage svære ætsninger af huden og øjenskader. Heldigvis blev angrebet opdaget og afværget, inden stoffet nåede et sundhedsfarligt niveau, men angrebet viser med al tydelighed, at hackerne ikke viger tilbage fra at gøre fysisk skade.
På de mere hjemlige fronter så vi, hvordan det danske energiselskab Ista, som leverer til bolig- og erhvervsejendomme, blev ramt af et cyberangreb og var lagt ned i tre uger. Og de fleste er bekendte med Colonial Pipeline, der i maj 2021 måtte lukke 8.850 kilometer gasrør for at modstå et hackerangreb.
Organisationer, der står for landets kritiske infrastruktur, kan styrke deres forsvar mod hackerangreb ved at forstå hvordan hackerne i første ombæring overhovedet kommer ind.
I både Colonial Pipeline- og Oldsmar-angrebene rettede hackerne deres opmærksomhed mod Active Directory (AD), som er den centrale autentifikationstjeneste, der anvendes af 90 procent af alle virksomheder verden over. AD er det system, der autentificerer og giver adgang til alle andre systemer.
Løsning af udfordringer med identitetssystemer i offentlige infrastrukturorganisationer
Colonial Pipeline-angrebet blev udført af DarkSide-gruppen, der er en af de mange ransomware-as-a-service (RaaS)-organisationer, som udfører angreb på vegne af deres kunder.
Disse grupper går systematisk efter organisations AD-sikkerhedshuller, så de kan få adgang til infrastrukturen.
- De bruger penetrationsværktøjer til at få adgang til systemet og herefter begynder rekognosceringsarbejdet, hvor de kan bruge dage, uger eller måneder på at finde sårbarheder og få adgang til privilegerede brugerkonti.
- Når de har fået kontrol over de aktiver, de er ude efter, fuldfører de deres mission - uanset om det er at forgifte en offentlig vandforsyning eller kryptere følsomme data til gengæld for betaling.
De udviser en imponerende tålmodighed og lurer gerne længe i systemerne for at finde de mest værdifulde aktiver. Nogle gange i månedsvis, som i SolarWinds-angrebet.
Beskyt organisationen før, under og efter angrebet
Systematisk identifikation og håndtering af Active Directory-sårbarheder er et vigtigt skridt i at beskytte sig mod cyberangreb.
Først og fremmest skal man lukke sine sårbarheder. Især store, etablerede organisationer med gamle Active Directory-systemer har ofte risikable indstillinger, der er akkumuleret over tid.
Dét fører til sikkerhedshuller, der er nemme at udnytte. Her er et par eksempler:
- Nogle af de mest almindelige og mest risikable konfigurationsfejl i Active Directory er relateret til autentificeringsprocessen.
Lad os sige, at en organisation bruger et program, der ikke integreres direkte med AD, men i stedet forespørger AD efter aktive brugere. Den nemmeste måde at lette denne proces på, er, at aktivere anonym adgang til Active Directory.
Men hvis denne indstilling aktiveres og dernæst ikke kontrolleres, så vil organisationens risikoprofil stige betydeligt. Dette er blot ét eksempel på slappe adgangskodepolitikker, der kan åbne døren for hackere.
- Brug af for vidtgående tilladelser er en anden praksis, som i første omgang sparer tid eller imødekommer et opfattet behov for hurtig adgang til forretningskritiske applikationer og -tjenester, men som efterlader farlige sikkerhedshuller.
I alt for mange tilfælde fortsætter den privilegerede adgang ufortrødent og antallet bare vokser. Det er f.eks. ikke ualmindeligt, at AD-miljøer har unødvendigt mange domæneadministratorer.
Tjenestekonti med overdrevne tilladelser udgør også en høj risiko, fordi deres adgangskoder normalt er indstillet til ikke at udløbe, og mange har svage adgangskoder.
Regelmæssig scanning af AD giver indsigt i sikkerhedstilstanden og reducerer risikoen for, at uautoriserede ændringer eller fejlkonfigurationer går uopdagede hen. Et værktøj, der kan hjælpe med dette, er Purple Knight, der er et gratis AD-sikkerhedsvurderingsværktøj, der scanner AD-miljøet for indikatorer for kompromittering eller eksponering.
Et andet gratis værktøj er Forest Druid, der fokuserer direkte på de angrebsveje, der fører ind i virksomhedernes mest følsomme områder: de administrative konti og grupper, domænecontrollere og domæner, der har direkte eller indirekte administrativ kontrol over AD-miljøet.
Ud over at lukke AD-sikkerhedshullerne kan offentlige infrastrukturorganisationer implementere løsninger, der løbende overvåger miljøet for ondsindede ændringer.
Evnen til at opdage angribere, der bevæger sig på tværs af netværket, kan begrænse skaderne betydeligt. Angrebsveje kan lukkes, før hackerne er i stand til f.eks. at udbrede malware.
Cyberangreb kan inficere globalt forbundne systemer på få minutter, så evnen til automatisk at stoppe ondsindede ændringer hjælper med at begrænse skaderne.
For så hurtigt som muligt at kunne få den offentlige tjeneste op at køre igen, skal man hurtigt kunne genoprette Active Directory til en kendt og sikker tilstand.
Som enhver it-administrator kan bekræfte, er genopbygning af en AD-skov en besværlig og tidskrævende proces, hvor mange fejl kan ske.
At genopbygge en AD-skov, mens man er under pres fra et igangværende angreb, er en mareridtsagtig affære. Enhver organisation skal have en fuldt testet og dokumenteret plan for genoprettelse af AD - det system, der autentificerer og giver adgang til alle andre systemer - i tilfælde af et cyberangreb.
Sikring af offentlige tjenester mod cyberangreb
Selv om organisationer med offentlig infrastruktur er i angribernes kikkertsigte, kan de forbedre deres forsvar mod selv de mest sofistikerede angreb.
Ved at evaluere sikkerhedstilstanden i deres Active Directory-miljø, opsætte overvågning for at opdage ondsindede ændringer og implementere en fuldt testet AD-genopretningsplan vil disse organisationer være bedre rustet til at bekæmpe angreb og fortsætte med at levere vigtige offentlige tjenester.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
