Det er ikke nok at rulle en teknologisk sikkerhedsløsning ned over virksomheden.
Det handler i lige så høj grad om at kigge på de indre linjer og at uddanne sine brugere ordentligt.
To emner, som ifølge tre sikkerheds-eksperter, alt for ofte overses.
De værste trusler i netværket er naturligvis dem, man ikke ved findes og ikke er bekendt med, men man kan gøre rigtig meget for at komme problemerne i forkøbet, og håndtering af opdateringer er stadig det væsentligste hængeparti i de danske netværk.
"Opdateringsrutiner skal forankres i it-politikken, og der skal være ansvarlige nøglepersoner på de enkelte områder. Det er fundamentet i netværkssikkerheden," siger Peter Kruse fra sikkerhedsfirmaet CSIS.
Han bakkes op af de øvrige sikkerhedsfolk, som Computerworld har talt med.
De fremhæver alle vigtigheden af, at man har en plan for, hvordan man patcher både Microsoft-produkter og de tredjepartsprogrammer, der indgår i applikationspakken. Manglende opdatering bærer nemlig stadig hovedansvaret for, at problemer breder sig i netværket.
Udpeg en patch-ansvarlig
Shehzad Ahmad, som er leder af DK Cert, giver et konkret eksempel på dårlige patch-rutiner i form af en virksomhed, der anvendte Microsoft Explorer 6 på klienterne og samtidig beskriver sikkerhedsproblemerne i browser-versionen på intranettet.
"Man kan med fordel bruge et administrationsværktøj eller udpege en patch-ansvarlig, og samtidig udarbejde en stringent it-politik, der også beskriver de tredjepartsapplikationer, man må bruge for at opretholde gode opdateringsrutiner," lyder rådet fra ham.
Når man nu er i gang med at udforme en patch-politik, kan man i samme åndedrag hive eksterne enheder, som bærbare computere og USB-enheder, med ind i overvejelserne, vurderer Peter Kruse.
"I det øjeblik man kan skrive til et medie, er orme, som eksempelvis Confickr, i stand til at sprede sig i netværket, så snart USB-nøglen sættes i arbejdsmaskinen. Derved transporterer brugerne ubevidst dårligdomme ind bag netværkets sikkerhedsmur," siger han.
"Derfor bør man foretage en kritisk vurdering af behovene for at benytte de eksterne enheder. Sikkerheden kan eksempelvis bestå i en skanning af nøglen og maskiner, før der gives adgang til netværket," siger Peter Kruse.
Social sikkerhed sejler
Et af de sikkerhedsproblemer, der er vokset eksplosivt i de sidste par år, kommer via de sociale medier, som danskerne i stor stil har kastet deres kærlighed på.
"Når brugerne tilgår de sociale netværk eller rammer drive by-sider, hvor brugeren, bare ved at besøge en side eller bruge et program, gøres sårbar over for virus og malware, som kan overtage styringen af computeren, blinker sikkerhedslamperne rødt," siger Peter Kruse.
Drive by-sider er en enkel angrebsteknik, og er derfor blevet de it-kriminelles foretrukne våben til at inddrive pc'er i deres zombie botnet.
"Mange tror, at antivirusprogrammerne klarer det problem eller at man kan regulere på brugerrettighederne for at kontrollere truslerne, men det er en misforståelse. Nogle af de ondsindede komponenter, som installeres fra sådanne websider, installeres med administrative rettigheder, der overskriver brugerens rettigheder," forklarer Peter Kruse.
Det er et kunststykke at beskytte sit netværk mod disse trusler, men filtrering, politikker på firewall-niveau og uddannelse af brugerne er hjørnestenene.
"Web-filtrering er en god start, men svagheden er, at filtrene ikke kan håndtere alle porte i netværket. De it-kriminelle benytter sjældent de gængse porte, men skubber deres informationer ud via en vilkårlig port," fortæller Peter Kruse.
"En af udfordringerne er eksempelvis port 443, der anvendes til krypteret SSL-trafik. Hvis den uhæderlige trafik ligeledes er krypteret, kan det være svært at adskille den fra den lovlige trafik," siger han.
Man kan også gå skridtet videre og blokere trafikken på DNS-niveau, eksempelvis via tjenesten GratisDNS, der som navnet antyder, er gratis.
Bag sikkerhedsmuren
Det er dog ikke kun muren rundt om netværket, som skal tiltrække opmærksomhed i it-afdelingen. Det handler også om nærmiljøet.
"Generelt er danske virksomheder gode til at bygge en mur op omkring netværket, der skal holde udefrakommende trusler i skak, men vi ser ofte, at det interne netværk ikke er opdelt på en hensigtsmæssig måde," fortæller Thomas Wong, der er sikkerhedskonsulent i FortConsult.
Uddannelse af brugerne ikke god nok
Den manglende opmærksomhed på indersiden af netværket betyder, at man bliver meget sårbar, hvis bare en enkelt maskine bliver kompromitteret. Ofte er patch-niveauet højere på eksterne maskiner end på interne, hvilket giver endnu bedre grobund for angreb bag murene.
"Man kan med fordel opdele det interne netværk i mindre enheder, eksempelvis med firewalls og zoner, for derved at besværliggøre spredningen. På den måde kan man langt nemmere isolere problemerne og holde overblikket over situationen," fortæller Thomas Wong.
Ved at separere klienterne og holde et højt internt patch-niveau, slår man faktisk to fluer med et smæk. Det beskytter nemlig både mod ondsindet kode fra medarbejdere, der af den ene eller anden grund ønsker at skade virksomheden, og eksterne angreb, som opstår ved uheld eller uvidenhed.
Man står således både bedre rustet mod de trusler, der trænger sig på ude fra og de, der kommer inde fra.
Shehzad Ahmad fra DK-CERT peger på, at det er vigtigt at patche brugernes viden om it-sikkerhed for at komme de menneskelige fejl til livs.
"It-cheferne kender godt truslerne, mens medarbejderne ikke altid er opdaterede omkring problemstillingerne. Jeg ser ofte, at koblingen mellem de to parter mangler. Der er ikke den nødvendige kommunikation til brugerne om, hvad de skal være opmærksomme på for at opretholde sikkerheden," fortæller Shehzad Ahmad.
"Det er vigtigt, at man holder fokus på sårbarheder og opdateringer, men det er mindst lige så vigtigt at sikre, at brugerne ved, hvordan man begår sig på nettet," siger han.
"Uddannelsen af brugerne er langt fra god nok i virksomhederne," påpeger Shehzad Ahmad.
Læs mere:
Den uge Frederiksberg mistede sit netværk
Frederiksberg Kommune oplevede de ubehagelige konsekvenser af et virusangreb.
