Perimetern är inte längre det som definierar var vi stoppar attacker mot våra resurser. Idag hackas inte våra system: angriparen loggar in. Identitetshantering är till för att stoppa detta. Detta inlägg handlar om risker och hot relaterade till identiteter, användarnamn och lösenord, hur man loggar in till system och appar samt hur man minimerar dessa risker.
Hur gör hackers för att få tag på användarnamn och lösenord? De köper dem på den svarta marknaden, eller dark net, där hackers som specialiserat sig på att hitta identiteter med för många behörigheter och kanske lätt gissade lösenord säljer dessa. Det finns många miljoner konton med lösenord till salu, en del för några ören medan en del finns till salu för $500’000 eller mer. Det vill säga, de hackers som begär pengar från ransomware-attacker är ofta inte sammas hackers som har hackat sig in.
Hur hittar hackers de känsliga identiteterna eller kontona? De kan använda verktyg som organisationerna som utsätts själva inte använder för att hitta dem. Om angriparen exempelvis har hackat en server eller klient någonstans i organisationen kan PowerShell användas för att hitta de hack-bara identiteterna.
Det finns många typer av phishing-attacker men de går alla ut på att en hacker ska få tillgång till information som egentligen ska vara otillgänglig, vanligen användarnamn och lösenord. Min erfarenhet är att phishing fungerar och vi ser ofta exempel detta. Men samtidigt går det att stoppa dessa attacker, och då beror det på att vi har skydd mot dessa; principen för lägsta behörighet, spamskydd, awerness-utbildning, eller rätt multifaktorinloggning.
En brute force-attack går ut på att en hacker försöker logga in på ett konto med hjälp av stora mängder olika användarnamn och/eller lösenord. Här används verktyg för att kunna göra det snabbt.
En brute-force attack är en typ av attack där man använder stora mängder email-adresser eller andra kontonamn och provar att logga in med vanliga lösenord på samtliga. Vanliga lösenorden är t.ex. ”12345678”, ”password”, ”qwerty123”. D.v.s., har man något av dessa lösenord som skydd för sina känsliga filer kan man anse dem vara knäckta redan.
Anledningen till att hackers använder denna metod är att vi – ofta, inte alltid – har skydd mot för många felaktiga inloggningsförsök; efter tre försök är kontot låst. När de i stället provar några vanliga lösenord på 1000-tals konton kan de hitta något som fungerar utan att riskera att kontot låses.
När en hacker har fått tag i användarnamn och lösenord för en specifik app, kan denna metod användas för att hitta flera applikationer där användaren använder samma lösenord. Detta används för att kunna undvika begränsningen av antalet inloggningsförsök. Användarnamn och lösenord för en app kan lätt hittas eller köpas på darknet.
Det här bygger på att många användare använder samma lösenord på flera appar och siter, vilket är något vi inom säkerhetsbranschen försöker avråda från.
När hackern har fått tag i användarnamn och lösenord för några viktiga konton, kanske t.o.m. ett DA-konto (Domain Admin), så kanske man redan är inne i systemen. Men vi har ett hinder kvar – man har aktiverat MFA för kontot. Men det är inget större problem för hackern beroende på vilken typ som har använts. Det finns några olika tekniker för att gå förbi MFA.
Om det handlar om SMS-autentisering så kan en teknik som kallas SIM Swapping användas. Utrustad med all information man har fått om någons identitet via phishing och sociala media ringer hackern dennes mobiloperatör och ber dem föra över telefonnumren till sitt SIM-kort. Då får hackern i stället de SMS som du borde fått. Och därmed kan hackern använda identiteten precis som den är.
Kontot kanske är skyddat med en autentiseringsapp. Hackern kan då använda en teknik som kallas Adversary-in-The-Middle, AiTM. Detta är en relativt komplicerad metod, men inte mer komplicerad än att den är inbyggd i många hacking-verktyg.
Ännu en teknik eller metod kallas MFA Fatigue Attack som liknar AiTM-attacken, men bygger på att en användare som blir trött på att det plingar till i mobilen hela tiden tror att det är någon slags automatisk inloggning av t.ex. mejl eller någon molntjänst, och klickar till slut ja. Och då är hackern inne i systemet. Än så länge finns det ett bra försvar mot dessa MFA attacker: Fido2. Det är en standard som ger stark autentisering med skydd för phishing och som samtidigt är enkel för användaren. Men Fido2-kompatibla system måste kombineras med andra försvar också, t.ex. end-point-protection, utbildning, och hantering av tredjepartsrisker.
Det är ofta inte ens egna system eller säkerhetsexperter som hittar attacken eller spår av den. Det kan vara myndigheter, kunder, hackers, sociala media, dina egna anställda, eller säkerhetsforskare som kommer till dig och talar om att du blivit hackad.
Om det är hackers som meddelar dig om ett intrång så handlar det ofta om att tala om för dig att du är utsatt för en ransomware-attack. Många gånger har de då varit i dina system i upp till 18 månader innan, och ägnat den tiden att hitta data som de kan ladda ner och sälja på darknet. Att kryptera en del data och få pengar för det är en ytterligare inkomst. Naturligtvis finns det hackers som bara profiterar på ransomware-attacker och tjänar pengar på det.
Även anställda och andra medarbetare kan utföra attacker. De har en viss fördel då de redan är betrodda. Ibland handlar det om rena fel eller oskicklighet i att hantera applikationer som gör att en läcka sker, och ibland handlar det om personer som rekryterats av en extern organisation som använder sina rättigheter för att komma åt och föra ut data eller plantera vissa former av mjukvara.
Det går att skydda sig mot nästan alla attacker, i alla fall mot de metoder som vi känner till idag. Och det är fullt möjligt att minska riskerna nästan till noll, men det kräver ganska mycket jobb. Nedan är några åtgärder, processer eller produkt-typer som kan hjälpa till med att minska riskerna. Om man implementerar några av dem är det bättre än att göra inget. Möjligheten att göra inget minskar också i och med nya lagar och regleringar.
Den åtgärd som kanske är billigast och ger mest säkerhet per krona. Utbilda medarbetare att exempelvis inte klicka på konstiga länkar i email.
Inga identiteter ska ha fler behörigheter än de behöver. Detta enkelt att definiera men svårt att implementera.
Att implementera flera av de punkter som är beskrivna här är att implementera flera lager av skydd. Om ett lager inte klarar att stoppa en attack kanske nästa lager gör det. Tiden då det räckte med ett lager, en brandvägg, är sedan länge förbi.
Spamskydd skyddar dina användare från phising-attacker och andra email-relaterade attacker. Spamskydd är ofta inte 100%-iga. Awerness-utbildning är alltid nödvändigt för att undvika attacker även om phishing-försök ibland släpps igenom trots utbildning.
Detta är en gammal princip som gäller än idag. Applikationer ska alltid vara uppdaterade till den senaste versionen, och om en applikation är så gammal att det inte existerar några nya versioner ska den fasas ut så snart det är möjligt.
Fido2 är en relativt ny standard för autentisering. Den verkar just nu vara svårare att hacka, så använd den! Men kombinera med fler åtgärder i denna lista.
En process som hjälper till att hålla fast vid principen för minsta behörighet. Behöriga användare går igenom alla identiteters behörigheter med jämna mellanrum för att se vem som har för många behörigheter i organisationen. Den behörige är ofta en chef eller produktägare, som går igenom hens medarbetares behörigheter respektive applikationens användare, och frågar sig om det t.ex. är korrekt att en användare har behörighet till en viss applikation.
Föräldralösa konton är konton utan en ägare eller en ansvarig. Det är också en process som hjälper till att hålla fast vid principen för minsta behörighet. Detta består i sig av två distinkta processer: dels att se till att alla nyskapade konton har en chef eller ägare, dels att arbeta aktivt med att hitta chefer eller ägare för de konton som redan är föräldralösa.
End-Point Detection and Response. Detta kan minska risken för att hackers får tag på så kallad identity residue, som kan ligga kvar länge i en dator. Identity residue är t.e.x inloggningar som lagras på olika platser i nätverket.
Extended Detection and Response. En mer allomfattande variant av EDR.
Identity Threat Detection and Response. Detta är en applikations-typ som kan hitta och hantera identiteter och konton som beter sig på ett misstänkt vis. Ett ITDR-system jobbar brett och med mycket input, inte olikt SIEM fast endast fokuserat på Identitet. ITDR tittar på saker som avvikelsedetektering och impossible travel login-detektering, vilket handlar om att systemet kan se om någon loggar in på två platser långt emellan varandra, så att det kan antas att det är omöjligt att resa mellan platserna under tiden inloggningarna har skettt. ITDR är en relativt ny företeelse och funktionerna i olika produkter varierar.
Se till att din leverantör håller god säkerhet de också, annars, byt leverantör.
Pentester ska genomföras regelbundet. När ett red team inte längre klarar sin mission, då ser det bra ut.
I dagens värld är det svårt att hindra angripare från att stjäla data, ändra data eller stoppa oss från att använda våra system eller data. Men det är inte tröstlöst. Det finns många metoder och produkter som hjälper oss att hindra angrepp. De grundläggande metoderna är i princip gratis, men om målet är t.ex. DORA-efterlevnad får man investera en del. Och kom ihåg – hur mycket ett säkerhetssystemen än kostar så är det ofta en bråkdel av vad en hackerattack kostar.