Russerne kommer…
Litt spøkefullt, men den underliggende virkeligheten er høyst alvorlig. Krise betyr ofte hastverk. Hastverk betyr snarveier. Snarveier betyr hull. Og hull betyr uønskede gjester. Russere. Eller kinesere, amerikanere, briter, tyskere, konkurrenter, naboer.
Selvfølgeligheter alt sammen, inklusive bølgen som ruller over deler av verden denne høsten. Ransomware, lekkasjer, spionasje, sabotasje, extorsionware og mer. Og som avslører snarveiene vi har tatt (og glemt) siden pandemien startet for 18 måneder siden. Vårt favoritteksempel er RDP – Remote Desktop Protocol – og slektninger, inklusive VNC, typisk hjemmekontor-relaterte og øverst på listen når vi i fjor skulle fikse hjemmekontor i en fei.
Historiene er fortalt oppad stolpe og nedad vegg, og handler egentlig ikke om protokoller og mekanismer, men om regimer og ansvarlighet. For mens mange av oss – med drifts- og eller sikkerhets-ansvar – trekker på smilebåndet av historiene, er vi også skyldige. Også vi hadde hastverk, tok snarveier … med god grunn. Ingen vei utenom, det var krise. Men selv en krise rettferdiggjør ikke skjødesløshet. Og skjødesløshet er det når vi 3 uker eller 3 måneder senere ikke vet hva som ble gjort, hvordan, av hvem etc. Logging, notater, etc. er enda viktigere når hastigheten er stor og reglene kanskje bendes.
Vi kan ergre oss over historisk skjødesløshet, men det er langt nyttigere å ta den berømte tyren ved hornene. De aller fleste har små eller store svin på skogen, og de som mener å ikke ha det, bør sjekke likevel. For bølgen av RDP-angrep treffer ikke de som har orden i eget hus.
Bølgen er reell nok, som rapportert i ESET Threat Report T2 2021 nylig: 103% økning siden forrige rapport i juni. Veksten i perioden er riktignok fokusert på Spania, men neste periode er et annet område i fokus, som SANS-ekspert John Pescatore observerte i en kommentar nylig.
Kombinert med gigantiske datalekkasjer fra store Internett-aktører har trusselbildet endret utseende – igjen. Det er lett å tro at epost-adresser uten passord, som karakteriserer de fleste lekkasjene, er harmløse. Realiteten er langt mer nyansert. For det første er epost-adressene alene ofte halvveis til målet for et angrep, fordi adresser gjerne er brukernavn. For det andre består de fleste lekkasjene av mer enn epostadresse – navn, tilhørighet, alder, kanskje familie, tittel etc. – komponenter som altfor ofte leder til riktig passord.
Kontrollen kan være nye runder av pen-testing, oppdatering av VPN-regimer med MFA, MultiFactor Authentication, oppdaterte regimer for klient-kontroll og ikke minst: Fjerning/blokkering av verktøy og tjenester som ikke lenger brukes/støttes. Gamle synder blir fort som nye i det digitale kuleregnet vi daglig utsettes for.
For mange miljøer blir det viktigste spørsmålet om forsvarsstrategien holder. Hvis den er tre år eller eldre, er den kastbar. Da er gode råd kanskje dyre, men ikke langt unna – som vi diskuterte i SECaaS - agentene overtar for en stund siden. 'Russerne kommer' - ikke la dem komme som en overraskelse. Lykke til!
Legg igjen kommentar
Du må være innlogget for å kunne kommentere.