10 sikkerhetstiltak for å øke robusthet i ditt IT-miljø

Artikkel

Dagens IT-relaterte trusler er mange og til dels komplekse. Så hvordan bygger du opp en sterk cyberbeskyttelse for å skape robusthet i tilfelle et sikkerhetsbrudd? I denne artikkelen kan du lese om de 10 viktigste IT-sikkerhetstiltakene du bør iverksette for å gjøre organisasjonens IT-miljø mer robust.

De 10 viktigste IT-sikkerhetstiltakene for ditt IT-miljø

1. Oppdater alltid så snart som mulig

Installer alltid kritiske oppdateringer og sikkerhetsoppdateringer fra leverandører så snart de blir tilgjengelige. Dette gjelder operativsystemer, applikasjoner, appliances og all annen maskinvare og programvare.
Ved avvik fra dette prinsippet (når det er en spesifikk grunn til ikke å installere oppdateringer), må disse avvikene isoleres. I tillegg bør årsakene til avvikene dokumenteres og evalueres regelmessig. Det bør tilstrebes at det ikke forekommer avvik på dette området. I de tilfellene der det forekommer avvik - planlegg utfasing av det avvikende systemet.
Overvåk kontinuerlig at alle systemer mottar oppdateringer og at de er riktig installert. Sett opp overvåking for å oppdage avvik i systemmiljøet.

2. Begrens antall brukere med privilegert tilgang

Begrens antall kontoer med privilegert tilgang. Hovedregelen bør være at ingen skal ha tilgang til mer informasjon enn det som er nødvendig for å utføre arbeidsoppgavene sine.
I Windows-miljøer kan du begrense bruken av domeneadministratorrettigheter ved å bruke GPO-er til å blokkere og tillate tilgang til ressurser. Opprett deretter separate, personlige kontoer som administratoren kan bruke til sitt daglige arbeid.
Gi tilgang basert på minimumsrettigheter og konkrete behov. Ingen bør ha høyere tilgangsrettigheter enn det som er nødvendig for en bestemt oppgave. Dette gjelder ikke bare Active Directory, men alle katalogtjenester og tilgangsplattformer.

3. Innfør sentralisert logging
Samle loggene på et sentralt sted for lagring og analyse. Sentralisering av logger fra ulike systemer og applikasjoner gjør det enklere å overvåke hendelser og oppdage avvik og trusler. Sørg for å logge både system- og nettverkstrafikk. Det gir deg oversikt og mulighet til å etterforske potensielle lovbrudd. På denne måten kan du også bygge opp baselines for trafikkflyt som du kan bruke til å overvåke avvik og oppdage uregelmessigheter (f.eks. datafiltrering).
Gjør følgende:

  • Sentraliser sikkerhets- og revisjonslogger fra alle serverne. Begynn med domenekontrollere og nøkkelsystemer, og gå deretter videre til alle servere.
  • Sett opp overvåking og varsler for hendelser som f.eks. øking av rettigheter. Gjør dette for både sentrale kataloger og lokale grupper på serverne.
  • Sentraliser påloggingen på alle nettverksenheter. Begynn med brannmurer og andre sentrale nettverkskomponenter, og fortsett deretter med alle svitsjer, AP-er og andre enheter (inkludert skrivere) i miljøet.
  • Sentraliser sikkerhets- og revisjonslogging fra alle klienter.
    Kontroller deretter de viktigste loggene manuelt med jevne mellomrom. For eksempel må logger fra domenekontrollere kontrolleres for å verifisere endringer i privilegert tilgang.

4. Ikke bruk delte kontoer

Delte kontoer begrenser muligheten til å undersøke og feilsøke betydelig. Deling av passord og kontoer umuliggjør kontroll og etterlevelse. Derfor bør du aldri bruke delte kontoer til å kjøre tjenester, skript eller automatiserte oppgaver. Bruk i stedet unike kontoer for spesifikke oppgaver, tjenester eller skript, med tillatelser som samsvarer med den angitte oppgaven.
Delte kontoer finnes ofte som en "break the glass"-funksjon med fulle rettigheter i systemet. Hvis organisasjonen din har slike kontoer, bør de lagres og administreres på en sikker måte med tilstrekkelig logging av hver gang de er i bruk. Du bør kunne fastslå hvem som har lånt et bestemt passord/konto til enhver tid, og sørge for at passordene til disse kontoene endres etter hver gang.

5. Bruk unike og sikre passord

De fleste datainnbrudd i dag skjer ikke gjennom tradisjonell "hacking", men gjennom stjålet påloggingsinformasjon. Sikre passord er derfor avgjørende for en sterk cyberbeskyttelse. Sørg for at organisasjonen din har unike enhets- og kontopassord, at de ikke gjenbruker passord og man benytter en passordplanlegger. I Windows-miljøer kan Microsoft Local Administrator Password Solution (LAPS) brukes til å administrere passord for lokale administratorer. Bruk den i hele Windows-katalogen, på alle servere og klienter.

6. Segmentering

Segmenter så mye som er mulig og fornuftig - både nettverk og servere. Dette er en stor jobb, men den utgjør en stor forskjell for organisasjonens motstandsdyktighet ved angrep. Når du segmenterer får du mulighet til å logge trafikk mellom segmentene, og du reduserer risikoen for å eksponere informasjon eller systemer mer enn nødvendig.
Systemer som ikke har noe med hverandre å gjøre, bør være på separate nettverk. Hvis de kommuniserer, bør det være med eksplisitte (ikke generelle) regler. Systemer med ulik eksponering, for eksempel servere som er eksponert mot Internett, bør også plasseres på separate nettverk. På samme måte bør servere som brukes til å få tilgang til miljøer være separate og kun ha tilgang til målmiljøet. Unngå å designe store delte miljøer eller delte hoppservere. Konfigurer ett system om gangen og bruk det til det tiltenkte formålet.

7. Innfør multifaktorautentisering (MFA)

Bruk alltid multifaktorautentisering (MFA) for å gi tilgang. Dette legger til et ekstra lag med identitetsverifisering, noe som øker sikkerheten til organisasjonens brukerkontoer ytterligere. Sørg for at organisasjonen aldri stoler på nettverk eller "lokasjoner" som standard.

  • 8. Test sikkerhetskopiene dine

    De fleste vet hvor viktig det er å ta sikkerhetskopier av viktige data, men har du testet at sikkerhetskopiene virkelig fungerer?
    For å sikre at organisasjonen din har fungerende sikkerhetskopier, bør du gjøre følgende:
  • Kontroller kontinuerlig at systemer som skal sikkerhetskopieres faktisk blir sikkerhetskopiert (du bør daglig kontrollere at planlagte sikkerhetskopieringsjobber lykkes uten vesentlige feil).
  • Utfør gjenopprettingstester regelmessig. Utfør relevante eksempler på gjenopprettingstester for å sikre at du er i stand til å gjenopprette dataene (noen systemer kan kreve hyppigere gjenopprettingstester for å oppfylle samsvarskravene).
  • Implementer uforanderlig sikkerhetskopiering. Dette gir organisasjonen ekstra beskyttelse mot utilsiktet eller ondsinnet sletting av data.
  • Unngå sikkerhetskopieringsnettverk. Følg de samme reglene på "backup-siden" som på "tilgangssiden" og sørg for at logging er satt opp på samme måte som for resten av IT-miljøet.
    I noen tilfeller er det også nødvendig med en off-line backup for å bevare kopier som ikke er tilgjengelige i tilfelle et sikkerhetsbrudd. Dette kan gjøres ved hjelp av f.eks. en Air Gap-sikkerhetskopieringsløsning som er helt adskilt fra det vanlige sikkerhetskopieringsnettverket.

9. Herde systemene dine

Herd systemene dine ved å kun aktivere de funksjonene du faktisk bruker. Slå av alle ubrukte funksjoner og tjenester samt porter, lyttere osv.
De fleste produsenter har klare retningslinjer for hvordan man sikrer produktene sine i henhold til beste praksis. Hvis du vil ha mer informasjon, kan du gå til produsentens nettsted.
Generelle herdingsveiledninger finner du på Centre for Internet Security (CIS). Lenke: https://www.cisecurity.org/ . Der finner du veiledninger for herding av en rekke produkter.

10. Øk din kunnskap og deteksjon med de verktøyene du har i dag

Begynn med å bli kjent med de systemene du har i dag. Brannmurer har for eksempel ofte beskyttelsestiltak som ikke brukes. Slå på relevante funksjoner og overvåk dem kontinuerlig. Når det gjelder klientbeskyttelse, finnes det mange ulike varianter. Selv om den klientbeskyttelsen du har i dag ikke er den beste på markedet, bør du sørge for at den er installert og at den fungerer slik det er tenkt, på alle klienter. Det skal for eksempel ikke være mulig for brukerne å avinstallere eller stoppe beskyttelsen uten at du vet om det.
Oppgrader deretter når det er mulig. Hvis utstyret ditt ikke holder mål bør du bytte det ut med noe bedre. Hvis du for eksempel har et tradisjonelt antivirusprogram, bør du vurdere å oppgradere til en EDR- eller EPP-løsning.

 

Ønsker du å kartlegge din organisasjons sårbarheter og eksponering for potensielle cyberangrep?

Vi kan hjelpe deg med å identifisere risikoer og svakheter i det digitale miljøet - før angriperne finner dem. Les mer om vår sårbarhetsanalyse.

 

Koder: Cyber Security