Adgangskontrol (Forsvarsmekanismer og værktøjer)
Autentifikation (Forsvarsmekanismer og værktøjer)
Autentifikation udføres, når en bruger skal fremlægge bevis for sin (digitale) identitet over for et system eller en tjeneste. Det mest almindelige autentifikationsmiddel er adgangskoder. På trods af deres udbredte anvendelse er de typisk forbundet med udfordringer inden for både sikkerhed og brugervenlighed. For eksempel kan brugere blive overvældet af for strenge adgangskodepolitikker og derfor genbruge den samme adgangskode på tværs af flere konti. Password managers kan hjælpe med at afbøde disse problemer. Passkeys tilbyder en erstatning, som kan fungere bedre både med hensyn til sikkerhed og brugervenlighed.
Nogle praksisser vedrørende adgangskoder blev tidligere anset for at være fordelagtige for sikkerheden, men er nu forældede, og deres anvendelse frarådes generelt. For det første har regelmæssig udløb af adgangskoder vist sig at føre til generelt svagere adgangskoder og adgangskoder, som nemt kan gættes ud fra de tidligere. For det andet bør moderne politikker for adgangskodesammensætning kun håndhæve krav om længde frem for andre kompleksitetskrav.
Backup og gendannelse (Forsvarsmekanismer og værktøjer)
En backup er en sikkert opbevaret kopi af vigtige virksomhedsdata, som opbevares adskilt fra dine primære systemer, så de kan gendannes, hvis noget går galt. Ransomware, hardwarefejl, utilsigtet sletning og naturkatastrofer kan alle resultere i permanent datatab uden en pålidelig backup, hvilket kan få alvorlige konsekvenser for forretningskontinuiteten. Den anbefalede tilgang er automatiserede backups efter 3-2-1-reglen: opbevar tre kopier af dine data på to forskellige typer lagringsmedier, hvoraf én opbevares eksternt eller i skyen. Det er afgørende, at backups kun er nyttige, hvis de testes regelmæssigt. Mange virksomheder opdager først, at deres backup ikke fungerede, når de har mest brug for den, hvilket potentielt kan føre til en virksomhedstruende katastrofe. En fungerende backup er din mest pålidelige mulighed for gendannelse efter et cyberangreb.
Plan for forretningskontinuitet (Forsvarsmekanismer og værktøjer)
En hændelsesresponsplan kan suppleres med en plan for forretningskontinuitet. Denne plans fokus er, hvordan virksomheden kan fortsætte med at fungere, selv når nogle tjenester er utilgængelige efter en forstyrrende hændelse såsom et cyberangreb, strømsvigt eller en naturkatastrofe. Den fokuserer på, hvordan kritiske tjenester kan fortsætte i nødsituationer, f.eks. intern kommunikation eller kommunikation mellem afdelinger, når e-mail eller telefoni er ude af drift.
Business Email Compromise (BEC) (Trusler og angreb)
Business Email Compromise er et sofistikeret spear-phishing-angreb, hvor angribere udgiver sig for at være en betroet person, såsom en administrerende direktør, en leverandør eller en kollega, via e-mail for at narre medarbejdere til at foretage bankoverførsler eller dele følsomme oplysninger. I modsætning til generisk phishing er BEC-angreb omhyggeligt undersøgt og personligt tilpasset ved hjælp af rigtige navne, stillingsbetegnelser og forretningsmæssig kontekst for at fremstå overbevisende. De indeholder ofte ingen mistænkelige links eller vedhæftede filer, hvilket gør dem sværere at opdage automatisk. Små og mellemstore virksomheder er ofte mål for disse angreb, fordi de kan have færre formelle godkendelsesprocesser for finansielle transaktioner.
Databrud (Trusler og angreb)
Databrud opstår, når en angriber får adgang til en organisations systemer og stjæler data, dvs. kompromitterer data. Dette kan ske som led i cyberspionage eller almindelig cyberkriminel aktivitet. Hvordan dataene håndteres af angriberne afhænger af det mål, de ønsker at opnå. I traditionelle ransomware-angreb bliver dataene blot krypteret og dermed gjort ubrugelige, medmindre der betales løsesum (selvom bedste praksis er ikke at betale). På det seneste kompromitterer ransomware også data for ikke blot at afpresse løsesummen, men også for at tvinge organisationer til at betale for at forhindre, at dataene offentliggøres, f.eks. ved at blive lagt ud på internettet. Tilsvarende kan cyber-sabotage have til formål at skade virksomheder ved blot at offentliggøre fortrolige oplysninger på internettet. I tilfælde af cyberspionage bliver dataene typisk ikke offentliggjort, men i stedet stjæles værdifuld intellektuel ejendom eller interne procesdata for at give konkurrenter en konkurrencefordel.
Denial of Service (DoS) og
Distributed Denial of Service (DDoS)-angreb (Trusler og angreb)
Denial of Service (DoS)-angreb har til formål at overbelaste et system, netværk eller en tjeneste med et stort antal forespørgsler (f.eks. netværkstrafik), så det bliver utilgængeligt for legitime brugere. Distributed Denial of Service (DDoS)-angreb samler disse forespørgsler fra flere kilder. De kan for eksempel bruge botnets (store netværk af kaprede computere) til at generere den enorme mængde forespørgsler, der er nødvendig. For virksomheder, der er afhængige af deres hjemmeside til salg, booking eller kundekommunikation, kan selv en kort nedetid forårsage betydelig økonomisk skade. Selvom store virksomheder oftere er mål for denne type angreb, er små og mellemstore virksomheder ikke immune, især ikke dem med offentligt tilgængelige tjenester.
Hændelsesresponsplan (Forsvarsmekanismer og værktøjer)
En hændelsesresponsplan er et dokumenteret sæt procedurer, der præcist definerer, hvad en virksomhed skal gøre, når et cyberangreb eller en sikkerhedshændelse opstår. Dens fokus er hændelsen, og hvordan den afhjælpes. Den definerer typisk roller, kommunikationsprocedurer, juridiske og regulatoriske forpligtelser samt, hvordan man lærer af hændelser. Den specificerer, hvem der er ansvarlig for hvilke handlinger, hvordan skaden skal begrænses, hvilke myndigheder og kunder der skal informeres (og hvordan de skal informeres), samt hvordan normal drift genoprettes. Uden en plan reagerer virksomheder typisk langsomt og inkonsekvent under en krise, hvilket forværrer konsekvenserne betydeligt. Selv en enkel og velindøvet plan kan være forskellen mellem en begrænset hændelse og en virksomhedstruende katastrofe. Enhver SMV bør som minimum have en grundlæggende hændelsesresponsplan.
Malware (Trusler og angreb)
Malware er enhver form for ondsindet software, dvs. software, der udfører uønskede handlinger på et system, hvilket potentielt giver angribere adgang til systemet eller forstyrrer dets drift. Malware er en af de største trusler mod små og mellemstore virksomheder og kan potentielt forårsage databrud, økonomiske tab og skade på omdømmet. En typisk distributionsmetode for malware er phishing-mails med ondsindede vedhæftede filer.
Multi-Faktor Autentifikation (MFA) (Forsvarsmekanismer og værktøjer)
Multi-Faktor Autentifikation tilføjer et ekstra lag af sikkerhed ved login på en konto. Det kræver, at brugere beviser deres identitet på mere end én måde, før de får adgang til en konto. For eksempel ved først at indtaste en adgangskode (første faktor i dette eksempel) og derefter indtaste en kode sendt til deres mobiltelefon (anden faktor i dette eksempel). Selv hvis en angriber får adgang til én af faktorerne, f.eks. ved at gætte en adgangskode eller stjæle en smartphone, kan vedkommende ikke logge ind uden den anden faktor. MFA er i stand til at blokere mange typer forsøg på kontoovertagelse og er en anbefalelsesværdig sikkerhedsforanstaltning at aktivere.
Passkeys (Forsvarsmekanismer og værktøjer)
Passkeys er en autentifikationsmekanisme og kan fungere som en ekstra faktor eller som en erstatning for adgangskoder. Oprindeligt introduceret af FIDO Alliance er denne standard nu udbredt og muliggør adgangskodeløs autentificering på en bred vifte af tjenester og enheder. De vigtigste fordele ved passkeys sammenlignet med adgangskoder er, at a) de er baseret på offentlig nøglekryptografi, og derfor kan en angriber ikke stjæle brugbare autentificeringsoplysninger, selv hvis en server kompromitteres, og b) de indeholder indbygget beskyttelse mod phishing. Passkeys repræsenterer en væsentlig sikkerhedsforbedring i forhold til adgangskoder, og deres anvendelse anbefales stærkt til virksomheder af alle størrelser.
Password Management (Forsvarsmekanismer og værktøjer)
Password management omfatter oprettelse, opbevaring og opdatering af stærke adgangskoder. En anbefalet måde at håndtere adgangskoder på er ved hjælp af en password manager. Password managers er programmer, der opbevarer alle adgangskoder sikkert i en krypteret database, beskyttet af én stærk hovedadgangskode. Det gør det muligt for medarbejdere at bruge forskellige og komplekse adgangskoder til hver konto uden at skulle huske dem alle. Password managers hjælper med at reducere flere risici, der typisk er forbundet med adgangskoder: 1) de gør det muligt at vælge stærke og unikke adgangskoder til hver konto, 2) når de bruges med autofyld, kan de hjælpe med at beskytte mod phishing-angreb, da autofyld ikke fungerer på phishing-websteder, og brugere derfor er mere tilbøjelige til at opdage angrebet, og 3) de kan reducere risikoen for shoulder surfing, når autofyld anvendes, og adgangskoder ikke indtastes via tastaturet på offentlige steder, f.eks. under forretningsrejser i tog eller fly. Desuden indeholder mange password managers funktioner, der advarer brugere, hvis legitimationsoplysninger optræder i et kendt databrud, hvilket gør det muligt at ændre adgangskoder i tide.
Patch Management (Forsvarsmekanismer og værktøjer)
Softwareleverandører opdager og retter regelmæssigt sikkerhedssårbarheder i deres produkter og udgiver opdateringer (kaldet patches) for at rette dem. Systemer uden installerede patches er et almindeligt mål for angribere. Patch management er processen med systematisk at identificere, teste og implementere disse opdateringer på alle virksomhedens enheder og systemer rettidigt. Angribere udnytter ofte systemer uden patches, fordi mange organisationer udsætter opdateringer. Nogle af de mest skadelige cyberangreb i nyere tid lykkedes, fordi organisationer ikke havde installeret patches, som allerede var tilgængelige. For små og mellemstore virksomheder er det afgørende praksis at aktivere automatiske opdateringer, hvor det er muligt, og regelmæssigt kontrollere anden software for opdateringer. Systemer uden patches er blandt de lettest udnyttelige sårbarheder i enhver organisation.
Phishing (Trusler og angreb)
Phishing er en type social engineering-angreb, hvor kriminelle sender vildledende e-mails og udgiver sig for at være en betroet kilde, f.eks. en bank, en leverandør eller en offentlig myndighed for at narre mennesker til at afsløre adgangskoder, klikke på ondsindede links eller downloade ondsindede filer. Det er den mest almindelige form for cyberangreb og den væsentligste årsag til databrud for virksomheder af alle størrelser. Phishing-beskeder skaber typisk en følelse af hastværk, f.eks. ved at påstå, at en konto vil blive suspenderet, medmindre man handler med det samme. En phishingmetode, der er særlig svær at opdage, er clone phishing. Ved clone phishing bruger angriberen en legitim e-mail sendt af en virksomhed som skabelon og ændrer den så lidt som muligt for at få den til at fremstå legitim med hensyn til layout, formulering osv.
Selvom det er nemt at give brugerne skylden for at klikke på links, er det vigtigt at indse, at mange tekniske sikkerhedsforanstaltninger må have svigtet, hvis en phishing-mail lander i en brugers indbakke, og at en phishing-hændelse repræsenterer en fejl i både tekniske foranstaltninger og brugeradfærd. På den tekniske side kan implementering af e-mailsikkerhedsprotokoller som DMARC, DKIM og SPF være effektiv i bekæmpelsen af phishing-trusler. På brugersiden kan træning af medarbejdere i at genkende mistænkelige e-mails supplere tekniske foranstaltninger, hvis det sikres, at træningen faktisk er effektiv. Ellers kan det være et stort spild af både penge og produktivitet, hvis alle medarbejdere skal deltage i ineffektive træningsforløb.
Ransomware (Trusler og angreb)
Ransomware er en i øjeblikket særligt udbredt type malware, der krypterer offerets filer, gør dem fuldstændig utilgængelige og derefter kræver betaling (normalt i kryptovaluta) i bytte for nøglen til at låse dem op. Angreb kan bringe en hel virksomhed til stilstand i dage eller endda uger ved at stoppe drift, kundeservice og salg. Selv hvis løsesummen betales, er der ingen garanti for, at angriberne vil genskabe adgangen, eller at de ikke også har stjålet og kopieret dataene. Dobbelt afpresning er en typisk praksis: først kræver angriberen betaling for at dekryptere virksomhedens filer, derefter kræver vedkommende betaling igen under trussel om at offentliggøre stjålne virksomhedsdata. Regelmæssige og testede backups, der opbevares offline, er den mest pålidelige beskyttelse, da de gør det muligt at gendanne data uden at betale. Backups beskytter dog ikke mod offentliggørelse af stjålne data. Det anses generelt for bedste praksis ikke at betale løsesummen. I stedet kan sikkerhedsspecialister muligvis gendanne dataene, selv hvis der ikke findes backups. Hvis løsesummen nødvendigvis må betales, tilbyder erfarne virksomheder forhandlere, som muligvis kan reducere løsesummens størrelse, hvis betaling er uundgåelig.
Risiko-basseret Autentifikation (RBA) (Forsvarsmekanismer og værktøjer)
En avanceret form for MFA er Risk-based Authentication (RBA). I RBA foretager systemet, som brugeren autentificerer sig over for, en dynamisk risikovurdering. På baggrund af denne risikovurdering kræves yderligere faktorer for at logge ind. For eksempel kan det være, at kun adgangskoden kræves, når brugeren befinder sig på virksomhedens netværk ved en stationær computer, men at en ekstra faktor er nødvendig ved forbindelse via VPN. Dette reducerer hyppigheden af, at brugere skal angive yderligere faktorer, og øger derfor generelt systemets brugervenlighed uden at gå på kompromis med sikkerheden (forudsat at virksomheden er i stand til at udføre korrekte risikovurderinger i sine systemer).
Security Awareness & Training (Forsvarsmekanismer og værktøjer)
Security awareness training lærer medarbejdere, hvordan de genkender cybersikkerhedstrusler og reagerer korrekt. Det kan dække et hvilket som helst antal emner fra at identificere phishing-mails til håndtering af følsomme data eller rapportering af mistænkelig aktivitet. Da størstedelen af cyberangreb på en eller anden måde involverer mennesker, er uddannelse af medarbejdere en af de mest effektive sikkerhedsinvesteringer, der er tilgængelige for en SMV. Effektiv træning går ud over en enkelt præsentation: den omfatter regelmæssige opfriskninger og klare procedurer for, hvad man skal gøre, når noget virker forkert. Medarbejdere, der ved, hvad de skal være opmærksomme på, bliver et aktivt forsvarslag og ikke blot en potentiel sårbarhed. Selvom mange standarder kun kræver awareness- og træningsforanstaltninger én gang om året, har forskning vist, at der allerede efter seks måneder er behov for en opfriskende indsats.
Social Engineering (Trusler og angreb)
Social engineering er manipulation af mennesker med det formål at få dem til at udføre handlinger eller afsløre fortrolige oplysninger ved at udnytte menneskelig psykologi frem for tekniske sårbarheder. Angribere anvender taktikker som at udgive sig for at være en betroet autoritet, skabe en følelse af hastværk eller appellere til hjælpsomhed for at opnå deres mål uden nogen form for hacking. Et almindeligt eksempel er et telefonopkald fra en person, der udgiver sig for at være IT-support og beder en medarbejder om deres adgangskode for at løse et akut problem. Forsvaret bygger på awareness-træning og klare interne procedurer, såsom altid at verificere identiteten på enhver, der anmoder om følsomme oplysninger. At skabe en kultur, hvor det opmuntres at stille spørgsmål ved usædvanlige anmodninger, og hvor man ikke straffes, hvis anmodningen viser sig at være legitim, er en af de mest effektive modforanstaltninger.
Spear Phishing (Trusler og angreb)
Spear phishing er en stærkt målrettet form for phishing, hvor angribere undersøger en specifik person eller organisation, før de udformer en personlig og overbevisende besked. I modsætning til generiske phishing-mails, der sendes til millioner af mennesker, kan en spear phishing-besked referere til dit navn, din jobtitel, en nylig forretningstransaktion eller en kollegas navn for at fremstå autentisk. Dette niveau af personalisering gør spear phishing betydeligt mere overbevisende og sværere at opdage. Ledere, økonomiafdelinger og IT-medarbejdere er hyppige mål på grund af den adgang eller økonomiske myndighed, de besidder. Selv veltrænede medarbejdere kan blive narret af et veludført spear phishing-angreb, hvilket er årsagen til, at grundige tekniske sikkerhedsforanstaltninger er afgørende vigtige.
Supply Chain Attack (Trusler og angreb)
Et supply chain attack opstår, når en cyberkriminel ikke angriber en virksomhed direkte, men forsøger at få adgang til den gennem en tredjepart, såsom en softwareleverandør, IT-leverandør eller ekstern samarbejdspartner. Din virksomhed kan have stærke forsvarsmekanismer, men hvis et softwareværktøj eller en tjeneste, som du er afhængig af, kompromitteres, kan angribere bruge dette betroede forhold som en bagdør ind i dine systemer. For små og mellemstore virksomheder betyder dette, at cybersikkerhed ikke udelukkende handler om egne forsvarsmekanismer. Cybersikkerhedsniveauet hos dine leverandører, teknologipartnere og potentielt også kunder, som har adgang til dine systemer, har også betydning. At spørge leverandører om deres sikkerhedsstandarder og inkludere sikkerhedskrav i leverandørkontrakter bliver stadig vigtigere praksisser. SolarWinds-angrebet i 2020, som påvirkede tusindvis af organisationer verden over, er et velkendt eksempel på denne trussel.
Zero Trust (Forsvarsmekanismer og værktøjer)
Zero Trust er en sikkerhedsmodel, der implementerer ‘mindste privilegium’ i den mest konsekvente grad (jf. Access Control). Den er bygget på princippet om ‘never trust, always verify’. Det betyder, at ingen bruger, enhed eller system automatisk betragtes som betroet, selv når det allerede befinder sig inden for virksomhedens netværk. Traditionel sikkerhed fokuserede på at holde trusler uden for perimeteren og antog, at alt indenfor var sikkert. Zero Trust udfordrer dette ved løbende at verificere identitet og begrænse adgang til præcis det, som hver bruger reelt har brug for. Denne tilgang er særligt relevant for virksomheder, der anvender cloud-tjenester og understøtter fjernarbejde, hvor den traditionelle netværksperimeter ikke længere eksisterer tydeligt. Implementering af Zero Trust kræver ikke en komplet omlægning af infrastrukturen. Det begynder med praktiske tiltag såsom aktivering af Multi-Faktor Autentifikation eller Risk-Based Authentication, håndhævelse af adgangskontrol og segmentering af netværket. Det anbefales i stigende grad som standard-sikkerhedsmodel for moderne arbejdspladser og har endda bevist sin værdi i Ukraine i forbindelse med cyberoperationer udført af russiske aktører.