Sikkerhedsfejl #1: Opdateringerne
Computerworld News Service: Virksomhederne er så sårbare over for hacking, at hackere påstår, at de kan pege deres systemer mod stort set hvilken som helst virksomhed og bryde ind uden de store problemer.
De fleste helt almindelige sikkerheds-testere er ofte i stand til at bryde ind i en virksomhed på ganske få timer..
For de professionelle kriminelle er det endnu nemmere.
Men sådan behøver det ikke være.
Problemet er, at de fleste it-administratorer bliver ved med at begå de samme fejl igen og igen.
Sikkerhedsfejl #1: Du går ud fra, at alt er opdateret
De fleste virksomheder mener, at at der er styr på opdateringerne.
De mener i virkeligheden, at styresystemet er opdateret på de fleste computere. Men hvad med de sårbare applikationer, der ofte bliver udsat for angreb? Her ser det knapt så godt ud.
Der findes eksempelvis rigtigt mange Apache Webserver i virksomhederne, der aldrig bliver ordentligt opdateret.
Det samme gælder computere med Adobe Acrobat Reader, Adobe Flash eller Java. Det er ikke noget tilfælde, at netop disse applikationer også er dem, der oftest bliver udnyttet af de kriminelle. Og problemet har eksisteret i årevis.
Har købt dyre opdateringsprogrammer
It-administratorerne tror, de har styr på opdateringerne, fordi de har købt dyrt opdateringsprogram, uddelegeret opgaven til en eller anden, fået bedre opdateringer i det hele taget og krydset det af på to-do-listen.
Pyt med at opdateringerne aldrig har fungeret perfekt, at det ikke er alle computerne, der bliver opdaterede, og at der stadig står sårbar software tilbage. Det går ligesom i glemmebogen.
Derudover afholder mange it-afdelinger sig fra at opdatere applikationer på grund af problemer med kompatibiliteten.
Hvis afdelingen for eksempel har opdateret Java, og der bagefter sker en eller anden tilfældig fejl i en af applikationerne, vil it-afdelingen ofte forbyde allle at opdatere Java.
På den måde kan computerne stå hen i årevis uden at blive opdateret.
Ledelsen er godt tilfreds og tror, at opdateringsproblemet er løst, men i virkeligheden er det værre end nogensinde.
Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer
Sikkerhedsfejl #2: Applikationerne
Sikkerhedsfejl #2: Du ved ikke, hvilke applikationer der kører
De fleste it-afdelinger har ingen anelse om, hvilke programmer der kører på deres computere.
Nye computere kommer preloadet med forskellige programmer, som brugeren i virkeligheden ikke har brug for, og brugerne selv henter andre programmer.
Det er ikke unormalt, at en pc kører i hundredevis af programmmer ved opstart.
Men hvordan kan du håndtere programmer, som du ikke engang ved eksisterer?
Mange af de pågældende rogrammer indeholder store velkendte sårbarheder eller bagdøre fra leverandøren, som alle og enhver kan udnytte.
Hvis du gerne vil sikre dit miljø, skal du skabe et overblik over alle de programmer, der kører, smide de unødvendige programmer ud og sikre resten.
Sikkerhedsfejl #3: Du ser det forkerte sted
Sikkerhedsfejl #3: Du overser anormaliteterne
Selv om hackere kan bryde ind uden at blive opdaget, så er det svært for dem at hacke løs uden at gøre noget som helst unormalt.
De er nødt til at undersøge netværket og forbinde computere, som normalt aldrig taler sammen.
Hackere foretager altså handlinger, som ingen af de normale brugere nogensinde foretager.
De færreste it-administratorer har nogen særlig god fornemmelse af, hvilke aktiviteter og aktivitetsniveauer, der kan regnes for at være normale.
Hvis du ikke har defineret det normale, hvordan kan du så spore anormaliteter og udsende advarsler?
År efter år fortæller The Verizon Data Breach Investigations Report, at næsten alle databrud kunne have været undgået, hvis ofrene havde implementeret alle de nødvendige kontroller lige fra begyndelsen.
Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer
Sikkerhedsfejl #4: De slappe regler
Sikkerhedsfejl #4: Du er ikke skrap nok med passwords
Vi ved alle sammen godt, at et password skal være langt og komplekst, og at det skal skiftes med jævne mellemrum.
Langt de fleste administratorer vil sige, at at deres egne passwords er stærke, men ofte passer det ikke.
Eller måske er de stærke på nogle områder, mens de er svare på de områder, hvor det virkelig gælder - eksempelvis til konti, der bruges på tværs af virksomheden eller på tværs af et domæne, eller andre former for superbruger-konti.
Men jo stærkere kontoen er, jo svagere er passwordet, og jo større er sandsynligheden for, at det aldrig bliver skiftet.
Hvis du gerne vil vide, hvor effektiv password-politikken er i virksomheden, så skulle du prøve at undersøge, hvor mange dage, der er gået, siden de forskellige passwords sidste blev skiftet.
Jeg vil godt garantere, at du kan finde konti, der ikke er blevet ændret i tusindvis af dage.
Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer
Sikkerhedsfejl #5: Manglende uddannelse
Sikkerhedsfejl #5: Du uddanner ikke brugerne i nye trusler
Vi siger, at slutbrugerne er vores svageste led, med alligevel uddanner vi dem ikke i de nyeste trusler - altså de angreb, der har fundet sted i løbet af de seneste fem år.
De fleste brugere ved alt om vedhæftede virus i e-mails - den slags angreb, der var populære for 10 år siden.
Men prøv at spørge slutbrugerne, om de er klar over, at den største infektionstrussel i dag stammer fra hjemmesider, som de allerede kender, stoler på og besøger hver eneste dag.
De fleste slutbrugere ved ikke noget om ondsindede reklamer på deres yndlingshjemmeside eller om det faktum, at populære søgemaskiner på nettet kan inficere dem.
De kender ikke forskel på deres egen antivirus-software og det falske program, der lige poppede op på et vindue på skærmen.
De ved det ikke, fordi vi ikke har lært dem det.
De fem sårbarheder er langt fra nye.
De har eksisteret i hvert fald i 20 år.
Problemet bliver krydset af på listen, så de kan koncentrere sig om noget andet - men faktum er, at hele miljøet er grundlæggende fejlbefængt.
Det eneste, det ville kræve at opdage det, var at stille et par spørgsmål eller køre nogle få forespørgsler.
Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer
Oversat af Marie Dyekjær Eriksen