Artikel top billede

Fem store sikkerhedsfejl som du helt sikkert begår

Virksomhederne bliver hacket så ofte, at man skulle tro, at hackerne kan trylle, men i virkeligheden handler det om en kronisk mangel på forståelse for helt basale sikkerhedsspørgsmål.

Sikkerhedsfejl #1: Opdateringerne

Computerworld News Service: Virksomhederne er så sårbare over for hacking, at hackere påstår, at de kan pege deres systemer mod stort set hvilken som helst virksomhed og bryde ind uden de store problemer.

De fleste helt almindelige sikkerheds-testere er ofte i stand til at bryde ind i en virksomhed på ganske få timer.. 

For de professionelle kriminelle er det endnu nemmere.

Men sådan behøver det ikke være.

Problemet er, at de fleste it-administratorer bliver ved med at begå de samme fejl igen og igen.

Sikkerhedsfejl #1: Du går ud fra, at alt er opdateret
De fleste virksomheder mener, at at der er styr på opdateringerne. 

De mener i virkeligheden, at styresystemet er opdateret på de fleste computere. Men hvad med de sårbare applikationer, der ofte bliver udsat for angreb? Her ser det knapt så godt ud. 

Der findes eksempelvis rigtigt mange Apache Webserver i virksomhederne, der aldrig bliver ordentligt opdateret.

Det samme gælder computere med Adobe Acrobat Reader, Adobe Flash eller Java. Det er ikke noget tilfælde, at netop disse applikationer også er dem, der oftest bliver udnyttet af de kriminelle. Og problemet har eksisteret i årevis.

Har købt dyre opdateringsprogrammer

It-administratorerne tror, de har styr på opdateringerne, fordi de har købt dyrt opdateringsprogram, uddelegeret opgaven til en eller anden, fået bedre opdateringer i det hele taget og krydset det af på to-do-listen.

Pyt med at opdateringerne aldrig har fungeret perfekt, at det ikke er alle computerne, der bliver opdaterede, og at der stadig står sårbar software tilbage. Det går ligesom i glemmebogen.

Derudover afholder mange it-afdelinger sig fra at opdatere applikationer på grund af problemer med kompatibiliteten.

Hvis afdelingen for eksempel har opdateret Java, og der bagefter sker en eller anden tilfældig fejl i en af applikationerne, vil it-afdelingen ofte forbyde allle at opdatere Java.

På den måde kan computerne stå hen i årevis uden at blive opdateret.

Ledelsen er godt tilfreds og tror, at opdateringsproblemet er løst, men i virkeligheden er det værre end nogensinde.

Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer

Sikkerhedsfejl #2: Applikationerne

Sikkerhedsfejl #2: Du ved ikke, hvilke applikationer der kører

De fleste it-afdelinger har ingen anelse om, hvilke programmer der kører på deres computere.

Nye computere kommer preloadet med forskellige programmer, som brugeren i virkeligheden ikke har brug for, og brugerne selv henter andre programmer.

Det er ikke unormalt, at en pc kører i hundredevis af programmmer ved opstart.

Men hvordan kan du håndtere programmer, som du ikke engang ved eksisterer?

Mange af de pågældende rogrammer indeholder store velkendte sårbarheder eller bagdøre fra leverandøren, som alle og enhver kan udnytte.

Hvis du gerne vil sikre dit miljø, skal du skabe et overblik over alle de programmer, der kører, smide de unødvendige programmer ud og sikre resten.

Sikkerhedsfejl #3: Du ser det forkerte sted

Sikkerhedsfejl #3: Du overser anormaliteterne
Selv om hackere kan bryde ind uden at blive opdaget, så er det svært for dem at hacke løs uden at gøre noget som helst unormalt.

De er nødt til at undersøge netværket og forbinde computere, som normalt aldrig taler sammen.

Hackere foretager altså handlinger, som ingen af de normale brugere nogensinde foretager.

De færreste it-administratorer har nogen særlig god fornemmelse af, hvilke aktiviteter og aktivitetsniveauer, der kan regnes for at være normale.

Hvis du ikke har defineret det normale, hvordan kan du så spore anormaliteter og udsende advarsler?

År efter år fortæller The Verizon Data Breach Investigations Report, at næsten alle databrud kunne have været undgået, hvis ofrene havde implementeret alle de nødvendige kontroller lige fra begyndelsen.

Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer

Sikkerhedsfejl #4: De slappe regler

Sikkerhedsfejl #4: Du er ikke skrap nok med passwords
Vi ved alle sammen godt, at et password skal være langt og komplekst, og at det skal skiftes med jævne mellemrum.

Langt de fleste administratorer vil sige, at at deres egne passwords er stærke, men ofte passer det ikke.

Eller måske er de stærke på nogle områder, mens de er svare på de områder, hvor det virkelig gælder - eksempelvis til konti, der bruges på tværs af virksomheden eller på tværs af et domæne, eller andre former for superbruger-konti.

Men jo stærkere kontoen er, jo svagere er passwordet, og jo større er sandsynligheden for, at det aldrig bliver skiftet.

Hvis du gerne vil vide, hvor effektiv password-politikken er i virksomheden, så skulle du prøve at undersøge, hvor mange dage, der er gået, siden de forskellige passwords sidste blev skiftet.

Jeg vil godt garantere, at du kan finde konti, der ikke er blevet ændret i tusindvis af dage.

Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer

Sikkerhedsfejl #5: Manglende uddannelse

Sikkerhedsfejl #5: Du uddanner ikke brugerne i nye trusler 
Vi siger, at slutbrugerne er vores svageste led, med alligevel uddanner vi dem ikke i de nyeste trusler - altså de angreb, der har fundet sted i løbet af de seneste fem år.

De fleste brugere ved alt om vedhæftede virus i e-mails - den slags angreb, der var populære for 10 år siden.

Men prøv at spørge slutbrugerne, om de er klar over, at den største infektionstrussel i dag stammer fra hjemmesider, som de allerede kender, stoler på og besøger hver eneste dag.

De fleste slutbrugere ved ikke noget om ondsindede reklamer på deres yndlingshjemmeside eller om det faktum, at populære søgemaskiner på nettet kan inficere dem.

De kender ikke forskel på deres egen antivirus-software og det falske program, der lige poppede op på et vindue på skærmen.

De ved det ikke, fordi vi ikke har lært dem det.

De fem sårbarheder er langt fra nye. 

De har eksisteret i hvert fald i 20 år. 

Problemet bliver krydset af på listen, så de kan koncentrere sig om noget andet - men faktum er, at hele miljøet er grundlæggende fejlbefængt.

Det eneste, det ville kræve at opdage det, var at stille et par spørgsmål eller køre nogle få forespørgsler.

Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer

Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere