Hvordan beskytte seg mot phishing
For å unngå at angripere lykkes med et phishingangrep, er det viktig at virksomheten iverksetter egnede tekniske og organisatoriske tiltak, slik som for eksempel:
- Opplæring og bevisstgjøring av de ansatte, slik at de kan identifisere phishing-forsøk. Dette blir stadig viktigere, ettersom phishing-forsøk i økende grad kommer fra tilsynelatende legitime avsendere og ser autentiske ut. Generelle meldinger om ikke å åpne e-post fra ukjente avsendere vil sannsynligvis ikke være tilstrekkelig for å avverge sofistikerte phishing-forsøk.
- Phishing-tester av de ansatte for å kontrollere om opplæringen har ønsket effekt. Slike tester kan også danne grunnlag for mer målrettet opplæring i fremtiden.
- Etablere et kontaktpunkt hvor ansatte kan få hjelp med identifisering av phishing-forsøk. For eksempel en e-postadresse som ansatte kan videresende e-post til som de er usikre på, eller et telefonnummer de kan ringe.
- Tilstrekkelig antivirus-/antimalwareløsning, og hyppig oppdatering av denne.
- Automatisk filtrering av e-post. For eksempel bruk av offentlige blokkeringslister for å skille ut e-post fra domener som er kjent som «ondsinnede». Virksomheten kan også aktivere filtre for e-post som feiler kontroll av SPF (Sender Policy Framework) og DKIM (DomainKeys Identified Mail). Les mer om sikring av epost hos NSM
Hvordan beskytte seg mot etterfølgende angrep?
I tillegg til å iverksette tiltak for å avverge et innledende phishingangrep, er det viktig at virksomheten er beskyttet mot etterfølgende angrep. Som vi nevnte tidligere kan de etterfølgende angrepene være forårsaket av andre angrep enn phishing. Det kan for eksempel hende at en ansatt har blitt «phishet» og gitt fra seg brukernavnet og passordet til et system, eller at angripere har fått tilgang til det samme systemet via hacking. Forslagene våre her er derfor ikke tiltak som kun er relatert til phishing, men tiltak som danner ytterligere barrierer for angripere som allerede har fått tilgang til systemene.
Iverksetting av slike tiltak er for eksempel avgjørende for å begrense omfanget av opplysninger som en angriper kan få tilgang til, eller for å begrense spredningen av et virus. Aktuelle tiltak kan være:
- Hyppig sikkerhetsoppdatering av datasystemene. I dette inngår for eksempel utarbeiding av rutiner for oppdatering, iverksetting av tekniske oppdateringstiltak samt opplæring og bevisstgjøring av brukerne slik at oppdateringer ikke utsettes unødvendig.
- Tofaktorautentisering, slik at det kreves mer enn brukernavn og passord for å få tilgang til systemene. Les mer om sterk autentisering
- Tilgangsstyring etter minste privilegiums prinsipp, slik at systemrettigheter kun gis til brukere som har behov. Det er også relevant å definere roller og ansvar for dette, samt dokumentere rutiner. I forbindelse med fratredelse eller bytte av stilling internt er det for eksempel aktuelt å definere hvem som har ansvar for å melde fra til systemadministrator, og hvordan systemadministrator skal sikre at tilgangen endres eller slettes i tide.
- Etablere logging for å kunne oppdage sikkerhetshendelser og etterforske dem i etterkant. Logging er for eksempel nødvendig for å kunne dokumentere hvem som har logget inn, når de har gjort det, hva de har gjort i systemet, om de har lastet ned data og lignende. Uten logging kan det også være vanskeligere å implementere korrigerende tiltak i etterkant, fordi det kan være vanskelig å finne ut hvor sårbarhetene er.
- Utarbeide rutiner for hvilke typer informasjon som er tillatt å dele over e-post eller lagre i e-postløsningen. Virksomheten bør for eksempel vurdere om opplysninger om personlige forhold, helseinformasjon eller kopier av identifikasjon (førerkort/pass) kan deles gjennom sikrere kanaler.
- Etablering av automatiske og manuelle sletterutiner. For eksempel at sykmeldinger slettes fra en usikker e-postløsning med en gang de er flyttet til en sikker løsning. Informasjon som er slettet kan ikke komme på avveie.
- Kryptering av databaser og dokumenter som virksomheten har ekstra behov for å beskytte. Det kan være direkte kryptering av dokumentene eller lagring av dokumenter i et kryptert område. Dersom dokumentene skal deles over e-post kan det være aktuelt å ta i bruk ende-til-ende-kryptering i e-postløsningen, for eksempel S/MIME (Secure/Multipurpose Internet Mail Extensions). Les mer om dette på infosec.sintef.no
Krypteringsløsninger kan med fordel kombineres med flerfaktorautentisering, slik at de ikke kan låses opp med brukernavn og passord som angripere har fått tak i. - Blokkering av kjørbare filer og Office-makroer. Tilknyttet dette kan det også være aktuelt å dokumentere retningslinjer for akseptabel bruk av datasystemene og kommunisere disse til brukerne på en hensiktsmessig måte.
- Filtrering av IP-adresser. Hvis virksomheten kun har brukere med norske IP-adresser, kan disse settes på en akseptliste mens alle andre IP-adresser blokkeres. Hvis virksomheten har gjentatte uautoriserte påloggingsforsøk fra enkelte regioner, kan IP-adresser fra disse settes på en blokkeringsliste. Bruk av VPN kan gjøre IP-filtrering lettere, fordi virksomheten da kan ha mer kontroll med IP-adressene som benyttes.
Vi viser for øvrig til NSM sine Grunnprinsipper for IKT-sikkerhet, som inneholder mange av tiltakene vi har foreslått i denne veilederen.