Hvordan prioriterer du sikkerheds opdateringer?

Sikkerheds opdaterer du altid prioritet 5?

Mange IT-afdelinger udvælger sikkerhedsopdateringer baseret på:

  • Producentens ratings: en 5’er er kritisk og en 3’er kan vente, -måske for altid.
  • Kunne være hvad medierne siger.

Problemet med denne prioritering er bare, at ingen af de ovennævnte kender lige netop dit setup og din valgte risiko profil.

Så hvis du altid fokuserer på 5’eren, så løber du en unødig stor risiko.

Hvorfor er det risikabelt at fokusere på 5’er sårbarheder?

Fordi en 5’er hos dig måske slet ikke er kritisk. Måske kan en angriber slet ikke udnytte den i dit miljø, og måske har du nogle foranstaltninger i dit netværk, der gør, at det ikke ville skade dig, hvis den blev udnyttet.

Producenter angiver en generel prioritet, ikke en prioritet baseret på lige dit setup og din risiko appetit.

En af de vigtigste ting at tage med i din prioritering er:

  • Hvor befinder enheden sig, internt eller direkte på internettet?
  • Hvilken rolle har enheden? Det kan være den indeholder den kritiske applikation, eller det blot er en print server.

En 3’er kan i dit miljø være en 5’er!

Hvis den enhed, der er sårbar, befinder sig direkte på internettet, så kan en 3’er jo godt være en kæmpe risiko for netop din virksomhed.

Derfor handler det ikke bare om at fokusere på en 5’er.

Men om at fokusere på DIN risiko.

Mere info

Hvis du vil høre mere om hvordan man kan få overblik over hvilke sårbarheder du bør fokusere på netop nu, så kontakt mig gerne for en dialog på enten ole@schmitto.dk eller 4025 3921.

Er Vulnerability Management kun om software opdateringer?

Vulnerability Management (sårbarhedsskanning) er ikke lig med Patch Management (sårbarhedsopdatering). Det er korrekt, at ofte vil udbedringen af en sårbarhed betyde, at der skal installeres en sikkerheds opdatering (Patch) for at lukke sikkerhedshullet. Men i flere tilfælde handler det også om at tilpasse konfigurationen.

Målet med at sikkerheds opdatere er, at lukke et sikkerhedshul. Mange sikkerhedshuller kræver, at der foretages en konfigurations ændring. Men for at udbedre Spectre/Meltdown sårbarheden, skal man både installere en patch og ændre i konfigurationen.

Kend dine enheder.

Asset Management (der findes ikke et godt dansk ord for det) giver dig et samlet overblik af dine enheder. Et Asset Management system bør indeholde alle enheder, hvad enten de er lokale PC’er, servere, netværk, Cloud baserede servere, applikationer eller services til mobile brugere. Så har du ET samlet overblik over din IT.

  • Hvad er det for hardware?
  • Hvilken software er installeret?
  • Hvilken version?

Er vi sårbare?

Det spørgsmål kan ikke besvares blot ved at kigge på sikkerheds opdateringer. Man skal også inkludere viden om konfigurationer. Så når man først har udrullet sikkerhedsopdateringen og udført konfigurations ændringen, bør man igen udføre en sårbarhedsskanning.

Er vores hjemmebrugere sårbare?

I forbindelse med COVID blev rigtig mange brugere til eksterne hjemmebrugere, der sjældent og måske aldrig besøgte kontoret. Det stiller helt nye krav til sårbarhedsskanning og sårbarhedsopdatering. Specielt fordi det kræver både installation af sikkerhedsopdaterringen og i mange tilfælde konfigurations ændringer.

Flere værktøjer.

Hvis man anvender forskellige værktøjer til sårbarhedsskanning, sikkerhedsopdatering, konfigurations overblik og Asset Management, betyder det at et samlet overblik er rigtig svært at få, og risikoen for at du mister overblik er stort.

Findes der en løsning?

Ja, Qualys, som jeg har samarbejdet med i mere end 20 år. De har efter min mening en løsning som kan give dig et samlet overblik, med mulighed for både:

  • Sårbarhedsskanning ( Vulnerability Management)
  • Sikkerhedsopdatering (Patch Management)
  • Konfigurations ændringer (Del af Patch management)
  • Asset Management

Der findes uden tvivl andre løsninger end Qualys. Det vigtigste er bare, at du nemt og effektivt kan besvare spørgsmålet ER VI SÅRBARE? Og hvis JA, gør noget ved det!

Mere info

Så kontakt mig på 4025 3921 eller ole@schmitto.com

6 gode råd om beskyttelse mod Ransomware:

Igen i de sidste 14 dage har der været vellykkede angreb mod virksomheder. Især to sager, synes jeg, er specielt markante.

  1. Angreb mod de systemer der styrer en 8.000 km lang olie distributions ledning i USA, som betød, at der pludselig blev mangel på benzin til de forslugne amerikanske biler.
  2. Angreb mod det Irske sundhedsvæsen, som betød problemer med COVID-19 tests og andre sundheds services.

Hvad sker der i et Ransomware angreb?

Dine filer bliver krypteret, så du ikke længere kan læse dem

Hvordan kommer Ransomware typisk ind i virksomheden?

Ofte via en bruger, der klikker på en fil, der så krypterer data både lokalt og på netværket. Og ofte udnyttes samtidig en sårbarhed på den pågældende brugers enhed eller andre enheder, til at sprede Ransomware internt.

Hvordan får jeg mine filer igen?

  1. Betaler angriberen den løsesum “ransom” han kræver.
  2. Restore ved hjælp af dit backup system.

Får man sine filer igen, hvis man betaler angriberen?

Det korte svar er ja… som alle andre forretninger, kan de jo kun fortsætte, hvis man leverer det man lover. Og angriberne udleverer typisk krypterings nøglen, til dem der betaler.

Bør man betale?

Ikke som udgangspunkt, da angriberne jo igen vil gå efter de industrier, som er kendt for at betale. Det er almindelig forretningslogik.

  1. Olielednings firmaet skulle efter sigende havde betalt 30 millioner kr. for at modtage krypteringsnøglen. Så jeg er sikker på, at de er et emne igen for ny Ransomware.
  2. Det Irske sundhedsvæsen har tilsyneladende afvist at betale.

Jeg mener heller ikke at hverken Maersk eller William Demant, som er de meste kendte Ransomware sager i DK, betalte.

6 gode basis råd til at undgå Ransomware

  1. Kend dit setup. Sikre dig at alle enheder opdateres, både servere, klienter, operativsystemer og 3. parts software. Jeg bruger Qualys til dette.
  2. Check alle ind- og udgående mails for links og vedhæftede filer.
  3. Hav et backup system, hvor data også findes udenfor virksomheden, så backup data ikke også bliver krypteret. Se denne blog artikel om: Hvorfor er backup 3-2-1 vigtig for dig
  4. Check at du kan restore kritiske data mindst hver 6. måned.
  5. Brug et anerkendt ransomware produkt/service til at beskytte klienter og servere.
  6. Fortæl brugere, at hvis de er i tvivl, så klik aldrig på links eller ukendte filer.

Der er mange flere ting du kan gøre, men du skal sikre dig mht ovenstående først.

5 gode råd om End of Life software og hvad du bør gøre.

“End of Life betyder, at softwaren ikke længere kan købes eller supporteres af producenten. Så der kommer ikke flere opdateringer, ej heller hvis der opdages nye sårbarheder. “

Adobe Flash var i mange år den platform, der gav os lyd og video, når vi besøgte hjemmesider. Den blev installeret på ens computer, og blev så aktiveret hvis hjemmeside indeholdt lyd eller video. Derefter startede Adobe Flash inde i selve browseren, og du så videoen.

Hvis du besøgte Youtube, skulle du have Flash installeret, for at kunne se video, indtil Adobe i 2017 annoncerede afslutningen på Adobe Flash.

Mareridt for sikkerheds folk.

For de IT sikkerheds ansvarlige var Flash et helvede, fordi der konstant blev fundet nye sårbarheder. Nogle som kunne inficere PC’en, bare man besøgte en hjemmeside med sårbar Adobe Flash installation.

Så Flash blev elsket af angriberne, og hadet af IT sikkerhedsfolk, fordi den var på stort set alle enheder.

Der var endda også spil, som blev afviklet via flash.

Flash sluttede 31.12.2020.

Ved nytår var det slut med Flash. De fleste browsere idag vil blokere flash, hvis man kommer til en hjemmeside, der indeholder Flash komponenter. Flash har også en indbygget “kill-switch”, der gerne skulle forhindre eksekvering efter d. 12 januar 2021.

Så der er gjort en del for at forhindre, at flash ikke længere er et problem.

Hvor mange af dine enheder har stadig Adobe Flash installeret?

Det jo fint, at der er forsøgt forskellige former for blokering af at flash kan afvikles, men det betyder jo også, at rigtig mange enheder har flash installeret, som aldrig nogensinde bliver opdateret mere.

Ved du hvor mange af dine enheder, der har Flash installeret?

Hvad nu hvis der er en sårbarhed?

Med den historik Flash har haft omkring sårbarheder, mener jeg ikke, det er utænkeligt, at en eller anden klog person finder ud af at udnytte / finde en ny sårbarhed.

  • Hvad vil det betyde for enheder, som stadig har flash installeret?
  • Hvad nu hvis Adobe Flash genopstår som Open Source, som nogle har arbejdet på?

5 gode råd om End of Life af software og hardware, samt hvad du bør gøre.

Min pointe er, at du bør have overblik over din installation. Hvad du har på hvilke enheder.

  1. Hvor meget end of life software har jeg?
  2. Hvilken software udløber indenfor de næste 6, 12 eller 24 måneder?
  3. Betaler jeg software support for licenser, der er End-of-Life?
  4. Har jeg hardware, der er end of life, eller bliver det indenfor de næste 6, 12 eller 24 måneder?
  5. Har jeg hardware support på enheder som er End-of-Life?

Hvordan får jeg den viden.

Der findes en del forskelige metoder til at få viden om indeholdet i dit setup.

Jeg tilbyder virksomheder implementerring af Qualys VMDR.

Qualys VMDR, en suite af cloud Security og Compliance services, tilbyder udover at opsamle data om software og hardware, også at berige disse data med viden. Det gælder viden om mere end 1.700 udviklere/firmaer og status på deres 85.000 software frigivelser, samt mere end 100 hardware producenter og deres 45.000 forskellige modeller.

Det betyder, at man i et samlet overblik kan få status på alle enheder i sin infrastruktur.

Kontakt mig gerne, hvis du også gerne vil kende “udløbsdatoen” for din software og hardware.

Microsoft Exchange HAFNIUM sårbarhed – Hvad gør jeg?

Hvis ikke du har fulgt med, så er tusinde af Microsoft Exchange servere rundt om i verden blevet angrebet med succes via en Zero-day sårbarhed, HAFNIUM, et angreb som også ses udført med succes mod danske virksomheder.

Det norske folketing Stortinget utsatt for IT-angrep er et af ofrene, der også bekræfter, at der er hentet data ud af deres systemer.

I starten tydede det på, at angrebet gik mod udvalgte, men det er nu udbredt, så det rammer alle.

Det betyder, at der kan være mange små og større virksomheder samt offentlige, der allerede er angrebet med succes.

Hvad er en Zero-day sårbarhed?

“0-dag” betyder, at der ikke findes en opdatering, der kan lukke den nu kendte sårbarhed. Så dem der er ansvarlige for sikkerhed, har ikke en sikkerhedsopdatering de kan installere på det sårbare system.

Jeg bruger Microsoft Exchange – er jeg så i fare?

Hvilken version af Microsoft Exchange bruger du? Hvis du bruger Microsoft Office 365, er du ikke i fare. Det er typisk de virksomheder, der selv har deres Exchange mail server stående enten lokalt eller i et hostet miljø, der er i fare.

Hvem er bag angrebet?

Ifølge en blog post fra Microsoft peger de på Kina.

Hvem opdagede det?

Blandt andet Dubex, der også er krediteret i den ovennævnte Microsoft blog post.

Hvad bør jeg gøre nu?

  1. Opdater din Exchange server. Microsoft har frigivet en udførlig beskrivelse af hvordan du skal sikkerhedsopdatere.
  2. Check om du allerede er angrebet med succes ved at følge denne Microsoft vejledning. Den indeholder også et script, som er udviklet af Microsoft Exchange Server Team til at hjælpe dig med beskrivelse og gennemgang af dine Exchange log filer.
  3. Hvis ikke du kan opdatere, så bør du følge Microsoft alternative metode og herunder begrænse adgangen til Exchange serveren udefra. Jeg ved godt, at det betyder at remote brugere ikke kan hente deres mail. Men det er det bedste alternativ lige nu, kontra et vellykket angreb, hvor angriberne måske får adgang til dine interne systemer.

Schmitto A/S kunder der anvender Qualys VMDR:

Qualys har frigivet en blog hvori de beskriver hvordan man med Qualys VMDR kan identificere de sårbare Exchange servere, og dynamisk tilføje en Tag (markering) til disse enheder, så man kan få dem opdateret.

Du kan tilføje nedenstående VMDR Dashboard, for nemt overblik.: Exchange Server 0-Day Dashboard | Critical Global View

VMDR Exchange 0-day Dahsboard
VMDR Exchange 0-day Dahsboard

Mere info om Qualys VMDR?

Hør mere om hvordan Qualys VMDR kan hjælpe dig, så kontakt mig via ole@schmitto.com eller 40253921.

Qualys VMDR — en samlet platform med Vulnerability Management, Detection, og Response

Qualys introducerede en ny samlet platform Qualys VMDR – Vulnerability Management, Detection, og Response.

  1. Identificer alle kendte og ukendte enheder på den samlede hybrid platfrom
  2. Analyser og få et samlet overblik over sårbarheder og fejlkonfigurationer
  3. Fokuser på hvad er vigtigst NU baseret på viden om trusler og risiko, reducere tusinder af sårbarheder til få der er kritiske og bør fokuseres på nu.
  4. Patch sårbarheden ved et enkelt klik på en knap.

Læs videre “Qualys VMDR — en samlet platform med Vulnerability Management, Detection, og Response”