Bliv skarp på risikovurdering i din IT-verden!

Der er en tendens til, at virksomheder hovedsageligt fokuserer på sikkerheden i de lokale systemer. Men i takt med udbredelsen af cloud computing, får de fleste en hybrid it-infrastruktur bestående af både on-premise og skybaserede ressourcer. Og risici kan opstå overalt.

For at opnå et dækkende riskobillede, er det derfor helt essentielt, at gennemføre omfattende risikovurderinger af den samlede it-infrastruktur – både de lokale installationer og det udstyr og tjenester I har ude i de forskellige cloudmiljøer.

Læs videre “Bliv skarp på risikovurdering i din IT-verden!”

Kan en sårbarhed altid udbedres med en opdatering?

NEJ er det korte svar…

Hvis du idag bruger et Vulnerability Management system som Qualys, vil du formentlig se, at ALLE dine windows enheder har sårbarheder med betegnelsen “Microsoft WinVerifyTrust Signature Validation Vulnerability “.

Såbarheden kan ikke patches automatisk med et Patch Management system.

Hvad gør jeg så?

Du skal ind og rette i Windows Registry. Noget som jo ikke løses med et traditionel Patch Management system, som Qualys tilbyder.

Så du skal have fat i hver enkelt enhed og opdaterere Registry:

Hvad er risikoen?

Microsoft har meddelt, at de har genudgivet CVE-2013-3900 (maskin oversat tekst) for at informere kunder om tilgængeligheden af ​​EnableCertPaddingCheck. Denne adfærd forbliver tilgængelig som en valgfri funktion gennem indstillingen af en registreringsnøgle, og er tilgængelig på alle understøttede udgaver af Windows, der er udgivet siden d. 10 december 2013.

Microsoft anbefaler, at forfattere af eksekverbare filer overvejer, at tilpasse alle signerede binære filer til den nye verifikationsstandard. Dette gøres ved at sikre, at de ikke indeholder overflødig information i WINCERTIFICATE-strukturen. Microsoft anbefaler også, at kunder tester denne ændring grundigt for at vurdere, hvordan den vil opføre sig i deres miljøer.

Ses sårbarheden udnyttet i dag?

Ja, Qualys Cloud Threat DB player bekræfter, at hacker gruppen Conti forsøger at udnytte sårbarheden fra 2013 til inficering med Malware.

Hvem er Conti?

Hackergruppen “Conti,” også kendt som “Conti Ransomware” eller “Ryuk Conti,” er en kriminel organisation, der er specialiseret i ransomware-angreb. De er kendt for at udføre angreb, hvor de krypterer ofres filer. Derefter kræver de en løsesum (ransom) for at dekryptere dem og gøre dem tilgængelige igen. Hvis ofrene ikke betaler løsesummen, truer gruppen med at offentliggøre de stjålne data.

Næste skridt:

Så nej, det er ikke altid, at en sårbarhed kan udbedres, ved at installere software. Nogle gange skal der foretages ændringer “inde i maven” på operativsystemet. I dette tilfælde skal du rette i:

  • HKEYLOCALMACHINESoftwareMicrosoftCryptographyWintrustConfig “EnableCertPaddingCheck”=”1”
  • HKEYLOCALMACHINESoftwareWow6432NodeMicrosoftCryptographyWintrustConfig “EnableCertPaddingCheck”=”1”

Mere info:

Microsoft Patch Tirsdag , juni 2023

Der er ikke nogle Zero-day sårbarheder som skal opdateres i denne Microsoft Patch Tuesday.

Seks af de 94 sårbarheder, er klassificeret som kritiske og 70 af dem er vigtige.

Der var 17 Microsoft Edge sårbarheder, som blev frigivet tidligere på måneden.

Sårbarheds kategori Antal Klassificering
Spoofing Vulnerability 10 Important: 9
Denial of Service Vulnerability 10 Critical: 1
Important: 9
Elevation of Privilege Vulnerability 17 Critical: 1
Important: 15
Information Disclosure Vulnerability 5 Important: 5
Remote Code Execution Vulnerability 32 Critical: 4
Important: 24
Security Feature Bypass Vulnerability 3 Important: 4
Microsoft Edge (Chromium-based) 17

Mere info hos Qualys – Microsoft Patch Tuesday, June 2023 Security

Flere sårbarheder end timer i døgnet!

Den øgede digitalisering betyder, at den digitale risiko øges dag for dag.

Dagligt udgiver producenter opdateringer, der skal lukke de seneste sårbarheder.

Problemet er bare, at det er en uendelig rejse, at skulle opdatere software.

Sårbarheds udviklingen:

  • 1990’erne var der 2.594 sårbarheder
  • 2000’erne øgedes dette med 796% til 37.321
  • 2010 blev der så registreret 135.284
  • 2022 blev der tildelt mere end 25.000 unikke CVE

Der er lige nu ca. 192.000 kendte sårbarheder, men det er kun en mindre del af disse, der udgør en risiko for din virksomhed… hvilke?

Flere opdateringer i morgen.

Ligegyldig hvilket system man bruger til at finde og opdatere sine enheder med, vil overblikket i morgen vise endnu flere opdateringer og sårbarheder end i dag.

Du kommer aldrig til at være 100% opdateret!

Tid er vigtig.

Hvis en kendt sårbarhed udnyttes til angreb NU, skal du selvfølgelig fokusere på denne, og ikke på sårbarheder der for nuværende ikke ses udnyttet.

Automatisering.

Klient Sikkerheds opdateringer som browserne Chrome, Edge og standard applikationer som Microsoft Office bør man en gang for alle konfigurere, så de automatisk opdateres, efter at en sikkerhedsopdatering er frigivet.

Overvej at installere Microsofts månedlige tirsdags opdateringer automatisk på klienter.

Fokuser.. hvor du kan reducere risikoen!

Dit sårbarhedsystem skal hjælpe dig med at prioritere. Du skal ikke bare se på den risiko klassificering sårbarheden har fået, for en høj klassificering er ikke altid lig med en høj risko for dig.

Måske findes der endnu ikke en måde at udnytte sårbarheden på. Derfor er det vigtigt at dit Vulnerability Management og Patch Management system, kan fortælle dig hvilke sårbarheder der udnyttes her og nu, og risikoen for netop DIT setup.

Mere info:

Qualys har udgivet deres “2023 Qualys TruRisk Research Report”, der indeholder info baseret på anonymiserede data fra de mere end 2.4 milliarder sårbarheder, deres platform fandt hos kunderne.

Du kan hente rapporten her-> 2023 TruRisk Threat Research Report.

Sårbarhedsskanning – kapitel 1 – CVE

– Hvad betyder forkortelsen CVE?

Jeg har været i IT sikkerhedsbranchen siden 1987 (35 år), og der er stadig forkortelser, jeg anvender dagligt, uden præcis at kende betydningen.

Har du det på samme måde? For i de næste nyhedsbreve vil jeg studere og fokusere på nogle af de udtryk, der anvendes i forbindelse med sårbarheds skanning. Håber du også lærer noget nyt.

Læs videre “Sårbarhedsskanning – kapitel 1 – CVE”

Datatilsynet ser også på din IT-sikkerhed!

IT-sikkerhed og GDPR skal gå hånd-i-hånd. Mange tror at GDPR handler om regler og juristeri, men sager henover sommeren viser, at Datatilsynet udsteder bøder, når manglende sikkerhedsforanstaltninger ikke er implementeret.

Hvad er en manglende sikkerhedsforanstaltning?

F.eks. 2-faktor login til systemer der kan tilgås remote.

Hvad er 2-faktor og hvorfor er det vigtigt?

2-faktor er, hvor du udover brugernavn og password skal have en unik ekstra kode. Den bliver oftest sendt til din mobil som SMS eller via en mobil app, hvor man godkender login.

NemID og MitID er begge løsninger, der er baseret på 2-faktor.

2-faktor er vigtigt, fordi det tilfører et ekstra lag sikkerhed. Mange -ja faktisk rigtig mange genbruger passwords på flere hjemmesider. I nogle tilfælde anvender en bruger samme password til privat og firma. Så når en angriber har dit bruger navn (mail) og password, vil vedkommende kunne logge ind på såvel firma som private services.

Hvis 2-faktor er aktiveret, så skal man jo også have den ekstra kode for at kunne logge ind.

Jeg opfordrer kraftigt til, at man altid kun bruger password ET sted, og altid tilføjer 2-faktor. Men her og nu bør 2-faktor som minimum være aktiveret.

Bøde ved manglende 2-faktor:

Et advokat firma blev udsat for et hackerangreb, der betød, at særligt beskyttelsesværdige personoplysninger blev kompromittereret. Da de var igang med at implementere 2-faktor login og var samarbejdsvillige omkring sagen, indstillede datatilsynet bøden til kun 500.000 kr.

Når man opretter fjernadgange til sådanne it-systemer, skal man således have implementeret foranstaltninger til verifikation, som f.eks. multifaktorlogin.

Bøde ved manglede pinkode på mobil:

I en kommune havde man ikke sikret sig, at ansatte ikke kunne slå sin pinkode fra ved login på mobil.

Da der på mobilen kunne være følsomme oplysninger, blev kommunen indstillet til en bøde på 50.000 kr.

Hvordan sikrer man, at der er krav om pinkode på mobil?

Mobile Device Management (MDM) installeres på mobile enheder, hvorefter man kan adminstrere indstillinger, herunder sikkerheds indstillinger centralt. Der findes mange forskellige MDM systemer. Microsoft Intune er et af dem.

Mere info om de nævnte sager:

Er Vulnerability Management kun om software opdateringer?

Vulnerability Management (sårbarhedsskanning) er ikke lig med Patch Management (sårbarhedsopdatering). Det er korrekt, at ofte vil udbedringen af en sårbarhed betyde, at der skal installeres en sikkerheds opdatering (Patch) for at lukke sikkerhedshullet. Men i flere tilfælde handler det også om at tilpasse konfigurationen.

Målet med at sikkerheds opdatere er, at lukke et sikkerhedshul. Mange sikkerhedshuller kræver, at der foretages en konfigurations ændring. Men for at udbedre Spectre/Meltdown sårbarheden, skal man både installere en patch og ændre i konfigurationen.

Kend dine enheder.

Asset Management (der findes ikke et godt dansk ord for det) giver dig et samlet overblik af dine enheder. Et Asset Management system bør indeholde alle enheder, hvad enten de er lokale PC’er, servere, netværk, Cloud baserede servere, applikationer eller services til mobile brugere. Så har du ET samlet overblik over din IT.

  • Hvad er det for hardware?
  • Hvilken software er installeret?
  • Hvilken version?

Er vi sårbare?

Det spørgsmål kan ikke besvares blot ved at kigge på sikkerheds opdateringer. Man skal også inkludere viden om konfigurationer. Så når man først har udrullet sikkerhedsopdateringen og udført konfigurations ændringen, bør man igen udføre en sårbarhedsskanning.

Er vores hjemmebrugere sårbare?

I forbindelse med COVID blev rigtig mange brugere til eksterne hjemmebrugere, der sjældent og måske aldrig besøgte kontoret. Det stiller helt nye krav til sårbarhedsskanning og sårbarhedsopdatering. Specielt fordi det kræver både installation af sikkerhedsopdaterringen og i mange tilfælde konfigurations ændringer.

Flere værktøjer.

Hvis man anvender forskellige værktøjer til sårbarhedsskanning, sikkerhedsopdatering, konfigurations overblik og Asset Management, betyder det at et samlet overblik er rigtig svært at få, og risikoen for at du mister overblik er stort.

Findes der en løsning?

Ja, Qualys, som jeg har samarbejdet med i mere end 20 år. De har efter min mening en løsning som kan give dig et samlet overblik, med mulighed for både:

  • Sårbarhedsskanning ( Vulnerability Management)
  • Sikkerhedsopdatering (Patch Management)
  • Konfigurations ændringer (Del af Patch management)
  • Asset Management

Der findes uden tvivl andre løsninger end Qualys. Det vigtigste er bare, at du nemt og effektivt kan besvare spørgsmålet ER VI SÅRBARE? Og hvis JA, gør noget ved det!

Mere info

Så kontakt mig på 4025 3921 eller [email protected]

Microsoft Authenticator Chrome Extension var falsk og snød mig.

Microsoft password manager

Siden december har Microsoft testet en ny password-manager feature i deres Authenticator app, der hedder på dansk hedder Autofyld 🤔.

Jeg har længe brugt denne app i forbindelse med min Microsoft Office 365 konto, og den gør 2-faktor login nemt. Jeg opdagede en ny fane i appen i starten af februar. Det nye er, at Authenticator nu tilbyder at gemme andre passwords, ikke bare O365. Denne ekstra funktionalitet er med til at sikre dine andre konti som en Password Manager.

Det skulle være emnet for mit nyhedsbrev, men jeg skal jo lige teste funktionaliteten. Microsoft siger, at den kan bruges på såvel Android og iOS, samt Edge og Chrome browsere.

Her blev jeg snydt!

På Google webstore, hvor man henter udvidelser til sin Google Chrome, søgte jeg efter Microsoft Authenticator, fandt den og tilføjede den til min Google Chrome.

Da jeg aktiverede den, bad den mig logge ind til min Office 365 konto.

Det gjorde jeg, men responsen efter login gjorde mig mistænksom.

Hvad skete der?

  • Den Chrome extension som ligger derinde, er IKKE fra Microsoft, selvom den udgiver sig for det.
  • Hvis man holder musen henover “Kontakt Udvikler”, kan man se, at den mail adresse er en Gmail.
Kontakt udvikler mail adressen er en Gmail.

Hvad er problemet?

Problemet er, at når man har installeret denne Chrome Extension, og skal logge ind for synkronisering af password via Mircrosoft Office 365, så afleverer man brugernavn og password til hackeren, så han får kontrol over din Microsoft Office 365 konto. Du kan selv forestille dig konsekvensen af dette. Ingen adgang til dine egne mails, en anden sender mails på dine vegne, har adgang til alle dine dokumenter etc.

Hvad var konsekvensen for mig?

  1. At jeg stoppede med at skrive omkring Microsoft Authenticator, og skrev denne artikel i stedet for.
  2. At jeg omgående udskiftede mit password på min konto
  3. At snyderen aldrig får fat i min konto, da jeg bruger 2-faktor godkendelse.

Hvad lærte jeg?

  1. Stol ikke blindt på Google Chrome udvidelser inden du installerer.
  2. Vær mistænksom når 1Password Manager pludselig ikke viser brugernavn og password, når du skal logge ind. Det gør den nemlig kun på det korrekte domain. I dette tilfælde skal det være Microsoft, som det så ikke var, -men derimod hackerens domain.
  3. Husk altid at checke hvem der står som udvikler, og klik på besøg udvikler, og kontakt udvikler, for at sikre at det virker rigtigt.

Hvad gjorde jeg udover ovenstående?

  1. Anmeldte udvidelsen som “snyd” til Google Chrome
  2. Skrev til den danske Direktør for Teknologi og Sikkerhed hos Microsoft Danmark, Ole Kjeldsen.

Google Chrome sikkerhedstjek

Google Chrome tilbyder nu at udføre et Chrome sikkerhedstjek, samt et tjek af om de passwords, du har gemt i Chrome, er kendt af hackerne. Apropos at gemme password i Chrome. Det fraråder jeg! Du bør i stedet bruge 1Password.

I Chrome gå til chrome://settings/ og lidt nede er “Sikkerhedstjek”.

Endelig e-conomic har fået 2-faktor

2-faktor setup i e-conomics

Siden 2004 har jeg brugt E-conomic regnskabsprogram, og de sidste 3-4 år har jeg fast sendt emails til dem om, hvornår de kunne tilbyde 2-faktor identificering ved login.

Visma Connect

Endelig har de frigivet 2-faktor identificering, så jeg som bruger kan sikre mig bedre.

Ens revisor, i mit tilfælde Info-revision, vil også kunne aktivere 2-faktor så de sikre mine og deres andre kunders data, til noget så vitalt som regnskabsdata, hvis de ikke allerede har gjort det.

Du kan læse mere om Visma Connect og husk nu at aktivere 2-faktor via guiden, når du har skiftet til den nye login metode.

PS: En lille ekstra fordel er også, at man nu ved indlogning kun skal angive brugernavn og password. Førhen var det aftalenr., brugernavn og password. Og aftalenr. har aldrig været gode venner med min Password Manager 1Password, så det problem er nu løst samtidig med en meget bedre sikkerhed.