Angrepene som vi nå ser, er svært omfangsrike der hackere nyttiggjør bakdører for å komme seg inn på systemet, der de krypterer all informasjon, og sletter alle backuper fra backupløsningen. Man vet at aktøren bak angrepet forsøker å komme seg inn i nettverket gjennom blant annet «brute force»-angrep mot internetteksponerte tjenester og brukere (RDP / Exchange), og ved å utnytte et sikkerhetshull i TeamViewer.
Hvordan kan man sikre seg?
For å være best mulig rustet til å motstå slike angrep anbefaler vi følgende tiltak:
Generelt
- Alltid benytt to-faktorautentisering der mulig
- Installer sikkerhetsoppdateringer på hw og sw så raskt som mulig
- Ikke tildel sluttbrukere administrator rettigheter. Evaluer behov for egne administrator kontoer kun til internt bruk
- Vurder om det er på tide å bytte passord på administrator kontoer
- Blokker kjøring av ikke-autorisert programvare
Backup
- Ha kontroll på at backup kjører ofte nok (hvor mye data har du råd å tape?), og vurder mulighet for lagring av backup offline utenfor løsningen
Brannmur / nettstruktur
- Skaff oversikt og evaluer hvilke tjenester som er internetteksponert, deriblant åpne RDP tjenester og andre fjernaksessløsninger.
- Blokker trafikk mot TOR-nettverket dersom dette ikke er strengt nødvendig.
- Vurder geofiltrering/-blokkering av trafikk fra land man normalt ikke har trafikk til/fra.
- Vurder behov for sikkerhetssoner internt – og har du slike, så overvåkning av trafikk mellom sikkerhetssoner
Monitorering
- Overvåk all aktivitet på administrator kontoer, samt hvem som har tilgang til disse.
- Ha tilstrekkelig logging på tjenester og evt mellom sikkerhetssoner, og ta vare på disse loggene lenge nok, minimum 6 måneder.
Hvordan øke sikkerheten i TeamViewer
Flere steder snakkes det om et sikkerhetshull i TeamViewer, et produkt som mange bruker for å koble seg på eksterne servere. Hvis du benytter TeamViewer, så bør følgende tiltak gjøres umiddelbart:
- Sørg for at to-faktor autentisering er aktivert på din TeamViewer konto
- Alle lagrede TeamViewer ID’er / objekter fjernes fra kontoen slik at man ikke automatisk kan logge på annen maskin uten å skrive inn brukernavn / passord