- Det er slutt på gutteromsstrekene. Det er kriminelle nasjonsstater, hacktivister og innsidere som er de store truslene, sier Ole Tom Seierstad, Nasjonal sikkerhetsdirektør i Microsoft Norge, til kode24.
Cyber Signals, en ny kvartalsvis sikkerhetsbrief fra Microsoft, setter søkelyset på trusler mot vår "digitale identitet". Særlig gjelder dette epost-adresser og de "forskjellige passordene vi bruker til å få tilgang til apper og tjenester på nettet".
Det er særlig cyberangrep utført av statlige aktører som bekymrer Microsoft, som trekker fram at antallet angrep vokser.
"Men til tross for de statlige aktørenes store ressurser, bruker de ofte enkle taktikker for å stjele passord som er enkle å gjette. Ved å gjøre dette, kan de få rask og enkel tilgang til kundekontoer", skriver Microsoft i rapporten.
- Open source var ikke problemet med Log4Shell
Stanser milliarder av forsøk
Microsoft trekker fram tre hovedpunkter i rapporten. Alle funnene er fra perioden januar til desember 2021:
- Microsoft Defender for Endpoint blokkerte mer enn 9,6 milliarder malware-trusler mot virksomheter og enheter eid av forbrukere.
- Microsoft Defender for Office 365 blokkerte mer enn 35,7 milliarder phishing- og andre ondsinnede e-poster sendt til forbrukere og virksomheter.
- Microsoft Azure Active Directory oppdaget og blokkerte mer enn 25,6 milliarder forsøk på å kapre kunders kontoer ved å brute force stjålne passord.
Utvikleren Magnus redda Amedia etter hackingen
Er for dyrt
Statlige aktører bruker en rekke taktikker for å stjele eller gjette passord. Blant dem er såkalt spear-phishing, sosial manipulering og storskala password sprays de vanligste, ifølge Microsoft.
Password sprays er en type brute force-angrep, ofte automatisert, som baserer seg på en liste over brukernavn og vanlige passord på applikasjonen.
Ifølge Seierstad er brute force-hacking ofte dyrt og komplisert. Derfor benytter cyberkriminelle seg ofte av enkleste vei inn: Phishing og identitetsangrep rettet mot brukerne.
- Så fort man kommer seg innenfor vil man ha tilgang til krypteringssertifikater og kan derfra dekryptere. I tillegg går det raskt å lage en administratorrolle. Dette kommer til å fortsette som følge av at det er billig og enkelt, sier Seierstad.
Bruk Zero trust-strategien
Seierstad anbefaler å implementere en zero trust-strategi for å møte truslene. Det er en såkalt "nulltillitsmodell" der man antar at det blir gjort innbrudd og fokuserer på å beskytte alle ledd. Fra klienten, brukeridentiteten, applikasjonen, til nettverket.
- I Microsoft bruker vi ikke passord lenger. I stedet er det en verifiserings-chip i PC-en i tillegg til tofaktor-autentisering for å logge på. Datamaskinen tvinger deg også til å oppdatere før man får tilgang til ressursene på maskinen, sier Seierstad.
I tillegg har selskapet også maskinlæring i skyen med Conditional Access. Dette systemet sjekker om alle parameterene virksomheten har satt opp faktisk følges av brukeren. Det kan sjekke om brukernavn eller passord er ute i det fri eller komprimert. Programmet varsler også dersom noen beveger seg mellom lokasjoner på en måte som er fysisk umulig.
- Dersom jeg logger på i Oslo og 15 minutter seinere i Trondheim, blir det registrert som unormal aktivitet og blir stoppet. Da går det en alarm, både hos meg som bruker og sikkerhetsavdelingen, sier Seierstad.
Hacker-knepene du bør vite om i 2022: SQL injection, XXE, XXS og SSRF
Sikkerhet hjemme
- Hva kan man gjøre for å sikre hjemmekontoret?
- Det er viktig å sørge for at ruteren er oppdatert. Ikke bruk samme brukernavn og passord på jobbdataen som ellers. Det er heller ingen grunn til ikke å bruke tofaktor-autentisering hjemme.
Seierstad legger til at dersom du på jobb forholder deg til én maskin, vil systemene registrere hvor det er normalt at du logger deg på.
- Heller ikke del maskinen med familien. Behold jobb-datamaskinen som jobb-datamaskinen.