Pentester advarer: Dette er den vanligste grunnen til dataangrep i dag

- Norkart-saken viser hvor stort meteorkrater et slikt angrep kan skape, skriver Nils F. Danielsen i Alv.

- Mangler på tilgangskontroll er noe av det viktigste vi ser etter når man utfører en sikkerhetstest, skriver Nils F. Danielsen i Alv. 📸: Alv
- Mangler på tilgangskontroll er noe av det viktigste vi ser etter når man utfører en sikkerhetstest, skriver Nils F. Danielsen i Alv. 📸: Alv Vis mer

De siste årene har mange bedrifter tilrettelagt for en hybrid arbeidshverdag, med mulighet for mer hjemmekontor.

Nye digitale løsninger endrer måten vi samarbeider på og gir nye muligheter for en mer fleksibel arbeidsdag. Samtidig skaper det ekstra utfordringer med tanke på informasjonssikkerhet. Nye digitale løsninger betyr nye tilganger for ansatte.

God tilgangskontroll er dermed ekstra viktig for å minimere angrepsflaten til ondsinnede hackere.

Hva vil det si at man har mangler på tilgangskontroll?

Tilgangskontroll beskriver i bunn og grunn hva som skal være tilgjengelig for hvem.

Mangelfull tilgangskontroll er når angripere kan se, utføre handlinger, endre eller slette informasjon som er utenfor de tiltenkte tillatelsene til en bruker i et IT-system eller en applikasjon.

Mangler i tilgangskontroll kan føre til sårbarheter som varierer både i hvor enkle de er å utnytte, og på hvor alvorlig konsekvens som følger om de blir utnyttet. Variasjonen av sårbarhetene, kommer av at selskaper gjerne konfigurerer tilgangskontrollen på sin egen måte.

La oss si at en nettside skal ha 20 typer brukere med forskjellige tilganger og rettighetsnivåer. Det er da opp til utviklerne og de driftsansvarlige at tilgangskontrollen mellom brukernivåene er på plass, og at for eksempel normale brukere ikke kan utføre handlinger eller hente ut informasjon ment for en administrator.

Husk at jo mer funksjonalitet og informasjon et system inneholder, jo større kan angrepsflaten for hackere til å utnytte mangler i tilgangskontrollen bli.

Hva verdsetter dere mest?

Som penetrasjonstester er det viktig å forstå risikobildet til kunden. Derfor spør jeg alltid kunden først om hva i systemet eller applikasjonen de verdsetter mest:

«Hva er det du frykter en hacker skal oppnå ved et dataangrep?».

I de fleste oppdragene jeg har hatt, har kunder uttrykket seg om bekymringer tilknyttet sårbarheter i tilgangskontrollen.

«Det hadde vært interessant om dere klarer å hente ut sensitiv kundedata som en vanlig bruker, eller uten å måtte logge inn». «Vi vil ikke at man skal klare å utføre handlinger på vegne av andre personer som bruker løsningen». Disse strofene er kjente for penetrasjonstestere som skal vurdere og kartlegge risiko tilknyttet sårbarheter i IT-systemer.

«Hva er det du frykter en hacker skal oppnå ved et dataangrep?»

På toppen av lista

Det viser seg at bekymringene for manglende tilgangskontroll fra utviklere og administratorer av IT-løsninger ikke kommer ut av det blå.

I 2021 kom det en ny, oppdatert liste av OWASP Top 10. Denne listen beskriver en konsensus blant sikkerhetsprofesjonelle, om hva som er de vanligste sårbarhetene man finner i webapplikasjoner.

I 2017, da den forrige versjonen av Top 10-listen ble lansert, var «mangler tilknyttet tilgangskontroll» på en femteplass på listen. Fire år senere, er denne kategorien helt på topp. Av rapporterte sårbarheter som lager grunnlaget for listen, er det ingen andre kategorier som har flere forekomster enn tilgangskontrollsmangler.

Hva når tilgangskontroll er ikke-eksisterende?

Man kan prate lenge om feil og miskonfigurasjoner som skaper sårbarheter i tilgangskontrollen i et system, men hva om tjenesten eller systemet ikke har tilgangskontroll i det hele tatt?

I mange sikkerhetshendelser er det nettopp dette som er rotårsaken.

For en stund tilbake ble Norkart utsatt for et dataangrep. Konsekvensen var at persondata til alle som eier eiendom i Norge ble lastet ned av ondsinnede aktører. Dette betyr at fødselsnummer, navn og adresse på trolig opp mot 3,3 millioner personer kan misbrukes til svindel eller videre angrep.

Årsaken til dette viste seg å være en feil i brannmuren, som ga angriperne uautorisert tilgang til Norges offisielle eiendomsregister. Denne hendelsen viser hvor stort meteorkrater et angrep kan skape om tilgangskontroll ikke er på plass.

En sikkerhetstest vil avdekke sårbarheter

Mangler på tilgangskontroll er noe av det viktigste vi ser etter når man utfører en sikkerhetstest, nettopp fordi sårbarhetene tilknyttet dette har blitt så vanlige, og konsekvensene kan være så alvorlige.

Slike sårbarheter trenger heller ikke være vanskelige å utnytte.

En sikkerhetstest vil være med å avdekke om et system har sårbarheter tilknyttet feil i tilgangskontrollen, og gi en oversikt over funksjonalitet og informasjon som potensielt er eksponert for angrep av ondsinnede aktører.