BI-professor Petter Gottschalk slakter Microsoft og leverandørbransjen etter forsøkene på hackerangrep mot norske mål, som har fått mye medieomtale den siste tiden.
Microsoft Norge svarer ikke direkte på kritikken, men peker i stedet på en mengde anbefalinger, tiltak, teknologi og muligheter for å styrke sikkerheten.
De har teknologien som trengs på plass. Utfordringen er hva kundene velger å ta i bruk, ifølge selskapet.
– Det må være flaut for Microsoft
Gottschalk, som er norsk professor i IT-strategi ved Handelshøyskolen BI, er ikke nådig.
– Jeg synes det er helt utrolig at IT-bransjen ikke har løst tilgangsproblemene knyttet til vedlegg. Ved å åpne vedlegg i epost ønskes alle uvedkommende hjertelig velkommen inn i organisasjoners datasystemer.
Hackerangrep mot norske mål
PST, UD, Forsvaret og Arbeiderpartiet er forsøkt hacket av APT29, også kalt Cozy Bear. PST knytter denne trusselaktøren til russiske myndigheter.
Det har ikke kommet opplysninger om angriperne lykkes. Det var TV 2 som første meldte at Aps stortingsgruppe og en håndfull andre mål var blitt utsatt for et fiendtlig hackerangrep via epost.
Epost med trojanske vedlegg eller lenke til skadevare er en utbredt metode. APT29 bruker en teknikk kalt spearphishing, der utvalgte mål først blir kartlagt. Så blir ofrene forsøkt lurt til å åpne ondsinnet programvare i meldinger som er spesielt utformet for å fremstå som ekte.
Samme gruppering har tidligere angrepet flere andre vestlige mål, blant annet Pentagon og Demokratene under valgkampen i USA.
– Det må være flaut for Microsoft ikke å ha løst dette i Outlook, skriver Gottschalk til digi.no.
Krever at leverandørene tar ansvar
– PST gikk ut med advarsel om at mange var forsøkt hacket. Statsministeren har sagt at alle må tenke seg om før de åpner vedlegg. Nei, det både PST og statsministeren burde ha sagt er at dette problemet må Microsoft og andre leverandører av epostsystem fikse snarest, fastslår professoren.
Hos Microsoft tar man utspillet fra Gottschalk med fatning. Endringene i trusselbilde og stadig mer avanserte angrepsmetoder setter større krav til alle virksomheter om å beskytte informasjon, ansatte og IT-systemer, slik de ser det.
Nettsky, maskinlæring og samarbeid
Fremfor å gå i rette med BI-professoren mener sikkerhetsjef Ole Tom Seierstad i Microsoft Norge at det er mer hensiktsmessig å belyse hvilke muligheter som finnes for å sikre seg best mulig.
Generelle sikkerhetsråd fra Microsoft
- Hold dine systemer oppdatert – det gjelder operativsystem, sikkerhetsprodukter og applikasjoner.
- Ta i bruk det du allerede har, både på klienten, servere og i form av tjenester i skyen – det handler ofte om å sette de rette innstillingene, skru på funksjoner og utvikle gode interne prosesser.
- Brukeropplæring og fokus på endret trusselbilde i organisasjonen – det er ikke bare IT som må forholde seg til trusselbildet.
- Ikke kjør som lokal administrator om det ikke er helt spesielle behov – aktiver to-faktor autentisering.
Her er cloud-tjenester helt avgjørende, slik han ser det, blant annet på grunn av mengdene med data som må analyseres.
Han peker dessuten på behovet for samarbeid, både internt i Microsoft mellom ulike grupper, men også det han kaller et utstrakt bransjesamarbeid.
– Vi ser at det endrede trusselbilde vil endre måten vi utvikler programvare og tjenester på – og ser at «sikkerhet som en tjeneste» i våre datasentere vil være sentralt fremover. Utstrakt bruk av maskinlæring og analyse hvor vi ser på oppførsel av kode som en sentral faktor er viktig, og dette gjenspeiler seg i de produkter og tjenester vi leverer i dag, sier Seierstad.
– Lett å stoppe alle vedlegg
Flere tiltak Microsoft anbefaler kundene å ta i bruk
Windows 10 Credential Guard – vern av påloggingsinfo for å hindre at uvedkommende ikke tilgang til brukernavn/passord/hash.
AppLocker og/eller Device Guard gir virksomheter full kontroll over hva som får lov til å kjøre på deres maskiner.
Windows Defender Application Guard (kommer i Windows 10 Creator Update) vil kjøre eksterne nettsider i mikro-virtualisering for å hindre at eventuell ondsinnet kode kan infisere maskinen.
Herding av virksomhetens Active Directory. Hvis noen får tilgang til en brukers identitet, nektes de full adgang til resten av virksomheten.
Windows Defender ATP – teknologi som beskytter mot ondsinnet programvare, nulldagssårbarheter og bruker maskinlæring i nettskyen for å analysere oppførsel til kjørbare filer.
SmartScreen-filter i IE/Edge – stopper kjente ondsinnede websider og programvare som forsøker å lure brukere.
Enhanced Mitigation Experience Toolkit for å beskytte mot ondsinnet programvare på tidligere versjoner av Windows (også støttet i Windows 10).
Microsoft Advanced Threat Analytics (ATA)– bruker maskinlæring for å analysere unormal oppførsel i kundens nettverk. Blant annet pålogginganalyse.
Det er ingen stor sak å stanse alle vedlegg, noen vedlegg eller alternativt å sette mottatte filer i karantene. Like enkelt er det å fullstendig blokkere webkoblinger i epost, opplyser han og viser til oppskrift for slik konfigurasjon med Exchange, som er selskapets serverprogramvare for epost. Dette er noe IT-avdelingen må sette opp.
Klientprogrammet Outlook blokkerer dessuten mange titalls typer filvedlegg som standard.
Når det er sagt er det i ytterst få virksomheters interesse å blokkere for mottak av samtlige filer. Det finnes heller ikke noen snarvei eller enkelttiltak som alene sikrer noe IT-system mot inntrengning.
Snarere er det summen av en lang rekke råd, tiltak, produkter og tjenester, ikke minst tilpassing av disse, opplæring og årvåkenhet som eksperter på datasikkerhet pleier å fremheve.
90 prosent sikring
Noen er enklere å innføre enn andre. Ifølge Nasjonal sikkerhetsmyndighet (NSM) kan fire tiltak stoppe opp mot 90 prosent av alle dataangrep.
I Microsofts produktunivers er flere sikkerhetsmekanismer og funksjonalitet forbeholdt enterprise-utgaver av programvaren, eller det er tilvalg man kan kjøpe som tjenester. Andre funksjoner må igjen aktiveres eller konfigureres av kunden.
– Vi har i dag flere teknologier som vil forhindre slike situasjoner hvor kunden blir angrepet via spearphishing og ondsinnet kode via epost. Noen av disse teknologiene finnes i vår skyløsninger eller de kan tas i bruk på egne tjenere, sier Seierstad.
digi.no kommer tilbake med en større sak der vi går nærmere inn på tiltak og funksjonalitet som flere sentrale aktører fra leverandørbransjen, ikke bare Microsoft, mener er nødvendige.
