Nasjonalt cybersikkerhetssenter (NCSC) og NSM sender i dag ut et varsel til utvalgte virksomheter hvor det opplyses om faren for vellykkede angrep rettet mot kritisk infrastruktur. Vurderingen er gjort på bakgrunn av trussel- og sårbarhetsbildet.
I varselet, som Digi.no har mottatt, kommer NCSC med råd om hvordan Microsoft Exchange og Office 365 bedre kan sikres mot slike angrep.
Fraråder ActiveSync
NCSC har den siste tiden observert påloggingsforsøk mot norske virksomheters Exchange-servere. Flere av forsøkene har blitt gjort mot tjenester som ikke bruker multifaktorautentisering (MFA), som ActiveSync. ActiveSync brukes for at mobile enheter kan få tilgang til e-post via hvilken som helst applikasjon.
NCSC har derfor i samarbeid med Microsoft laget råd om hvordan virksomheter kan sikre Exchange og Office 365.
Rådene er som følger:
- Krev multifaktorautentisering for autentisering.
- Lås hvilke applikasjoner som er tillatt og blokkér klienter som ikke støtter moderne autentisering. Støttes ikke moderne autentisering, støttes heller ikke MFA.
- Skru av legacy autentiseringsmekanismer: Legacy autentiseringsmekanismer støtter ikke MFA og vil dermed utgjøre en bakdør i et ellers godt etablert MFA-miljø.
- Standardiser på én mailapplikasjon, som støtter multifaktorautentisering.
Exchange ActiveSync: Det anbefales å ikke lenger bruke ActiveSync. ActiveSync betraktes som en legacy-protokoll som blant annet ikke støtter moderne autentisering og MFA. Å bruke ActiveSync eller å ha denne protokollen som en mulighet i løsningen, vil dermed innebære en bakdør og en vei rundt MFA-kravene.
Native mail-applikasjoner: En native mail-app er ikke nødvendigvis en sikker mailklient. For eksempel støtter ikke eldre versjoner av iOS Apple mailapp moderne autentisering og MFA. Android tilbyr ikke en native mailapp, og det er dermed opp til hver enkelt hvilken applikasjon som benyttes.
For å sikre at alle benytter en sikker mailapp som støtter moderne autentisering og MFA, bør det standardiseres på en sikker mailapp på tvers av iOS og Android. Ett eksempel er Microsoft Outlook for mobile enheter.
For ytterligere informasjon, retningslinjer og tiltak, se NSMs grunnprinsipper for IKT-sikkerhet knyttet til e-postsikkerhet, punkt 1.2.2 og 2.8.3 [1].
Referanser:
[1]: https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet-2-0/introduksjon-1/
[2]: https://nsm.no/aktuelt/flere-norske-virksomheter-rammet-av-datainnbrudd
Referanser fra Microsoft:
https://docs.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/disable-basic-authentication-in-exchange-online
Vi ruster opp det digitale brannvesenet – det er ikke glemt
