Phishing • Artikel
29 mars, 2021
6 sätt att skydda sig mot phishing-attacker
Phishing är en attackmetod som har blivit omåttligt populär bland cyberkriminella. Den enkla anledningen till det, är att den fungerar. Inte varje gång, men i tillräckligt stor utsträckning för att det ska vara lönsamt. Syftena kan vara flera och ambitionsnivån kan variera, men oftast handlar det om att lura offret att lämna ut känslig information eller att smyga in en fot inom organisationens IT-miljö.
Många är de leverantörer som påstår sig ha enkel lösning, men det är inte så enkelt att avvärja hotet. Istället handlar det om att kombinera utbildning med en rad tekniska åtgärder för att minimera risken för att drabbas. I den här artikeln tar vi upp 6 sätt som kraftigt höjer er motståndskraft mot phishing-attacker.
1. Utbilda användarna och etablera rutiner
Phishing är en form av social engineering som går ut på att utnyttja människan som den svagaste länken. Genom att sätta in utbildningsinsatser för att öka den generella medvetenheten och kunskapen om phishing bland företagets anställda kan många attacker därmed motas i grind.
Se till att alla är bekanta med fenomenet phishing, lär anställda hur de identifierar misstänkta mail samt hur de ska agera om de har blivit utsatta. Du behöver med andra ord även etablera och upprätthålla rutiner för phishing. Om en medarbetare misstänker att den fallit offer för en attack och larmar snabbt kan det vara direkt avgörande för att hindra attackens spridning.
2. Testa motståndskraften kontinuerligt
För att mäta motståndskraften och härda sina användare kan man låta sin organisation utsättas för så kallade phishing-tester. Ett phishing-test innebär att man under kontrollerade former utformar och genomför en eller flera skräddarsydda phishing-kampanjer. Om en anställd klickar på en länk skickas den vidare till en utbildningssida med information om vad som har gått fel och hur man undviker att begå samma misstag igen.
Genom att utföra phishing-tester kontinuerligt kan man skaffa sig en bra uppfattning om utgångsläget och få en rad olika KPI:er och mätvärden att arbeta efter. I de fall där testerna utförs regelbundet kan man vanligtvis mäta en förbättring, i synnerhet om det kombineras med utbildning.
3. Sätt upp mailfilter och identifiera mailspoofing
För att minimera risken att anställda får phishing-mail i sin inkorg finns det en rad förebyggande åtgärder man som organisation kan sätta in. Först och främst gäller det att sätta upp filter gällande inkommande mail, det kan röra att mail med bifogade filer av en viss typ inte tillåts. Med vissa verktyg går det även att få sandbox-funktionalitet där filer analyseras innan de skickas vidare till den anställdes inkorg.
Det finns även tekniker som förebygger mailspoofing genom att autentisera inkommande mail. Det gör att mail som kommer från en “förfalskad” e-postadress flaggas och inte kommer nå den anställde.
En organisation kan också välja att blockera åtkomsten till webbsidor som har flaggats för att sprida skadlig kod. På så vis går det att minska risken för att anställda leds till smutsiga webbplatser och utsätts för drive-by-attacks.
4. Härda klienterna och använd klientskydd
För att säkerställa att skadlig kod inte får fotfäste inom organisationen är det högst rekommenderat att härda klienterna. Det innebär att de anställda har en anpassad klient utefter sina behov. Lägg extra energi på att sätta upp en säker konfiguration, där användandet av externa tjänster och mjukvara minimeras. Går det även att nå konsensus kring gemensamma plattformar, exempelvis Windows, så underlättar det också för att bedriva ett effektivt säkerhetsarbete.
De flesta organisationer har något form av klientskydd, oavsett om det är ett äldre signaturbaserat antivirus eller om det modernare malware-skydd som analyserar en rad indikationer. Dessvärre är det få som känner till vilken kapacitet skyddet har, eller huruvida det utnyttjas till fullo. Ta reda på vad ni har för skydd samt sett det i relation till vad som finns på marknaden. Ett klientskydd kan vara avgörande för att stoppa attacker, i synnerhet om det finns någon som tittar och hanterar larmen i realtid.
När du har säkerställt att ni har ett fungerande klientskydd behöver ni säkerställa att uppdateringar sker automatiskt så ni ständigt har högsta möjliga kapacitet. En organisation kan inte vara beroende av att en enskild anställd uppdaterar sitt skydd utan det måste ske centralt och i realtid för att det ska fylla sin funktion.
5. Prioritera patch management
Många organisationer trillar i fallgropen där antalet enheter och system växer, utan att det finns väl fungerande patch management på plats. Varje applikation, operativsystem och verktyg som används öppnar upp risken för sårbarheter. Om inte dessa sårbarheter täpps igen kontinuerligt finns det goda möjligheter för en angripare att utnyttja dessa vid en attack.
I tidigare phishing-attacker har angripare ofta utnyttjat säkerhetshål i exempelvis Adobe-sviten och Microsoft Offices hantering av makros. Det gör att det kan räcka med att en anställd öppnar en pdf- eller excel-fil för att en klient kan infekteras, och att den sedan kan utnyttjas för vidare eskalering inom organisationen.
Patch management är ett ständigt huvudbry för många organisationer eftersom det är svårt att hantera uppdateringar till så många olika klienter, servrar, programvaror etc. Det innebär att det är bra att ha ett verktyg som exempelvis kan identifiera vilken mjukvara som finns på organisationens klienter och servrar.
Ofta går det helt enkelt inte att lägga på alla uppdateringar, men kan säkerhetspatcharna prioriteras är mycket vunnet, eftersom kända säkerhetsbrister då täpps till. Behöver man prioritera ytterligare bör fokus ligga på att patcha webbläsare, plugins, Office-sviten, Adobe-sviten och mailklienter.
6. Arbeta i enlighet med least privilege-principen
Genom att minimera antalet användare som har administratörsrättigheter kan man inte bara minska risken för en attacken får fäste, det går också att minska effekten av densamma. Om en användare får sin dator infekterad men endast har enkla användarrättigheter utan tillgång till diskar med känsligt material, så behöver inte effekten av det lyckade dataintrånget bli så omfattande.
Därför är det bättre om organisationer arbetar efter en least privilege-princip, där man ska ha så få rättigheter som möjligt. Istället kan tillfälliga administratörer göra installationer av program eller liknande när så krävs.
Genom att dessutom se till att inga användare har adminstratörsrättigheter, utan att de används vid behov av en säkerhetsmedveten person som tvingas autentisera sig med hjälp av multifaktorsautentisering, så går det att minska risken för väldigt allvarliga attacker där någon får kontroll över hela AD:et eller nätverket.
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel