Í nútímaheimi eru tölvukerfi orðinn kjarni flestra fyrirtækja og því skiptir það máli að vernda tölvukerfin okkar, en oftar en ekki er hugsunarhátturinn þannig að uppsetningin sé búin að vera svona í mörg ár og af hverju þá að breyta?

Það er alveg ljóst að erfitt er að bæta öryggi við inn í hönnun kerfa eftir á, svona eins og að byggja hús án raflagna og ætla svo að koma þeim fyrir eftir á, það væri töluverð vinna en nauðsynlegt engu að síður í nútímaþjóðfélagi.

Því viljum við hjá Syndis koma með nokkrar hugmyndir að aðgerðum sem hægt væri að framkvæma til að lágmarka líkur á innbrotum í tölvukerfi.

Við þurfum hins vegar að átta okkur á að það er ekkert til sem heitir 100% öryggi og því þurfa varnir og áætlanir að gera ráð fyrir innbroti.

Höfum það líka í huga að innleiðing neðangreindra ráðstafana getur mögulega brotið virkni kerfa, en er engu að síður mikilvæg aðgerð til að auka öryggi og ætti að fara í gegnum prófanir með ráðstafanirnar áður en þær eru innleiddar að fullu.

Helstu kerfi sem fyrirtæki eru með Active Directory (AD) sem er eitt aðalgrunnkerfi fyrirtækja í dag og Entra ID sem er skýjaútgáfan af AD. Saman spila þessi kerfi saman og eru mörg fyrirtæki með bæði þessi kerfi og ætlum við að koma með nokkrar tillögur að úrbótum á þeim út frá upprunalegri uppsetningu kerfanna.

Lagskiptar aðgangsheimildir ættu að vera til staðar. Skipta ætti upp aðgangsheimildum þannig að notandi sé einungis með aðgang að því sem hann nauðsynlega þarf starfa sinna vegna. Einnig ætti að notast við fleiri en einn aðgang vegna víðtækra aðgangsheimilda, sem dæmi að kerfisstjóri ætti að hafa aðganga með mismunandi aðgangsheimildir og takmarka notkun á þeim notendum með víðtækustu aðgangsheimildirnar.

Tvíþátta auðkenning ætti að vera virk á öllum notendum í umhverfinu til að lágmarka líkurnar á að stolið lykilorð opni aðganga inn í tölvukerfi.

Sólarhringsvöktun á tölvukerfum er mikilvæg þar sem mikill hluti öryggisatvika á sér stað utan hefðbundins skrifstofutíma ásamt því sem vöktun veitir mun nánari innsýn inn í hegðun tölvukerfa.

Fræðsla starfsmanna og verktaka skiptir sköpum þar sem stór hluti tölvuárása beinist gegn starfsmönnum beint, hvort sem það eru veiðipóstar eða aðrar leiðir sem árásaraðilar reyna að nýta sér til að plata starfsmenn í að framkvæma eitthvað sem er óeðlilegt.

Protected Users hópurinn ætti að vera í notkun fyrir notendur með kerfisstjóraréttindi. Hópurinn gerir það að verkum að sterkari dulkóðun á lykilorðum meðlima hópsins er notuð, tryggt er að auðkenni séu ekki vistuð á tölvum þannig að ekki er hægt að stela þeim af tölvum og ekki er hægt að auðkenna notendur í hópnum með úreltum auðkenningaraðferðum.

Uppfærslur þarf að keyra reglulega þar sem óuppfærður búnaður í AD umhverfi getur einfaldað árásaraðilum að taka yfir tölvukerfið í heild sinni. Einnig þarf að yfirfara stillingar í kerfinu og óvirkja óöruggar stillingar sem ekki eru sérstaklega óvirkjaðar við hefðbundnar uppfærslur þó að búið sé að koma með uppfærða og öruggari staðla. Dæmi um slíkar stillingar eru t.d. notkun á SSLv3, TLS1.0, TLS1.1, LM, NTLM og úreltum dulkóðunum á lykilorðum.

Skilríkjaþjónar eru oftar en ekki skotmark árásaraðila vegna óöruggra stillinga t.d. að hver sem er geti sótt um skilríki sem hægt er að nota til auðkenningar í nafni annarra notenda t.d. kerfisstjóra. Yfirfara ætti svokölluð Certificate Templates og kanna hvort þau séu veik fyrir svokölluðum ESC1 til ESC15 veikleikum.

Kerfisstjóranotendur í M365 eiga einungis að vera stofnaðir í M365, en ekki samstilltir frá AD umhverfinu til að lágmarka líkurnar á tjóni ef til þess kæmi að kerfisstjóranotandi myndi komast í hendur árásaraðila.

Ruslpóstsíur í M365 ætti að stilla þannig að ekki sé hægt að þykjast vera starfsmenn eða fyrirtækið t.d. með að breyta nafni sendanda í póstinum ásamt því sem herða ætti síurnar til að takmarka líkurnar á að ruslpóstur berist inn í umhverfið. Einnig ætti að virkja þar til gerðan takka í Outlook sem leyfir notendum að tilkynna ruslpósta sem komast í gengum síurnar.

Intune er kerfi í M365 sem notað er til að stjórna útstöðvum þannig að hægt sé að stilla varnir, þar á meðal vírusvörn, eldveggi og dulkóðun á einn miðlægan hátt og fylgjast með stöðu tækjanna í framhald. Fara ætti yfir stillingarnar á vírusvörninni, eldveggjum og dulkóðun ásamt því að skoða ætti svokallaðar ASR reglur ( Attack Surface Reduction) sem hjálpa við að loka á spilliforrit og árásaraðila. Hinsvegar þarf að hafa í huga að prófa stillingarnar þar áður en þær eru innleiddar að fullu til að koma í veg fyrir vandamál.

Ef til þess kemur að atvik komi upp þá þarf að tryggja að atburðaskráningar séu til staðar og að atburðaskráningar innihaldi lykilatburði ásamt því að stærð atburðaskráninga sé nægjanleg þannig að hægt sé að skoða atburði eitthvað aftur í tímann.

Atburðaskráningar í Active Directory þarf að stilla sérstaklega til að þeir atburðir sem gerast í AD séu í raun skráðir niður í atburðaskráninguna og einnig þarf að stilla atburðaskráninguna þannig að hún sé stærri. Upphafleg stilling er að atburðaskráning byrji að yfirskrifa sig þegar hámarksstærð er náð og er það 20MB í Windows stýrikerfum. Sú stilling gerir það að verkum að atburðaskráning öryggis nær oftar en ekki einungis nokkra klukkutíma eða daga aftur í tímann en slíkt gerir rannsókn á atvikum mjög erfiða.

Lagt er til að atburðaskráningar séu stækkaðar í amk 2GB fyrir atburðaskráningu öryggis “Security”  og 1GB fyrir “Application” og “System” ásamt því sem farið verði yfir stillingar atburðaskráninga og virkjað eftir þörfum.