Visste du att det tar i snitt hela 146 dagar att upptäcka en nätverksattack? Och att 1 av 5 små och medelstora företag drabbas av nätverksattacker? För att skapa ett bättre proaktivt skydd är mer ordning i Active Directory och en behörighetsstruktur enligt ”Least Privilege-principen” två nycklar till framgång.
Med en allt mer komplex IT-miljö bestående av både centrala serverenheter, egna system och molntjänster ökar behovet av att ha kontroll på säkerheten. Trots det saknar många företag idag ett bra proaktivt skydd när det gäller centrala och verksamhetskritiska delar som Active Directory, domän- och serverenheter. Risken för intrång eskalerar i och med den digitala transformationen och hoten består av en rad olika typer av attacker. Många är lösenordsattacker där målet är att söka reda på ingångar via administratörslogin. Det kan till exempel handla om att testa de vanligaste användarlösenorden inom IT.
En annan mer avancerad attackteknik är brute force, som skannar av en stor mängd möjliga teckenkombinationer och längder på lösenord för att lyckas med ett dataintrång. ”Pass-the-hash attacker” har i sin tur siktet inställt på att via en specifik dator komma åt nyckeln till administratörsrättigheterna och därigenom ”ta kontroll” över nätverket. Oavsett vilken form av attack det handlar om, så kan vi vara säkra på att de som ligger bakom attackerna alltid är minst ett steg före, ofta flera.
Vad kan ett företag då egentligen göra för att skydda sig mot de säkerhetshot, illvilliga program, kodknäckartekniker och hackare som jobbar i det dolda för att ta sig in i hjärtat av ditt företags IT-miljö?
En klassisk vanföreställning – ”det händer inte oss!”
Derek Melber är Microsoft MVP och Technical Evangelist hos ManageEngine och ägnar sedan ett antal år tillbaka det mesta av sin tid att resa runt i världen och berätta om hur företagen kan öka säkerheten och samtidigt bli bättre på att utnyttja möjligheterna i Active Directory.
– Det finns mycket företag kan göra för att med ganska små medel förbättra sin IT-säkerhet avsevärt. Då handlar det inte om att spendera dyra pengar på olika verktyg utan först och främst se över den grundläggande säkerheten och rutinerna kring lösenordshantering på IT-avdelningen, menar Derek Melber.
Att begränsa rättigheterna för enskilda användare minskar sårbarheten för organisationen avsevärt.
Derek Melber, Microsoft MVP
Att säkerhetsriskerna i de flesta företag ändå fortfarande är så höga, beror enligt Derek många gånger på en klassisk vanföreställning: ”Det är inget problem för oss, vi har ju inte blivit attackerade!” Denna inställning grundar sig ofta i en brist på kunskap, pengar eller ren ovetskap om de faktiska riskerna. Men dataintrång är idag ett i högsta grad verkligt och allvarligt hot för organisationer över hela världen.
En vanlig missriktning är också att företag fokuserar på multipla virusskydd och brandväggar för att skydda sig mot externa hot, utan att först ha full kontroll på den interna säkerhetsstrukturen. Genom att rikta mer fokus mot administratörsrättigheterna kan företag skapa ett bättre proaktivt skydd och därigenom begränsa effekterna av dataintrång.
Starkare proaktivt skydd med rätt behörighet
Att begränsa rättigheterna för enskilda användare minskar sårbarheten för organisationen avsevärt. En allt mer spretig IT-miljö bestående av egna system och servrar, molntjänster, applikationer och både interna och externa användare påverkar övervakningen av Active Directory. Ett ”ostädat” AD utgör en stor säkerhetsrisk på många företag, men med ett proaktivt skydd i form av bättre planering och kontroll av vem som gör vad går det att skapa en mycket säkrare IT-miljö.
– För att nå dit måste du börja från grunden och förenkla. Städa upp bland administratörsrättigheterna, strukturera och ta reda på vad som är enskilda behörigheter och prioritera enligt principen ”Least Privileged”. De mest säkra IT-miljöerna idag följer Least Privilege-principen. Faktum är att du genom att sätta rätt begränsningar i adminrättigheterna kan minska sårbarheten med uppemot 90 procent, menar Derek Melber.
Least Privileged bygger på att användare enbart ska ha priviligierad åtkomst till den information och de IT-resurser som krävs för att kunna utföra en specifik åtgärd för en viss avgränsad nivå, som en process, en användare, en modul eller ett program. Denna åtkomst styrs vanligtvis via behörigheter. För att få en realistisk bild av vad Least Privileged-principen innebär på just ditt företag behöver du först skapa en bättre förståelse för hur rättigheter beviljas:
- Vilka behörigheter gäller för vilka grupper?
- Hur definieras administratörsbehörigheter utifrån vissa roller och förutsättningar eller arbetsuppgifter?
- Hur ges behörighet till enskilda filer, kataloger, applikationer etc?
- Och vad bestämmer vem som får göra vad?
Därutöver behöver även delegeringsrättigheter definieras. När kartan är ritad behöver säkerheten upprätthållas med rutiner och system för hur rättigheter löpande kontrolleras utifrån dessa olika nivåer.
– Med ADManager Plus vill vi göra det enklare för IT att skapa en bättre kontroll och löpande uppföljning av sitt Active Directory. På ManageEngine har vi fokuserat på att fylla de gap vi upplever finns i Microsofts program. Med hjälp av rapportering och analys, monitorering och tydliga varningssignaler vill vi hjälpa organisationen att härda sina system och på så sätt stärka upp sin IT-säkerhet, avslutar Derek Melber.
Denna artikel är hämtad ur vår kundtidning Inuit forum som du kan ladda ner här.
