10 säkerhetsåtgärder för att öka motståndskraften i din IT-miljö

Topp 10 viktigaste IT-säkerhetsåtgärderna för din IT-miljö

1.      Uppdatera alltid så snart som möjligt

Installera alltid kritiska uppdateringar och säkerhetskorrigeringar från leverantörer så snart de blir tillgängliga. Detta gäller operativsystem, applikationer, appliances och all annan hårdvara och mjukvara.

I de fall man avviker från denna princip (när det finns en specifik anledning att inte installera uppdateringar) måste dessa avvikelser isoleras. Dessutom bör orsakerna till avvikelserna dokumenteras och utvärderas regelbundet. Du bör sträva efter att avvikelser i denna aspekt inte existerar. Så i de fall avvikelser förekommer –planera för att fasa ut det avvikande systemet.

Övervaka kontinuerligt att alla system får uppdateringar och att dessa installeras korrekt. Ställ in övervakning för att upptäcka anomalier i er systemmiljö.

2.      Begränsa antal användare med priviligierad åtkomst

Begränsa antalet konton med privilegierad åtkomst. Huvudregeln bör vara att ingen ska ha tillgång till mer information än vad som krävs för att hen ska kunna utföra sina arbetsuppgifter.

I Windows-miljöer kan du begränsa användningen av domänadministratörsbehörigheter genom att använda GPO:er för att blockera och tillåta åtkomst till resurser. Skapa sedan separata, personliga, konton som administratören kan använda för sitt dagliga arbete.

Bevilja åtkomst baserat på minsta privilegium och behov av att veta. Ingen ska ha högre privilegier än nödvändigt för en specifik uppgift. Detta gäller inte bara Active Directory, utan alla katalogtjänster eller åtkomstplattformar.

3.      Inför centraliserad loggning

Aggregera loggar till en central plats för lagring och analys. Genom att centralisera loggar ifrån olika system och applikationer underlättar du övervakning av händelser och det blir lättare att upptäcka avvikelser och hot. Se till att logga både från system och nätverkstrafiken. Detta ger dig synlighet och möjlighet att undersöka eventuella brott. På det här sättet kan du även bygga trafikflödesbaslinjer från vilka du kan övervaka avvikelser och upptäcka anomalier (t.ex. dataexfiltrering).

Gör följande:

• Centralisera säkerhet- och revisionsloggar från alla dina servrar. Börja med domänkontrollanter och viktiga system, gå sedan vidare med alla servrar.
• Ställ in övervakning och larm för händelser som höjning av privilegier. Gör detta både för centrala kataloger och lokala grupper på servrar.
• Centralisera inloggningen på alla nätverksenheter. Börja med brandväggar och andra centrala nätverkskomponenter och fortsätt sedan med alla switchar, AP:er och andra enheter (även t.ex. skrivare) i miljön.
• Centralisera säkerhet och revisionsloggning från alla klienter.

4.      Använd inte delade konton

Delade konton begränsar dina möjligheter att undersöka och felsöka avsevärt. När man delar lösenord och konton blir det omöjligt att ha kontroll och säkerställa efterlevnad. Därför bör du aldrig använda delade konton för att köra tjänster, skript eller automatiserade uppgifter. Använd i stället unika konton för specifika uppgifter, tjänster eller skript, med behörigheter som matchar den angivna uppgiften.

Delade konton existerar ofta som en "break the glass"-funktion med fullständiga rättigheter i systemet. Om din organisation har denna typ av konton bör de förvaras och hanteras på ett säkert sätt med adekvat loggning vid varje användning. Du ska kunna avgöra vem som checkat ut ett specifikt lösenord/konto vid en viss tidpunkt samt se till att dessa kontons lösenord ändras efter varje användning.

5.      Använd unika och säkra lösenord

De flesta dataintrång idag sker inte via traditionell ”hacking”, utan genom stulna inloggningsuppgifter. Säkra lösenord är därför avgörande för ett starkt cyberskydd. Se till att ni inom din organisation har unika lösenord för enhet och konto, inte återanvänder lösenord – och att ni implementerar användningen av en lösenordsplanerare. För Windowsmiljöer kan Microsoft Local Administrator Password Solution (LAPS) användas för att hantera lokala administratorslösenord. Använd den i hela Windows-katalogen, på alla servrar och alla klienter.

6.      Segmentera

Segmentera så långt det är rimligt och möjligt – såväl nätverk som servrar. Det här är ett stort arbete, men en insats som gör stor skillnad för organisationens motståndskraft vid en eventuell attack. Genom att segmentera skapar du möjligheten att logga trafik mellan segment, och minskar risken att exponera information eller system mer än nödvändigt.

System som inte har något med varandra att göra bör vara i separata nätverk. Om de kommunicerar bör det vara med uttryckliga (inte generella) regler. System med olika exponering, till exempel servrar exponerade för internet, bör också de placeras på separata nätverk. På samma sätt bör servrar som används för åtkomst till miljöer vara separata och endast ha åtkomst till målmiljön. Designa inte stora delade miljöer eller delade hoppservrar. Konfigurera ett system i taget och använd det för det avsedda syftet.

7.      Inför MFA

Använd alltid Multifaktorautenticiering (MFA) för att ge åtkomst. Detta adderar ett ytterligare lager med identitetsverifiering vilket ökar säkerheten på din organisations användarkonton än mer. Säkerställ att din organisation aldrig litar på nätverk eller "platser" som standard.

8.      Testa era Backuper

Att skapa backuper på viktiga data förstår de allra flesta vikten av, men har du testat att era backuper verkligen fungerar?

För att säkerställa att din organisation har fungerande backuper bör du:

• kontinuerligt kontrollera att system som ska säkerhetskopieras faktiskt är säkerhetskopierade. (Du bör dagligen kontrollera att schemalagda säkerhetskopieringsjobb lyckas utan väsentliga fel.)
• utföra återställningstester regelbundet. Gör relevanta provåterställningstester för att säkerställa din förmåga att återskapa informationen. (Vissa system kan kräva tätare återställningstester för att uppfylla kraven på efterlevnad.)
• implementera immutable-backup (oföränderlig backup). Detta ger din organisation ett utökat skydd mot oavsiktlig eller skadlig radering av data.
• undvika backup-nätverk. Lev efter samma regler på "backup-sidan" som på "åtkomstsidan" och se till att loggning är inställd på samma sätt som för resten av din IT-miljö.

I vissa fall behövs även en off-line backup för bevarandet av kopior som inte ska kunna nås i händelse av intrång. Detta kan göras med hjälp av t.ex. Air Gap backup-lösning helt frånskilt från ordinarie backup-nätverk.

9.      Härda era system

Härda dina system genom att bara aktivera de funktioner ni faktiskt använder. Stäng av alla oanvända funktioner och tjänster samt portar, lyssnare etc.
De flesta tillverkare ger tydliga riktlinjer för hur du ska säkra deras produkter enligt bästa praxis. För mer information, besök respektive tillverkare hemsida.

För allmänna härdningsguider besök Länk: https://www.cisecurity.org/ . Där hittar du guider kring härdning av en mängd olika produkter.

10. Öka din kunskap och upptäcktsförmåga med de verktyg du har idag

Börja med att lära känna de system du har idag. Brandväggar, till exempel, har ofta skyddsåtgärder som inte används. Slå på relevanta funktioner och övervaka dem löpande. Vad gäller klientskydd finns de i många olika varianter. Även om det klientskydd du har idag inte är det bästa skyddet på marknaden bör du se till att det är installerat och att det fungerar som det är tänkt, på alla klienter. Det ska t.ex. inte vara möjligt för användare att avinstallera eller stoppa skyddet utan att du vet om det.

Uppgradera sedan när det är möjligt. Om din utrustning inte håller rätt nivå, byt ut den mot något som är mer lämpligt. Om du till exempel har ett traditionellt antivirus, överväg att uppgradera till en EDR- eller EPP-lösning.

Vill du ha en kartläggning över hur din organisations sårbarhet ser ut och hur exponerade ni är för potentiella cyberangrepp?

Vi kan hjälpa dig identifiera risker och svagheter relaterade till din digitala miljö – innan angripare hittar dem. Läs mer om vår sårbarhetsanalys