Tryg-CSO: Hvis man skulle beskytte sig teknisk mod alle cyberangreb, kunne man ikke længere arbejde

Illustration: leowolfert/Bigstock
Tryg har de seneste år haft stort fokus på medarbejderuddannelse i deres sikkerhedsstrategi. Man kan nemlig ikke rent teknisk sikre sig mod alle angreb, hvis man også skal arbejde, mener Trygs koncernsikkerhedschef.

Inddrag medarbejderne som en del af 'Last line of Defence' – det er budskabet fra koncernsikkerhedschef hos Tryg Tom Engly.

Tom Engly er koncernsikkerhedschef hos Tryg og formand for Virksomhedsrådet for IT-sikkerhed. Illustration: Tryg

Tryg har i deres sikkerhedskampagner gennemført adskillige phishing-kampagner mod deres egne medarbejdere for at undersøge, hvor mange der kan snydes til at trykke på skumle links og måske endda indtaste brugernavne og passwords.

Er sikkerhed brugernes ansvar?

It-sikkerhed kan opnås på mange forskellige måder. Sikkerhedsparadigmet least privilege foreskriver, at brugere kun skal have så meget adgang, som de har brug for til at lave deres arbejde.

Læs også: Rapport: Fratag brugerne admin-rettigheder og luk 81 procent af kritiske Microsoft-sikkerhedshuller

»Man kan godt gøre tingene så restriktive, at risikoen kommer ned, og det gør vi også langt hen ad vejen med forskellige tekniske løsninger, vi har. Men jo mere du skruer op for sikkerheden, desto større gener giver det også i den daglige brug,« siger Tom Engly, der holdt keynote om emnet på Infosecurity-messen i Øksnehallen tidligere i maj.

Tom Engly afviser ikke, at man ud over medarbejder-awareness skal have styr på rettighederne.

»Least privilege er et værdifuldt sikkerhedskoncept. Jeg går også også meget ind for zero trust: Vi har været vant til at stole på det, der foregår inden for vores netværk, men det kan vi heller ikke længere, for der er veje ind,« siger han.

Det er bare ikke tilstrækkeligt.

»Jeg mener ikke, man kan klare sig med tekniske tiltag alene. Det viser alle erfaringer,« siger Tom Engly.

»Hvis du gjorde så meget teknisk, at du kan sige: ’Nu bliver vi ikke ramt’, så tænker jeg, at det vil være umuligt at arbejde.«

Phishing er den store trussel

Med de interne phishing-kampagner fik Tryg reduceret andelen af brugere, som klikker på links i phishing-mails, fra 50 procent i 2015 til 7 procent i 2017.

Men phishing-angreb er stadig den vigtigste angrebsvektor, mener Tom Engly.

Tryg har dog endnu ikke taget et værdifuldt værktøj til bekæmpelse af phishing i brug: DMARC.

Læs også: DMARC: Partier og Folketinget står åbne for hackeres fup-mails

DMARC er en åben standard, som kan sættes op til automatisk at filtrere e-mails, der foregiver at komme fra en anden afsender, end det rent faktisk er tilfældet

På den måde kan DMARC hjælpe med at beskytte brugere, da de mest vellignende phishing-mails automatisk kan filtreres fra.

DMARC kan eksempelvis forhindre, at en mail fra en hacker ser ud til at komme fra cso@tryg.dk

Tryg har aktiveret en DMARC-konfiguration på deres servere, men i konfigurationen er policy-flaget sat til 'none'.

Det betyder, at der ikke bliver foretaget nogen filtrering af mails med forfalskede afsendere fra Trygs mail-servere som følge af DMARC.

Tom Engly mener, at DMARC er et vigtigt værktøj, men betoner, at det for en virksomhed kan være en stor opgave at konfigurere systemet.

»Vi er i fuld gang med at implementere DMARC, men det er en kompliceret proces. Vi har tæt på 900 domæner, det skal aktiveres på,« siger han.

Center for Cybersikkerhed har siden 2017 anbefalet danske organisationer at anvende DMARC som værn mod svindelmails.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Mikkelsen

Det er altid en afvejning hvad man vil gøre, både i forhold til ressourcer men også som nævnt her: Fleksibilitet. Her vil jeg vægte højt, at det skal være svært for en trusel at brede sig fra en enkelt computer og ud i hele virksomheden, som vi har set med både cryptoware og andre angreb. Jo bedre uddannelse og jo bedre politikker (som bliver fulgt), jo mere kan man også tillade at folk gør, uden truslen bliver for stor. Dernæst skal man være klar til at håndtere det når der sker noget.

Men helt sikker bliver man aldrig. Det kræver at man putter samtlige computere i en stor makulator og videre forbi kraftige magneter. Og så er man stadig en lille bitte smule usikker.

  • 0
  • 0
Povl H. Pedersen

Brugerne er forhåbentlig en del af first line of defence, ikke last line of defence. Det skulle nødig være sådan at man har fuld kontrol når man er kommet forbi den første bruger.

DMARC hjælper vist ikke meget på Phishing mails ? Dem jeg ser brugerne klikke på, og eventuelt indtaste passwords i er typisk mail eller eksempelvis LinkedIn beskeder med et link til en falsk OneDrive logonside. De udgiver sig sjældent for at være fra vores egen virksomhed (vi har DMARC, så brugerne ser ikke sådanne), men typisk fra en partnerorganisation.

Der kan laves mange små simple tekniske tiltag der ikke mærkes af brugerne. F.eks. PVLAN på brugersegmenter, netværkssegmentering / Mirosegmentering med firewalls (eller lokale firewalls på servere). Man kan køre HTTPS på alle interne servere, køre SSO flest mulige steder så brugerne sjældent indtaster password, man kan lave en custom logon side på ADFS serveren, og lære brugerne aldrig at indtaste på en generisk Microsoft side, man kan slå SMBv1 fra på de fleste servere. Man kan patche agressivt og hurtigt - også 3die part software.

Der er 1000-vis af tekniske ting der ikke mærkes (udover måske driftsforstyrrelser under implementering). Og der bør man implementere de tiltag man har ressourcer til.

En proxy server med authentication på udgående trafik er også et godt værn mod diverse mailware. Specielt hvis man lukker for direkte adgangt il andet end godkendte destinationer. Og der kan købes adgang til secureDNS services, eller Web Content Scanning.

Og mange andre ting (f.eks. ingen Internet adgang til administratorer og de fleste servere) kræver bare småændringer i hvordan man arbejder. Jeg kan ikke nå servere på RDP eller SSH porten fra min PC. Jeg skal via en jump-server. Er det svært ? Ikke for domæne admins, men for dem med færre rettigheder som ikke forstår sikkerhed er det måske svært - fordi de ikke ser en mening / risiko.

Tingene bliver ikke nødvendigvis sværere af at være anderledes. Men den klassiske modstand mod forandringer, og vanedyr gør selv simple ændringer svære.

  • 1
  • 1
Jan Ferré

Begge de viste kommentarer fremfører efter min mening valide synspunkter. Simon ser på risikoen for at malware og lignende kan sprede sig fra én bruger til en anden - og jeg er helt enig med ham i, at vi skal forsøge at lave tekniske hindringer for dette.

Povl argumenterer så for at man kan komme ganske langt ved at opdele sine net, så risikoen begrænses. Jeg støtter til fulde, at der skal patches/opgraderes agressivt - desværre har mange virksomheder en politik om, at IT- eller sikkerheds-afdelingen skal verificere opgraderinger, hvilket kun sikrer, at usikkert software får lov at køre videre i en unødig lang periode. Og jo! Der er risiko for, at netop opgraderingen introducerer nye huller. Den Ubuntu, jeg benytter mig af, får opgraderinger hver eller hver anden dag - og disse bliver ukritisk lagt på maskinen. Muligvis er jeg naiv, men jeg tror faktisk, at opgraderinger bliver lavet med det hovedformål at forbedre software.

Hovedproblemet med en firma-styret jumpserver er for mig at se ikke besværet med at skulle gennem en jumpserver. Det er snarere, at 'nogen' mener at skulle bestemme, hvilke servere, jeg har brug for at kunne få adgang til. Og eventuelt sørge for at rense ud i de programmer, jeg installerer fordi jeg har brug for disse programmer til at udføre mit arbejde.

  • 0
  • 0
Torsten Nielsen
  • 0
  • 0
Log ind eller Opret konto for at kommentere