Råd fra Watchcoms penetrasjonstestere

I Februar 2017 deltok Watchcom på Hackcon i Oslo, der representanter fra Watchcoms Red Team delte deres råd for hvordan bedrifter kan beskytte seg mot avanserte som prøver å få tilgang til eller kontroll over deres nettverk.

Først og fremst, anta at nettverket alt er kompromittert, og jobb derifra. Tiltakene som er beskrevet her er designet for å gjøre det vanskelig for en angriper å bevege seg fra initiell kompromittering til kontroll over nettverket. 

  • Fjern administratorrettigheter – Vanlige brukere trenger ikke å ha administratorrettigheter, hverken til servere eller sin egen lokale datamaskin. Fjerning av lokaladministratorrettigheter fra brukere kan føre til flere supporthenvendelser, men det gjør en angripers jobb mye vanskeligere enn den ellers ville vært. 
  • Begrens administratorbrukere – Begrens bruken av privilegerte brukere. For eksempel, brukere med domeneadministratorrettigheter bør kun brukes på domenekontrolleren, og aldri på en annen datamaskin eller server. En Exchange administrator må aldri brukes på andre maskiner enn Exchange serveren. Et godt system for dette gjør det vanskelig, om enn ikke umulig, for en angriper å få tak i privilegerte sesjoner som kan brukes til å spre seg videre i nettverket. 
  • Aktiver 2FA – Aktiver to-faktorautentisering på alle tjenester som er eksponert mot internett, som VPN og eposttjenester. Eksterne angrepsflater gjør det mulig å prøve enkle passord mot mange brukere, for eksempel passordet «Vinter2017» mot alle kjente brukere, noe som erfaringsmessig vil være vellykket for mange norske bedrifter.
  • Nettverkssegmentering – Segmenter nettverket og begrens kommunikasjon mellom disse, både hvem som kan snakke med hvem og hvilken vei kommunikasjonen skal gå. For eksempel er det ingen grunn til at en vanlig bruker skal kunne bruke Remote Desktop til å snakke med en server eller at en server skal kunne bruke Remote Desktop til noe som helst.
  • Overvåkning – Overvåk så mye som mulig, og korreler disse loggene. Det er viktig at det er noen som har ansvar for å faktisk se på overvåkningssystemet og agere på alarmene – at systemet eksisterer er ikke godt nok i seg selv.