Sikkerhetsblogg

De «usynlige» sårbarhetene

Vi i Fence er spesialister på Penetrasjonstesting, RedTeam-øvelser og generell sårbarhetsadministrasjon. Hver eneste uke året gjennom jobber vi med å sikre norske virksomheter i offentlig og i privat sektor. Gjennom vårt arbeid avdekker vi en rekke alvorlige sårbarheter som er gjentagende hos mange virksomheter.

Når vi starter arbeidet med nye kunder i offentlig eller privat sektor, møter vi ofte på en overdreven selvsikkerhet rundt egen sikkerhet. I hovedsak er denne selvsikkerheten basert på for stor tiltro til virksomhetens produsenter og leverandører. Selv om vi kjenner til at en rekke store leverandører og produsenter til tider kan gjøre ganske store feil, er det ikke kritikk av disse som er hovedpoenget til at vi føler et behov for å sette søkelys på dette.

I alt for stor grad stoler både norske virksomheter og leverandører på at alle er like, og at standard programvare og standard innstillinger fungerer for alle. Krigen i Ukraina har gjort at endel virksomheter har begynt å være litt mer kritiske til applikasjonssikkerhet, men vi ser at alt for få virksomheter gjør gode sikkerhetsvurdering av egne applikasjoner. I offentlig sektor, i helsesektoren og i norsk industri ser vi en utstrakt bruk av legacy-systemer (utdatert teknologi). Hovedproblemet med at leverandører og virksomheter tror at alle er like er at sikkerheten, vedlikeholdet, og strukturen rundt sikkerhet ikke tar høyde for alle legacy-systemer, eller at vi jobber ulikt, fra ulike lokasjoner og på ulikt utstyr. Det er viktig at virksomhetene selv tar ansvar for kartlegging av egen infrastruktur og jobber med egen sårbarhetsflate gjennom gode rutiner for sårbarhetsadministrasjon.

Vi mener at leverandørene og virksomhetene ikke går dypt nok ned i det tekniske når man utarbeider teknologiske løsninger for å sikre virksomheten. Eksemplene er mange, men de fleste norske virksomheter har ikke en fullstendig oversikt over hvor eksponerte de er på internett, eller hvilket sårbarheter som er eksponert. Eksempler på dette er alle de norske virksomhetene som har blitt utsatt for Ransomware-angrep som følge av Remote Desktop & VPN-løsninger uten to-faktor autentisering. Dette er sårbarheter alle burde ha kontroll på, men som faktisk mange ikke kjenner til at de har, da de f.eks. ikke har kontroll på alt utstyret de har i nettverket eller hva de har eksponert. De sårbarhetene vi ofte ser i norske virksomheter, og som de tror de har kontroll på er ofte ikke like enkle å oppdage. Vi avdekker svært ofte legacy operativsystemer som Windows XP, 2003, 2008 eller f.eks. gamle NAS- løsninger eller lignende som benytter totalt utdatert teknologi for å sikre autentisering m.m.

Det som kanskje er mer overraskende er at vi hos de fleste virksomheter avdekker et stort avvik i forhold til oppdatering av nye installerte Windows-servere og -klienter. Årsaken til dette er komplisert, men i mange tilfeller skyldes dette manglende restarting, for kort tid med god nettverkstilkobling for klienter, og at brukere f.eks. aldri lukker Office-applikasjonene. Vi ser også et stort antall av tredjeparts-applikasjoner som aldri blir oppdatert, det kan være alt fra enklere ting som Chrome, TeamViewer og Adobe-produkter, til mer kompliserte server tjenester som tredjeparts databaser og webapplikasjoner som f.eks. Oracle og Apache.
Årsaken til at både legacy-systemer og nyere systemer innenfor Microsoft verdenen samt tredjepartssystemer skaper usynlige sårbarheter er at man baserer sikkerhet på at man f.eks. «bare» skrur på Windows Update og Windows Defender og regner med at alt løser seg. Uten at man vurderer alt og alle som faller utenom, samtidig som at man ikke gjør en tilpasset konfigurasjon slik at tiltakene fungerer med maksimal effekt. For eksempel at man skrur på brannmuren i Defender, som i de fleste tilfeller tillater SMB & RDP trafikk mot klienter, som for de fleste er helt unødvendig. Dette er samtidig kanskje de mest utnyttede protokollene benyttet i forbindelse med Ransomware.

En viktig observasjon er at det er manglende søkelys på en sikker og validert konfigurasjon av de sikkerhetsproduktene og løsningene man allerede har implementert. Veldig mange virksomheter sier de har brannmur på alle klientene sine, men svært få har kontroll på hva som er åpent i disse brannmurene. De aller fleste stoler på produsent og leverandør som benytter seg av standard konfigurasjon. I de fleste tilfeller innebærer dette en konfigurasjon som er lagd for å fungere i alle scenarioer, som igjen medfører en relativt usikker konfigurasjon. Den samme problemstillingen er ofte knyttet til patching og oppdatering av servere og klienter, de fleste virksomheter sier de patcher automatisk med en eller annen variant av Windows Update. Men de færreste har oversikt over hvor mange patcher de faktisk ikke har installert, både for klienter og servere. Og når det kommer til patching og oppdatering av tredjepartsapplikasjoner som Chrome, TeamViewer og Adobe, Oracle eller Apache m.m. har man liten eller ingen kontroll.
Vi ser også at man i enda mindre grad har kontroll når det gjelder ansatte som jobber på hjemmekontor. Det har de siste årene blitt ekstremt viktig med god kontroll på endepunkter på reise, hjemme og på kontoret. Man må ha sikkerhet som er validert og fungerende uavhengig av lokasjon. Da både med tanke på patching, konfigurasjon, oppdagelse av hendelser og rapportering.

De «usynlige» sårbarhetene

  • Manglende kontroll over virksomhetens applikasjoner/tjenester og sårbarheter tilknyttet.
  • Legacy operativsystemer, applikasjoner og infrastruktur enheter.
  • Manglende kontroll på avvik i forhold patching av Microsoft operativsystemer og støttesystemer.
  • Manglende patching av tredjeparts operativsystemer og støttesystemer. (NAS, Oracle, Chrome, Adobe m.m.)
  • Svakheter i domenekonfigurasjon (Bruk av standard konfigurasjon).
  • Svakheter i konfigurasjon av eksisterende sikkerhetsløsninger (Bruk av standard konfigurasjon)
  • Manglende validering og testing av konfigurasjon og sikkerhetsfunksjoner.
  • Fremdeles bruk av svake passord / felles brukere m.m. på alt av enheter. (PC-er, printere, svitsjer m.m.)
  • Sikkerhet på hjemmekontor, patching, overvåkning, rapportering m.m.

Vi i Fence AS er spesialister innenfor sikkerhetstesting, sårbarhetsadministrasjon, hendelsesoppdagelse og håndtering. Ønsker dere bistand til evaluering av sikkerheten eller mer informasjon om hvordan vi kan bistå dere med å forbedre sikkerheten ta kontakt med oss på e-post post@fence.no eller ved å registrere en forespørsel på kontaktsidene våre.

Vil du ta en prat med oss? Fyll ut skjema så tar vi kontakt med deg