Cybersäkerhet behöver inte alltid vara avancerat eller svårt. Om vi tar sårbarheten CVE-2024-38063 som exempel, den blev känd för dryga månaden sedan, ett riktigt otäckt säkerhetshål i implementeringen av IPv6 i Windows. Den skapar en RCE-sårbarhet (remote code execution) som tillåter en anfallare köra arbiträr kod på andra system.
Denna typ av säkerhetshål påminner mig om devisen att man gärna ska stänga av funktionalitet som inte används. Om man aktivt använder IPv6 är det inte en dum idé att fortsätta använda NAT. Därmed viktigt att åtminstone ha en brandvägg framför endpoints och bara tillåta traffik som man vet att man behöver. Det ger skydd mot ganska mycket, kommer hotaktörer inte åt maskinerna så blir liknande säkerhetshål svårare att utnyttja.
Just RCE:er som kan utnyttjas helt utan mänskliga fel eller interaktioner, skapar möjlighet att skapa maskar dvs skadlig kod som kan hoppa från system till system. Microsoft hade ute en patch som fixade det innan den användes ute i det vilda (så gott som vi vet). Det är också därför patchning av system, så fort som bara möjligt, är viktigt. Det behöver inte alltid krävas de mest avancerade säkerhetsfunktioner och nya produkter. Ofta kan man göra mycket med det som finns, samt höja lägstanivån genom patchningar och segmentering. Därför är det viktigt att inte ha end of life produkter i miljön som inte får nya säkerhetsuppdateringar, som exempel.
Så några rekommendationer är att:
- Patcha era system regelbundet.
- Stäng av oanvänd funktionalitet.
- Segmentera så långt som möjligt (förhindra eventuell spridning mellan segment samt minska attackytor).
Man behöver inte göra allt på en och samma dag. Tar man små steg varje dag som ökar på säkerheten lite i taget, steg för steg är man på god väg. Ökar man säkerheten med 1% per dag så har man på ett helt arbetsår ökat ungefär 10 gånger från utgångsläget1. Det gör att små steg ofta, hellre än ett stort enskilt lyft är att föredra! En vanlig utmaning är att kunder har ett för stort scope när de ska öka sin säkerhet som ibland mynnar ut i att det blir övermäktigt komplext eller att budgeten inte räcker till och i slutändan inte utförs. Ta tag i den där maskinen som kanske inte patchats på ett tag, gör något smått. Börja med den lågt hängande frukten! Sunt förnuft och en hälsosam paranoia, kommer man långt med!
Jag hoppas att någon kan få ut något värde av det jag skriver, jag tänker skriva lite då och då, när jag har något främst inom cybersäkerhet, att skriva om!
Rasmus Hammarborg
Arkitekt Cybersäkerhet Aranya AB
LinkedIn
Aranya AB
- Räknat med ca 230 dagar på ett arbetsår ↩︎