Har gennemført Advanced Windows Exploitation (AWE) hos Offensive Security og må sige det er lidt af en øjenåbner for hvor mange værktøjer der rent faktisk er tilgængeligt for meget små penge, der kan gøre uhyggelig stor skade selv om det bliver udført af brugere der har lidt eller ingen teknisk viden.
danske hackere

Det er generelt ikke et emne jeg arbejder meget med, men for at forstå hvordan man sikre SSL kommunikation på overvågning og generel Windows sikkerhed, kræver det man en gang imellem for sat sig ind i nye emner. Sidste gang jeg havde brug for det, var da jeg brugte WIRESHARK til at fejlsøge på en Sharp Printerløsning, der ikke spyttede det print ud der blev sendt. Det viste sig at den ikke medbragte credentials, selv om de var sat i applikationen. Ikke noget der har gjort mig til er Sharp fan!

I dagens udgave af Jyllands-Posten er der en artikel der beskriver Udenrigsministeriet blev hacket og det varede 4 måneder inden det blev opdaget. Selve artiklen vil jeg ikke kommentere og detaljerne omking hvordan Udenrigsministeriet blev hacket er klacificeret og det bør overlades til Center for Cybersikkerhed at udtale sig i sagen.

Til gengæld vil jeg forholde mig til den IT-Sikkerheds situation jeg ofte oplever hos kunder. Det gælder både kunder med on premise og cloud løsninger, da der efter min mening er en enkel årsag til situationen; Mangelfuldt beslutningsgrundlag da kompleksitet og trusselsbillede ofte er ugennemskueligt for beslutningstagere.

Eksempel #1 – Ingen Antivirus
Flere gange oplever jeg man bevist udlader at installere antivirus/malware software på serverne, fordi man fejlagtigt er af den overbevisning, en høj sikkerhedspolitik beskytter serverne mod angreb. Kunder virker oprigtigt overrasket når det går op for dem at et sikkeheds-exploit ikke begrænses at et komplekst password, eller at et Zero-day exploit ikke forhindres af en korrekt opdateret server. Er der derfor ikke installeret centralt administreret antivirus software på serverne, ved man ganske enkelt ikke at serveren er inficeret, som i eksemplet med Udenrigsministeriet, hvor det siges at være Center for Cybersikkerhed der slog alarm.

Tidligere var de fleste malwares formål at vælte en kørende server. I dag er fokus ændret til at give adgang til information, da vidensdeling på det sorte marked er en milliard-industri.

Eksempel #2 – Microsoft Antivirus
Et kig på AV-test.org hjemmesiden dokumentere det de fleste IT-konsulenter ofte oplever, at Microsoft Antivirus i er falsk sikkerhed i en flot indpakning. Dårlig antivirus er efter min mening værre end ingen antivirus, da en driftspersonalet fejlagtigt vil tro alt er i den skønneste orden, på trods af at alle servere er inficeret med trojans.
Antivirus test fra AV-test.org
Kilde AV-test.org

Eksempel #3 – Ingen central administration
Antivirus der kun notificere brugeren ved endpoints er kun marginalt bedre end fraværet af central administreret antivirus, da det overlades til enduser at vurdere og advisere IT-ansvarlige.

Anbefaling:
Følgende punkter bør efter min mening være et krav til enhver antivirus-løsning til erhverv:
– Central administration
– Outbreak-control
– Network Threat Protection
– Behavioral analysis

Personligt er Symantec Endpoint Protection mit første valg, ud fra både funktion, drift og pris. Men det er vigtigt at forstå at der ikke findes et perfekt antivirus software. Det drejer sig blot om at finde det der bedst passer til situationen.