Hvordan sikre e-post på helhetlig måte?

Tema for nasjonal sikkerhetsmåned 2018 blir "Skadelig e-post og svindel på nett". Dette er ikke tilfeldig, for flertallet av cyberhendelser kan på en eller annen måte knyttes til e-post. Men hvor moden er virksomhetens sikringstiltak for e-post?

E-post ble aldri bygd med tanke på sikkerhet. På 1970-tallet fantes det ikke datavirus, og folk flest var uansett ikke tilgjengelig for svindel via digitale medier. Som vi vet er e-post blitt uunnværlig for de fleste i arbeidslivet, og til tross for et lappeteppe av tiltak er det ingen av dem som gir noen garantier.

I figuren under har vi plassert inn de ulike tiltakene etter fire modenhetsnivå. I tillegg er de kategorisert etter dimensjonene vi pleier å bruke for en helhetlig tilnærming, nemlig folk (people), rutiner som folk må forholde seg til (policy), og produkter:

Nivå 0: Manglende

På dette nivået finnes stort sett bare grunnlag for forbedring, men alt går bra så lenge det går bra. Sannsynligvis er det likevel her flesteparten av norske virksomheter havner.

Folk regner med at alt som havner i innboksen er trygt. Det kan høres overraskende ut, men dette er realiteten for mange. Joda, de får vel inn diverse uønsket e-post iblant, men mange tror fortsatt at det neppe kan skje noe ille om e-posten tross alt har passert forbi IT-sikkerheten de stoler på til daglig.

Alt er «lov» for alle, alltid. Foruten en mangel på instrukser om hva som er greit å gjøre og ikke, er det heller ikke implementert tekniske begrensninger for hva som er lov å gjøre. Selv om både regler og begrensninger må velges og tilpasses virksomheten med omhu, er det all grunn til å gjøre noe mer enn ingenting.

Spam-filter. Det finnes enormt mange produkter som skal stoppe søppelpost, og noen er mer effektive enn andre. Noen er dessuten litt for effektive, slik at de må konfigureres til å bli litt for lite effektive igjen. Når man har funnet et levelig nivå, lar de fleste spam-filteret få stå i fred og gjøre jobben etter beste evne – men det er vel umulig å klare seg uten.

Nivå 1: Forebyggende

På dette nivået har man gjort grunnleggende tiltak som ikke bærer noen betydelig kostnad i seg selv. Tekniske tiltak gjør at man reduserer både sannsynlighet og konsekvens for hendelser relatert til e-post. Likevel finnes det rom for forbedring. 

Folk vet at det finnes e-post som kan gjøre skade. Den grunnleggende bevisstheten om at man kan være utsatt for angrep, og at det ikke er likegyldig hva man klikker på. De aller fleste vil oppleve forsøk på svindel og hacking i løpet av livet. Ikke nødvendigvis fordi man er en spesiell person, men fordi man er man en innbygger på Internett, og gjerne arbeidstaker hos en virksomhet som eier noe av verdi (penger, for eksempel).

Begrense rettigheter, kjøring av aktivt innhold. Et godt prinsipp for grunnsikring, som dessverre benyttes i altfor liten grad. Selv om tiltaket omfatter andre aspekter enn e-post, er det en effektiv måte å begrense skadepotensialet når skadelig programkode har klart å slippe unna spamfilteret.

STARTTLS, SPF, DKIM, DMARC, DNSSEC, 2FA. Dette er samlesekken for velprøvde teknologiske tiltak som gjør misbruk via e-post en god del vanskeligere. Med unntak av 2-faktorpålogging (2FA), er samtlige tiltak helt «gratis», det er bare et spørsmål om konfigurasjon (som altfor sjelden gjøres som standard). Spør en hvilken som helst IT-leverandør om hjelp med dette!

Nivå 2: Involverende

På dette nivået er man ikke lenger prisgitt at tekniske løsninger skal beskytte. Ved å gjøre sikkerheten til alle sitt ansvar, er det en gjensidig forventning om å være på vakt, og gjøre det man kan for å holde virksomheten sikker.

Folk er i stand til å sjekke om e-post kan være farlig. Her er opplæring viktig, selv om dette kan gjøres på mange måter. Kampanjer kan hjelpe mange dersom budskapet er fokusert, og e-læring er mye brukt. Noen velger å gjøre simulerte phishing-angrep mot egne ansatte. Vi har dessuten utviklet verktøyet MailRisk, som gir folk en hjelpende hånd akkurat når det trengs. Temaet er uansett like aktuelt og relevant for alle som bruker e-post, og det er kontinuerlig behov for oppdateringer ettersom trusselbildet endrer seg.

Rutiner for verifikasjon av innhold i e-post. Et konkret eksempel er hvordan man kan bekjempe direktørsvindel med en ufravikelig prosedyre for betalinger til utlandet. Er man er i tvil om e-posten er falsk eller ekte, skal man ganske enkelt spørre en kollega – en svært lite teknisk rutine, men med stor effekt. Etablerer man en kanal for slike forespørsler, for eksempel en delt innboks hos IT-avdelingen hvor man kan be om hjelp med mistanker, kan sannsynligvis flere hendelser avverges. Utfordringen er å senke terskelen for henvendelser som dette.

Alltid tilgang på oppdatert trusselinformasjon. Dette omfatter naturligvis innsikt i åpne trusselvurderinger fra NSM og PST, men også mye mer ferske data. For eksempel hvilke phishing-kampanjer er det som pågår akkurat nå, og hvor godt fungerer våre eksisterende tiltak mot disse. Kanskje oppdager man at løsepengeviruset har klart nå fram til innboksen hos ansatte, men at angrepskoden stoppes så lenge brukeren ikke har lokale administratorrettigheter.

Nivå 3: Responderende

På det høyeste nivået er virksomheten godt rustet med automatiske tiltak, sikkerhetsbevisste ansatte, og forsvarsmekanismer som gjør det mulig å avdekke og nøytralisere hendelser på kort tid.

Folk rapporterer mistenkelig e-post til IT-ansvarlige. Årvåkne ansatte som varsler om potensielt farlig e-post i innboksen, er kanskje den viktigste kilden til fersk trusselinformasjon. Ved å oppmuntre folk til å delta i sikkerhetsarbeidet, kan man få tidlig innsikt i potensielle farer. Betydningen av den menneskelige faktoren – magefølelsen hos folk, og evnen til å gjenkjenne løgn – må ikke undervurderes.

Prosess for oppfølging av potensielle farer. Ansatte som rapporterer om mistanker og potensielle hendelser krever riktig håndtering. Det er for eksempel helt avgjørende at det aldri fremstår som risikabelt å melde fra om at man har blitt lurt. Dessuten er det viktig å kunne prioritere riktig, særlig når skadepotensialet ikke uten videre er lett å vurdere.

Overvåking og aktiv blokkering av trusler. Har man identifisert trusler som teknologiske sperrer ikke har lyktes å avdekke, kan manuelle tiltak være nødvendig. Dette inkluderer både blokkering av e-post ved hjelp av egne signaturer, skriptet massesletting fra alle ansattes innbokser, og blokkering av utgående trafikk mot ondsinnede adresser.

En helhetlig tilnærming

Noen vil kanskje påpeke at kryptert e-post (f.eks. PGP) er utelatt fra oversikten. Dette er med fullt overlegg, fordi forskning viser at ingen avsendere klarer å gjøre dette riktig, og det stiller dessuten krav til e-postens mottaker. La oss heller bruke bedre metoder for deling av sensitivt innhold.

Selv om e-post er viktig, så er det nemlig mulig å unngå i mange tilfeller. Ved bruk av nye samhandlingsmetoder, inkludert skytjenester, kan man gjerne redusere behovet for å sende vedlegg via e-post. I stedet kan flere filtyper blokkeres i spamfilteret, og folk venner seg til å gjøre mer av jobben via andre verktøy. Tiltaket krever imidlertid målrettet innsats over tid, på flere områder enn informasjonssikkerhet – og la gjerne økt produktivitet være driveren.

Så kan folk i stedet bruke av sitt begrensede «sikkerhetsbudsjett» (tid og krefter) til å rapportere mistenkelig e-post og bekjempe digital kriminalitet – og ikke snuble med signaturer og vanskelige forkortelser. Den dagen folk eventuelt skulle lære seg å bruke PGP, kan du være sikker på at svindlerne gjør det samme.

Og det er nettopp fordi vi er avhengig av menneskene for å lykkes, at vi må tenke helhetlig som dette.

Ønsker du å se hvordan MailRisk kan hjelpe til bedre sikkerhet for e-post? Vi gir gjerne en demo!

Continue reading

Simulated phishing: How to design a suitable scam

How do you prepare the most effective phishing email to serve the goal of your exercise? In the third part of this series on simulated phishing, we describe various approaches to designing phishing content.

How to succeed with security behavior change

To stay safe online, people need to care more about the security decisions they face every day. But unless the obvious gains obviously exceed the required effort, change is often avoided. Luckily, behavior change in general has been subject to a lot of research, and here are some takeaways for information security professionals.

Simulated phishing: Communications strategy

How do you prepare an organization for you to try and trick them? In the second part of this series on simulated phishing, we provide the outline for a communications plan.

See all posts →

Human security sensors ebook cover

Ready to get started?

We have written a guide for you to get started with human-centered security. Access our free resource now, and learn:

  • How to nurture drivers for employee engagement
  • How to avoid common obstacles for reporting
  • Practical examples and steps to get started

Download free PDF →