Kunskap | Bredband2

Förutsätt lyckade nätfiskeattacker

Skriven av Tess Hamark | den 23 maj 2019 18:51:00 Z

Vissa personer är mer utsatta för nätfiskeattacker än andra. Det gäller inte minst personer som kommunicerar med okända parter utanför den egna organisationen. HR-medarbetare, rekryterare, kundtjänstmedarbetare och fakturahanterare är några av dem som måste kunna hantera mejl som kommer från okända mottagare. De behöver därför få rätt förutsättningar för att utföra sina arbetsuppgifter utan att äventyra företagets säkerhet.

Personer som är mer utsatta än andra bör vara extra medvetna om riskerna som de utsätter sig själva och företaget för. Samtidigt bör de använda utrustning som hjälper dem att minimera rådande risker. Vi har listat fem tips på hur du kan ge dina medarbetare en tryggare vardag.

Använd dedikerade datorer

En simpel lösning på problemet är att utrusta berörda personer med två datorer. Då kan de använda en dator för att utföra sina vanliga arbetsuppgifter och en annan dator för att öppna potentiellt skadliga mejl. Genom att hålla den sistnämnda datorn isolerad minimeras konsekvenserna av en eventuell infektion. En infekterad e-postfaktura eller ett infekterat kundtjänstmejl kan inte heller leda till att ekonomi- eller kundtjänstmedarbetarnas ordinarie datorer drabbas.

Lästips! "Så förbereder du medarbetarna på en nätfiskeattack"

Använd virtuella maskiner

Ibland är dedikerade datorer en för opraktisk eller för kostsam lösning. Då går lyckligtvis samma skyddsprincip att åstadkomma med hjälp av virtuella maskiner. Sådana gör att medarbetarna kan köra virtuella och isolerade Windows- eller Mac OS-datorer på befintlig hårdvara. I de virtuella miljöerna kan de öppna potentiellt skadliga bilagor utan risk för ödesdigra konsekvenser. Skulle en virtuell maskin bli infekterad behöver den bara kasseras eller återställas till en tidigare version.

I Pro- och Enterprise-utgåvorna av Windows 10 finns det inbyggt stöd för virtuella maskiner. I den senaste versionen (Windows 10 1903) finns även ett ännu mer lättanvänt alternativ vid namn Windows Sandbox. Den funktionen låter användaren skapa en virtuell instans av den befintliga Windows-installationen med några enstaka knapptryck. Om den virtuella instansen blir infekterad kan användaren stänga den och skapa en ny utan att det underliggande operativsystemet påverkas.

Fördelen med Windows Sandbox är att funktionen inte kräver någon extra Windows-licens och att den virtuella installationen hålls uppdaterad av det underliggande operativsystemet. Nackdelen är att Windows Sandbox inte kan anpassas med förinstallerade program likt en traditionell virtuell maskin. Varenda gång en ny ”Sandbox” startas är den helt nollställd.

Mac OS har tyvärr inte motsvarande funktioner inbyggda, men det går utmärkt att köra virtuella maskiner på Mac OS med hjälp av tredjepartsprogram. VMware och Parallels tillhandahåller sådana program för en engångs- eller årskostnad.

Läs också "Därför bör dina medarbetare sluta mejla varandra"

Segmentera nätverket

Alla datorer behöver inte kunna prata med alla datorer. Se till att medarbetarna enbart har åtkomst till det som de behöver ha åtkomst till. När en nätfiskeattack lyckas vill du inte att hela företagets säkerhet ska fallera för att en enskild dator har blivit infekterad. Därför bör du ha en säkerhetsmodell som innebär att dina anställdas datorer enbart har tillgång till det de behöver. En kundtjänstmedarbetare behöver exempelvis inte ha tillgång till bokföringssystemet eller där marknadsavdelningen sparar sina filmer.

Om du eller dina medarbetare blir drabbade av en utpressningstrojan löper ni risk för att den drabbade datorn infekterar hela nätverket. Därför måste nätverket segmenteras.

Begränsa användarrättigheter

Ingen användare ska ha behörighet att logga in i samtliga system. En vanlig företeelse är att företagets VD har tillgång till alla system. Men det ska hen absolut inte ha. Om VD:ns inloggningsuppgifter hamnar på avvägar får det inte lov att äventyra hela säkerheten.

Den som administrerar användarrättigheterna är den mest kritiska personen. Personens inloggningsuppgifter bör endast användas för administration och inget annat. Däremot kan hen ha flera konton för sin övriga arbetsroll.

Använd DNS-skydd

Varken utbildning eller skräppostfilter är i sig tillräckligt för att skydda mot alla tänkbara nätfiskeattacker. För att få ett fullgott skydd måste säkerheten byggas upp i flera lager och du som ansvarig måste förutsätta att ett eller flera skyddslager kan fallera. Om ett nätfiskemejl slinker igenom skräppostfiltret och användaren klickar på en nätfiskelänk finns det lyckligtvis ett skyddslager till i form av DNS-skydd.

Varje gång dina medarbetare besöker en webbplats på nätet skickar deras datorer en så kallad DNS-fråga för att få reda på vilken server de ska ansluta till. DNS-systemet på nätet är det som kopplar ihop lättskrivna domännamn med svårskrivna IP-adresser. Genom att filtrera DNS-förfrågningarna kan du stoppa nätfiskeattacker trots att användarna råkar klicka på nätfiskelänkar.

Med ett sofisitikerat och kontinuerligt uppdaterat DNS-skydd blockeras kända nätfiskesidor, så att dina medarbetare inte hamnar på dem. Se exempelvis Cisco Umbrella som via en molnbaserad webbtjänst låter dig filtrera nätverkets DNS-förfrågningar. I och med att filtreringen sker på nätverksnivå kan den skydda alla anslutna enheter oavsett operativsystem.

Vi hjälper dig

Låter det här med IT-säkerhet krångligt? Läs mer om vårt säkerhetspaket TRYGG som automatiskt skyddar ditt företags IT-miljö mot digitala attacker!