CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

Fem store sikkerhedsfejl som du helt sikkert begår

Virksomhederne bliver hacket så ofte, at man skulle tro, at hackerne kan trylle, men i virkeligheden handler det om en kronisk mangel på forståelse for helt basale sikkerhedsspørgsmål.

20. marts 2012 kl. 11.02
Roger A. Grimes Roger A. Grimes

Sikkerhedsfejl #1: Opdateringerne

Computerworld News Service: Virksomhederne er så sårbare over for hacking, at hackere påstår, at de kan pege deres systemer mod stort set hvilken som helst virksomhed og bryde ind uden de store problemer.

De fleste helt almindelige sikkerheds-testere er ofte i stand til at bryde ind i en virksomhed på ganske få timer.. 

For de professionelle kriminelle er det endnu nemmere.

Men sådan behøver det ikke være.

Problemet er, at de fleste it-administratorer bliver ved med at begå de samme fejl igen og igen.

Sikkerhedsfejl #1: Du går ud fra, at alt er opdateret
De fleste virksomheder mener, at at der er styr på opdateringerne. 

De mener i virkeligheden, at styresystemet er opdateret på de fleste computere. Men hvad med de sårbare applikationer, der ofte bliver udsat for angreb? Her ser det knapt så godt ud. 

Der findes eksempelvis rigtigt mange Apache Webserver i virksomhederne, der aldrig bliver ordentligt opdateret.

Det samme gælder computere med Adobe Acrobat Reader, Adobe Flash eller Java. Det er ikke noget tilfælde, at netop disse applikationer også er dem, der oftest bliver udnyttet af de kriminelle. Og problemet har eksisteret i årevis.

Har købt dyre opdateringsprogrammer

It-administratorerne tror, de har styr på opdateringerne, fordi de har købt dyrt opdateringsprogram, uddelegeret opgaven til en eller anden, fået bedre opdateringer i det hele taget og krydset det af på to-do-listen.

Pyt med at opdateringerne aldrig har fungeret perfekt, at det ikke er alle computerne, der bliver opdaterede, og at der stadig står sårbar software tilbage. Det går ligesom i glemmebogen.

Derudover afholder mange it-afdelinger sig fra at opdatere applikationer på grund af problemer med kompatibiliteten.

Hvis afdelingen for eksempel har opdateret Java, og der bagefter sker en eller anden tilfældig fejl i en af applikationerne, vil it-afdelingen ofte forbyde allle at opdatere Java.

På den måde kan computerne stå hen i årevis uden at blive opdateret.

Ledelsen er godt tilfreds og tror, at opdateringsproblemet er løst, men i virkeligheden er det værre end nogensinde.

Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer

Sikkerhedsfejl #2: Applikationerne

Sikkerhedsfejl #2: Du ved ikke, hvilke applikationer der kører

De fleste it-afdelinger har ingen anelse om, hvilke programmer der kører på deres computere.

Nye computere kommer preloadet med forskellige programmer, som brugeren i virkeligheden ikke har brug for, og brugerne selv henter andre programmer.

Det er ikke unormalt, at en pc kører i hundredevis af programmmer ved opstart.

Men hvordan kan du håndtere programmer, som du ikke engang ved eksisterer?

Mange af de pågældende rogrammer indeholder store velkendte sårbarheder eller bagdøre fra leverandøren, som alle og enhver kan udnytte.

Hvis du gerne vil sikre dit miljø, skal du skabe et overblik over alle de programmer, der kører, smide de unødvendige programmer ud og sikre resten.

Sikkerhedsfejl #3: Du ser det forkerte sted

Sikkerhedsfejl #3: Du overser anormaliteterne
Selv om hackere kan bryde ind uden at blive opdaget, så er det svært for dem at hacke løs uden at gøre noget som helst unormalt.

De er nødt til at undersøge netværket og forbinde computere, som normalt aldrig taler sammen.

Hackere foretager altså handlinger, som ingen af de normale brugere nogensinde foretager.

De færreste it-administratorer har nogen særlig god fornemmelse af, hvilke aktiviteter og aktivitetsniveauer, der kan regnes for at være normale.

Hvis du ikke har defineret det normale, hvordan kan du så spore anormaliteter og udsende advarsler?

År efter år fortæller The Verizon Data Breach Investigations Report, at næsten alle databrud kunne have været undgået, hvis ofrene havde implementeret alle de nødvendige kontroller lige fra begyndelsen.

Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer

Sikkerhedsfejl #4: De slappe regler

Sikkerhedsfejl #4: Du er ikke skrap nok med passwords
Vi ved alle sammen godt, at et password skal være langt og komplekst, og at det skal skiftes med jævne mellemrum.

Langt de fleste administratorer vil sige, at at deres egne passwords er stærke, men ofte passer det ikke.

Eller måske er de stærke på nogle områder, mens de er svare på de områder, hvor det virkelig gælder - eksempelvis til konti, der bruges på tværs af virksomheden eller på tværs af et domæne, eller andre former for superbruger-konti.

Men jo stærkere kontoen er, jo svagere er passwordet, og jo større er sandsynligheden for, at det aldrig bliver skiftet.

Hvis du gerne vil vide, hvor effektiv password-politikken er i virksomheden, så skulle du prøve at undersøge, hvor mange dage, der er gået, siden de forskellige passwords sidste blev skiftet.

Jeg vil godt garantere, at du kan finde konti, der ikke er blevet ændret i tusindvis af dage.

Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer

Sikkerhedsfejl #5: Manglende uddannelse

Sikkerhedsfejl #5: Du uddanner ikke brugerne i nye trusler 
Vi siger, at slutbrugerne er vores svageste led, med alligevel uddanner vi dem ikke i de nyeste trusler - altså de angreb, der har fundet sted i løbet af de seneste fem år.

De fleste brugere ved alt om vedhæftede virus i e-mails - den slags angreb, der var populære for 10 år siden.

Men prøv at spørge slutbrugerne, om de er klar over, at den største infektionstrussel i dag stammer fra hjemmesider, som de allerede kender, stoler på og besøger hver eneste dag.

De fleste slutbrugere ved ikke noget om ondsindede reklamer på deres yndlingshjemmeside eller om det faktum, at populære søgemaskiner på nettet kan inficere dem.

De kender ikke forskel på deres egen antivirus-software og det falske program, der lige poppede op på et vindue på skærmen.

De ved det ikke, fordi vi ikke har lært dem det.

De fem sårbarheder er langt fra nye. 

De har eksisteret i hvert fald i 20 år. 

Problemet bliver krydset af på listen, så de kan koncentrere sig om noget andet - men faktum er, at hele miljøet er grundlæggende fejlbefængt.

Det eneste, det ville kræve at opdage det, var at stille et par spørgsmål eller køre nogle få forespørgsler.

Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer

Oversat af Marie Dyekjær Eriksen




Navnenyt fra it-danmarkVis alle »
Jens Lage
Jens Lage
Jacob Tranholm
Jacob Tranholm
Aske Bay Glenting
Aske Bay Glenting
Mathias Enemark Poulsen
Mathias Enemark Poulsen

Lars Grønlund
Lars Grønlund
Svend Nielsen
Svend Nielsen
Finn Borgquist
Finn Borgquist
Malin Marker Persson
Malin Marker Persson


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere

EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

23. april 2024 | Læs mere

AI Business Excellence Day – sådan folder du mulighederne ud

Mange danske virksomheder har eksperimenteret med AI-projekter af begrænset omfang, men kun de færreste har for alvor udforsket mulighederne i storskala. Det gør vi her! Du vil blandt andet få mulighed for at se eksempler på, hvordan AI kan anvendes som accelerator i storskala og skubber til grænserne for, hvordan det er muligt at integrere teknologien, så potentialet for alvor foldes ud.

24. april 2024 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Andreas Holbak Espersen
Andreas Holbak Espersen
Erik David Johnson
Erik David Johnson
Mogens Nørgaard
Mogens Nørgaard
Laura Klitgaard
Laura Klitgaard
Jim Nielsen
Jim Nielsen
Thomas Madsen
Thomas Madsen
Dan Rose
Dan Rose
Mogens Nørgaard
Mogens Nørgaard
opinion
Andreas Holbak Espersen
Andreas Holbak Espersen
Derfor er den nye digitale taskforce det helt rigtige initiativ
Læs indlæg
Artikel teaser billede

Erik David Johnson

Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Bedst som man troede, at det ikke kunne blive værre end Ejendomsvurderingen dukkede AI op

Artikel teaser billede

Laura Klitgaard

Vi har brug for en national dansk AI-sprogmodel - og det er der flere grunde til

Artikel teaser billede

Jim Nielsen

Vi skal som leverandører altid være klar til at sige nej til kunden - selvfølgelig i den gode sags tjeneste

Mest læste klummer og blogs
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Klumme: Nutidens AI-modeller aner ikke, hvad det vil sige at være et menneske eller en menneskelig samtalepartner, men udnytter blot de dybe mønstre, som de har fundet i sproget. Faktisk vil jeg argumentere for, at man skal til at designe fremtidens AI helt anderledes, end man gør i dag
Af: Erik David Johnson
Vi skal som leverandører altid være klar til at sige nej til kunden - selvfølgelig i den gode sags tjeneste
Klumme: Leverandører bør kende deres position godt nok til venligt og bestemt at sige nej, hvis kunden tårner sig op som en pedel med et stort nøglebundt og vil sende projektet ud på et sidespor.
Af: Jim Nielsen
Hvorfor løse problemet med den sidste nye bit i værktøjsbæltet, hvis der findes en nemmere løsning?
Klumme: AI-workshoppen kan sagtens pege på alt muligt andet end en AI-løsning. Det lyder måske mindre sexet at køre en omgang forandringsledelse, at rette kontoplanen eller få styr på metadata, men vi skal nu engang løse problemer.
Af: Thomas Madsen
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Bedst som man troede, at det ikke kunne blive værre end Ejendomsvurderingen dukkede AI op
opinion Thomas Madsen
Hvorfor løse problemet med den sidste nye bit i værktøjsbæltet, hvis der findes en nemmere løsning?
Læs indlæg

Premium
Teaser billede
KMD udpeger nyt direktionsmedlem: Skal stå i spidsen for ny forretningsenhed
Læs mere »
Nul overblik: Regeringen aner ikke hvem der bruger teknologi til ansigtsgenkendelse herhjemme
Her kommer de cyberkriminelle fra: Flere europæiske lande blandt de største hacker-lande i verden
Om 14 dage lukker Broadcom ned for al salg af løsninger fra VMware: Skal flyttes over på Oracles ERP
Se alle »
Computerworld
Teaser billede
Test af ny generation af video-overvågning: Her tilbydes de bedste features – nu til en skarpere pris
Læs mere »
Tesla sender ny Model Y på gaden – sætter rækkevidderekord
Ny Windows-maskine fylder mindre end et kreditkort
Får du den løn, du fortjener? Få overblikket over hvor meget dine kolleger tjener hver måned
Se alle »
CIO
Teaser billede
Danske SAP-konsulenter er for gamle: Kan blive et kæmpe problem
Læs mere »
Vil droppe alle Microsoft-løsninger på 30.000 pc’er og skifte til Linux: Sådan skal det foregå
Aldrende SAP-konsulenter er et kæmpe problem i markedet: Virksomheder tør ikke uddanne nye
Citrix-ejer med 100 millioner brugere kaster gigantbeløb efter Microsoft-løsninger: Alle ansatte flyttes til M365 og Azure
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Får havudsigt: IBM Danmarks 700 medarbejdere flytter til nyt hovedkvarter om få dage
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Fujitsu Danmark fyrer medarbejdere og udfaser al nysalg af cloud
Se alle »
White paper
Teaser billede
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Læs mere »
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Sådan høster du forretningsfordelene ved Internet of Things
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »