För att förhindra att en angripare kan använda sig av existerande konton som finns i it-miljön behöver organisationen har kontroll på konton och tilldelade behörigheter. En viktig del är att ha starka autentiseringsfunktioner samt att vara medveten om att lösenord ofta är en sårbarhet som en angripare gärna utnyttjar.
En angripare som använder sig av ett existerande konto gör det svårt för de som övervakar it-miljön att upptäcka felaktig användning. Det förekommer att konton som utgivits till tidigare leverantörer och anställda både är aktiva och är tilldelade behörigheter även långt efter att leverantörsrelationen eller anställningen avslutats. Även konton som använts av tjänster och system kan vara aktiva långt efter att tjänsten eller systemet tagits ur drift. Konton som använts när säkerhetstester gjorts i produktionsmiljön kan också glömts kvar i it-miljön. Detta ger möjlighet för en angripare att nyttja dessa konton för åtkomst till organisationens information.
Att använda samma kontouppgifter i test- och utvecklingsmiljöer som i produktionsmiljön öppnar för angripare att komma över kontouppgifterna i de ofta mindre skyddade test- och utvecklingsmiljöerna och sedan nyttja dessa för att bereda åtkomst till produktionsmiljön.
Kvalitén på lösenord är ofta väldigt låg vilket innebär att en stor del av lösenorden går att gissa sig till utifrån modifierade ordlistor eller genom att prova ett litet antal mycket vanligt förekommande lösenord mot ett stort antal kontonamn (lösenordssprejning).
I informationssystem där standardlösenordet inte är ändrat räcker det för en angripare att prova det lösenord som står i systemdokumentationen som ofta är publicerad på internet.
En angripare kan på relativt enkelt sätt få tillgång till ett lösenord genom att lura användaren att skriva in uppgiften på en förfalskad webbsida (nätfiske, eng. phishing). Genom att få vetskap om lösenordet i ett informationssystem kan angriparen använda det även i andra informationssystem där användaren använder samma lösenord.
Tilldela endast specifika och unika konton för användare och tjänster. Etablera ett arbetssätt (företrädesvis automatiserat) att förvalta konton som innebär att hela livscykeln hos ett konto aktivt följs så att när en användare slutar eller en tjänst har tagits ur drift inaktiveras kontot. Konton som förväntas vara kortlivade, t.ex. sådana som ges ut till konsulter, förses med en tidpunkt för när de inaktiveras. Åtgärder införs för att följa upp att detta är gjort och att behörigheter är återtagna. Konton som inte använts under en viss tid inaktiveras automatiskt.
Radera inte konton, utan inaktivera dem och ta bort tilldelade behörigheter. Ett konto som raderas blir svårt att följa i äldre säkerhetsloggar, samt att det finns en risk att samma kontonamn återanvänds vid ett senare tillfälle.
Prioritera att använda flerfaktorsautentisering för
Säkerställ att flerfaktorsautentiseringen är korrekt implementerad. Om ett informationssystem accepterar åtkomst med enbart lösenord parallellt med flerfaktorsautentiseringen så finns det från en angripares perspektiv ingen flerfaktorsautentisering utan säkerheten är i slutändan baserad på lösenord. Tillse därför att konton där flerfaktorsautentisering inte stöds tvingas använda unika och långa lösenord. Tillhandahåll systemstöd för lösenordshantering för att motverka att lösenord skrivs ned i klartext eller att de återanvänds mellan olika tjänster.
Logga användningen av konton och övervaka t.ex. om den förväntade användningen ändras i form av inloggningstid, antal inloggningar inom en tidsperiod, längd på aktivitet och från vilka informationssystem inloggning sker. Säkerhetsloggarna behöver skyddas mot obehörig åtkomst och förändring, t.ex. mot att ändras av en angripare eller illojal medarbetare i syfte att undanröja spår. Skyddet bör vara av sådan art att organisationen med säkerhet kan lita på innehållet i loggarna och att uppgifter om enskild persons aktivitet särskilt skyddas.
Var uppmärksam på de konton som inte hanteras av en central behörighetsfunktion, i synnerhet sådana konton som till sin natur har systemadministrativa behörigheter. Det kan handla om inbyggda konton som används för systemadministration av en molntjänst, en databasinstans, eller nätverksutrustning.