Når sekunderne mellem opdagelse og katastrofe afgør alt
På overvågningsskærmen dukker spidser op i udgående trafik, efterfulgt af en rød streg på port 445: blokeret. Administratoren, iført hættetrøje, folder armene og trækker vejret lettet – nogen forsøgte netop at ringe ud. Han klikker ind i loggen, ser forsøget, ser den forgæves handshake-storm og mærker pulsen falde. Stilheden før alarmen er altid den mest øredøvende. For to uger siden justerede han egress-reglerne mellem to møder, næsten modvilligt. Nu betaler det uforudsigelige øjeblik sig. Det handler sjældent om magi. Snarere om små kanter, der gør knive sløve.
Otte regler træffer afgørelsen.
Minutternes vinduer, hvor alt vælter
Ransomware krypterer ikke straks. Den søger først veje ud, åbner døre, kobler sig til omverdenen: kommandokontakt, lateral bevægelse, dataflyt. I disse afgørende minutter afgør muren, ikke scanneren.
En firewall, som styrer udgange og holder segmenter rent adskilte, tager Akira luften. Ikke spektakulært, men bæredygtigt.
En IT-chef fortalte mig om en nattevagt på fabrikken: Forsendelsen stod stille, fordi filserveren ikke svarede. Udenfor regn, indenfor neonlys. De nye regler blokkede RDP udefra og snorede SMB mellem afdelinger af. 23 forbindelsesforsøg døde i ingenmandsland, før nogen genopstartede kaffemaskinen. Det øjeblik kender vi alle – når halsen snører sig sammen, og så sker der ingenting, fordi noget lille var rigtigt på forhånd.
Logisk set kræver det få knudepunkter: Den, der ikke lader RDP trække vejret frit, binder SMB kun til definerede servere og holder DNS i kort snor, halverer angrebsfladen. Egress-Deny forvandler panisk reaktion til planlagt forebyggelse. Segmentering uden egress-kontrol er en papirtiger.
Otte præcise firewall-regler, der bremser Akira
Forestil dig fire bevægelser: udgående lukket, sidelæns snævert, indgang kun gennem forrum, og alt, der må tale, kendes ved navn. Begynd med en monitor-tilstand, indsaml data i en uge, skift derefter stykke for stykke til blokering. Små skridt, klare tidsrammer, en rollback i lommen.
Typiske snublesten: RDP "bare kortvarigt" åbnet, fordi tjenesteudbyderen venter. Slutenheder direkte ind i offentlig DNS, "går hurtigere". Eller mavefornemmelsen af, at internt er "alle søde alligevel". Lad os være ærlige: Ingen rydder gamle undtagelser op hver dag. Byg derfor på tilladelseslister frem for mod. Skriv undtagelser med udløbsdato og ejer. Sådan bliver regelkæden ikke hængende som et fossil i systemet.
En erfaren SOC-leder sagde engang til mig:
"Firewalls er ikke kunst – de er hygiejne. Og hygiejne virker før feberen."
Disse otte regler er små, men de griber ind tidligt.
- RDP kun gennem forrummet: Indgående TCP/3389 fra internettet droppes hårdt. Adgang udelukkende via VPN og en bastion-vært, interne RDP-flows bindes med ACL.
- SMB aldrig udad: Udgående TCP/445/139 fra klientnetværk til internettet blokeres. Tillades kun til definerede filservere og DC'er i egne netværk.
- Sidelæns bevægelser snøres ind: RPC/WMI (TCP/135, 593, dynamiske 49152–65535) og SMB mellem segmenter spærres. Tillades kun for administrationsundernet og backup-jobs.
- Egress-Deny som grundholdning: Standard "alt udgående blokeret", derefter frigives per FQDN/proxy til HTTPS, mail, NTP, opdateringstjenester. Ukendte high-ports lades sande til.
- DNS i kort snor: UDP/TCP 53 kun til interne resolvere. DoT/DoH spærres (TCP/853 og gængse DoH-endepunkter), eventuelt DNS-redirect til resolveren.
- Fjernadgang under opsyn: Forretningsmæssigt godkendte værktøjer på tilladelsesliste, øvrige remote-access-signaturer og ukendte tunnelprotokoller blokeres eller TLS-inspiceres.
- Geo/reputation som filter: Indgående/udgående til regioner uden forretningsmæssig tilknytning forkastes. Trusselfeeds til C2/anonymizer-netværk indlæses automatisk.
- Rater og mønstre begrænses: Forbindelsesrater på RDP/SSH/SMB/VPN per kilde drosles, scans kappes tidligt. Fejlforsøg spærres midlertidigt.
Hvad består, når støvet lægger sig
Disse regler er ikke en borg, de er bremser. De vinder tid. Tid, hvor en SOC-alarm er højere end en krypteringskørsel, hvor backups forbliver offline, hvor et passwordskifte kan få virkning.
Den, der gør udgangen snæver, tvinger angribere ind på ubekvemme veje. Pludselig bliver den hemmelige upload til skyen til en forhindringsbane. Pludselig falder et mærkeligt DNS-navn i øjnene.
Det skønne: Hver af disse regler kan måles. Mindre støj i loggen. Mindre port-flirteri om natten. Og der opstår en ny refleks i teamet: Først tillade, så forklare. Ikke omvendt. Sikkerhed føles så ikke som alarm, men som rutine.
| Nøglepunkt | Detalje | Interesse for læseren |
|---|---|---|
| Egress-Deny som standard | Udgående som standard blokeret, derefter målrettet frigivet per FQDN/proxy | Klarhed, færre overraskelser, synlig kontrol |
| RDP/VPN kun via bastion | Ingen åben RDP, adgang kun via VPN og jump-host | Bryder gængse initialadgange fra aktører |
| DNS- og DoH-kontrol | Kun interne resolvere, DoT/DoH spærres, eventuelt redirect | Opdager C2-domæner og forhindrer stille omgåelser |
Ofte stillede spørgsmål:
- Blokerer disse regler alle Akira-varianter? Ingen beskyttelse er absolut. Men de kapper de typiske veje: RDP, SMB, DNS-misbrug, C2-udledning.
- Ødelægger vi legitime workflows hermed? Kun hvis frigivelser mangler. Start i monitor-tilstand, lav inventar over mål, tillad målrettet og med udløbsdato.
- Hvad med Linux, ESXi og backups? Principperne gælder tilsvarende: Segmentering, egress-deny, administrationsadgange kun fra dedikerede netværk, backup-net isoleret.
- Hvordan tester man uden nedetid? Skift regler først til "alert/drop-preview", brug ændringsvindue, hold en rollback klar. Dokumentér hver undtagelse.
- Hvilke logfiler hjælper ved finjustering? Firewall-drops efter destination/port, DNS-forespørgsler, proxy-blokeringer, VPN-auth-fejl. Kombinationen viser mønstre, ikke enkelte pings.
