Mange angrep mot bedrifter starter ikke med avansert hacking, men med noe enklere: å få tak i et brukernavn og passord. Når en angriper først har tilgang til en brukerkonto, kan de gjøre stor skade – lese e-post, stjele data, sende phishing til kolleger, eller få tilgang til sensitive systemer.

Identitetstrussel-deteksjon (ITDR) er Trusselvakts måte å oppdage og stoppe slike angrep før de får etablert seg.

Hva er ITDR?

ITDR står for Identity Threat Detection and Response – identitetstrussel-deteksjon og respons.

I stedet for å kun fokusere på virus eller nettverk, handler ITDR om å overvåke hvordan brukere logger på og oppfører seg i bedriftens IT-miljø. Systemet lærer seg hvordan ansatte normalt jobber, og varsler hvis noe brått ser annerledes ut.

Målet er enkelt: oppdage at en konto er kompromittert før angriperen rekker å gjøre skade.

Hvorfor er dette viktig?

Når en angriper får tilgang til en brukerkonto, ser det ofte helt normalt ut for systemene. De logger på med riktig brukernavn og passord, og får dermed samme tilgang som den ekte brukeren.

Problemet er at angriperen ikke oppfører seg helt som den ekte brukeren. De kan logge på fra et annet land, på rare tidspunkter, eller gjøre ting den ansatte aldri pleier å gjøre.

ITDR plukker opp nettopp slike avvik – og varsler før det er for sent.

Hva slags trusler oppdager ITDR?

Identitetstrussel-deteksjon overvåker fire hovedområder:

1. Kontokapring og innbruddsforsøk

  • Credential stuffing – Angripere prøver tusenvis av stjålne passord mot kontoen din
  • Brute force-angrep – Gjentatte påloggingsforsøk for å gjette passordet
  • Uvanlige innloggingsmønstre – Pålogging fra ukjent sted, ny enhet, eller uvanlig tidspunkt

Hvis noen plutselig logger på kontoen din fra utlandet klokken 03:00 om natten, er det grunn til å undersøke saken.

2. Mistenkelig bruk av apper og tilganger

  • OAuth-angrep – Forsøk på å gi ondsinnede apper tilgang til Microsoft 365
  • Uventede tillatelser – Brukere som godkjenner apper de aldri burde ha tillatt
  • Mistenkelige innstillingsendringer – Endringer i sikkerhet eller tilganger som ikke stemmer

Noen ganger lurer angripere brukere til å godkjenne en app som ser legitim ut, men som egentlig gir angriperen tilgang til e-post og filer.

3. Farlige tilkoblinger

  • Kjente angrepsnettverk – Pålogging fra IP-adresser knyttet til kjente angripere
  • Uvanlige lokasjoner – Pålogging fra land eller regioner brukeren aldri har vært i
  • VPN- eller proxy-tjenester – Tilkoblinger som skjuler angriperenss virkelige plassering

Hvis en konto plutselig logger på fra både Norge og Kina i løpet av ti minutter, er det noe som ikke stemmer.

4. E-postsvindel og dataeksfiltrasjon

  • Uautoriserte videresendingsregler – Angripere setter opp skjulte regler som sender kopier av all e-post til seg selv
  • Automatisert datauthenting – Mistenkelig nedlasting av store mengder data
  • Endringer i innboksregler – Regler som skjuler eller sletter viktige varsler

Dette er vanlig i såkalte «direktørsvindel»-angrep, hvor angripere kaprer en e-postkonto og bruker den til å lure ansatte til å overføre penger.

Hvordan fungerer ITDR?

ITDR bruker kunstig intelligens til å lære seg bedriftens normale mønstre, og varsler når noe bryter med det vanlige.

1. Etablering av normalatferd

Systemet bruker rundt en uke på å lære seg hvordan hver bruker normalt oppfører seg:

  • Hvor logger de vanligvis på fra?
  • Hvilke enheter bruker de?
  • Når er de aktive?
  • Hvilke systemer og filer bruker de oftest?

Etter hvert bygges det opp en profil for hver ansatt og bedriften som helhet.

2. Kontinuerlig overvåkning

Hver pålogging, hver handling og hver endring overvåkes i sanntid. ITDR sammenligner det som skjer nå med det som er normalt for akkurat denne brukeren.

Hvis noe avviker, vurderes det om det kan være et tegn på angrep.

3. Korrelasjon av hendelser

Det som gjør ITDR kraftig, er at den ikke bare ser på enkelttilfeller isolert. Systemet kobler sammen flere små avvik til et helhetsbilde.

For eksempel:

  • Pålogging fra ny enhet + ukjent sted + midt på natten = høy risiko
  • Ny app godkjent + endring i e-postregler + nedlasting av mange filer = mistenkelig aktivitet

Kunstig intelligens vurderer om disse hendelsene samlet sett tyder på et angrep.

4. Varsling og respons

Når ITDR oppdager noe mistenkelig, varsles Zalt automatisk. Avhengig av alvorlighetsgrad kan ulike tiltak settes inn:

Lav risiko:

  • Hendelsen logges og overvåkes videre
  • Ingen umiddelbar handling

Middels risiko:

  • Zalt vurderer hendelsen manuelt
  • Du kan bli kontaktet for å bekrefte om aktiviteten er legitim
  • Tiltak kan settes inn ved behov

Høy risiko:

  • Kontoen kan suspenderes øyeblikkelig
  • Alle aktive økter avsluttes
  • Brukeren varsles og må bekrefte identitet før tilgang gjenopprettes
  • Zalt følger opp hendelsen og undersøker omfanget

Hva merker jeg som bruker?

Som regel merker du ikke at ITDR jobber i bakgrunnen. Overvåkningen skjer automatisk og påvirker ikke arbeidshverdagen din.

Men i noen situasjoner kan du oppleve at:

Du får en melding om mistenkelig aktivitet

Hvis ITDR oppdager noe uvanlig, kan du få en melding fra Microsoft eller Zalt som ber deg bekrefte at det er du som logger på.

Dette skjer ofte hvis du:

  • Logger på fra en ny enhet første gang
  • Reiser til utlandet og bruker Microsoft 365 derfra
  • Bytter internettleverandør eller bruker en annen internettforbindelse

Du trenger bare å bekrefte at det er deg, så får du tilgang som normalt.

Påloggingen din blokkeres midlertidig

I noen tilfeller kan en pålogging bli stoppet helt inntil Zalt har vurdert situasjonen. Dette skjer hvis systemet mistenker at kontoen er kompromittert.

Du vil da få beskjed om at tilgangen er sperret, og Zalt vil kontakte deg for å verifisere identiteten din.

Dette kan virke frustrerende, men det er en viktig sikkerhet – bedre å sperre en konto i ti minutter enn å la en angriper få tilgang.

Zalt tar kontakt for å sjekke noe

Hvis ITDR oppdager mistenkelig aktivitet, kan Zalt kontakte deg for å bekrefte om det er du som har gjort noe spesifikt.

For eksempel:

  • «Var det du som godkjente denne appen?»
  • «Logget du på fra Warszawa i går kveld?»
  • «Har du satt opp en regel som videresender e-post til en ekstern adresse?»

Svar ærlig. Hvis du ikke kjenner deg igjen, kan det bety at kontoen din er kompromittert.

Hva skal jeg gjøre hvis jeg får et varsel?

Hvis du får en melding fra ITDR eller fra Zalt om mistenkelig aktivitet:

1. Ta det på alvor

Ikke ignorer varselet. Hvis systemet reagerer, er det en grunn til det.

2. Bekreft eller avkreft aktiviteten

Tenk gjennom om det Zalt eller systemet spør om er noe du faktisk har gjort.

Eksempler:

  • Var du pålogget på det tidspunktet?
  • Er det en enhet du eier eller bruker?
  • Har du godkjent den aktuelle appen?

3. Endre passord hvis du er usikker

Hvis du mistenker at noen andre har tilgang til kontoen din, endre passordet umiddelbart og varsle Zalt.

4. Samarbeid med Zalt

Hvis Zalt kontakter deg, svar så raskt som mulig. Jo fortere vi kan bekrefte hva som har skjedd, jo fortere kan vi sikre kontoen din.

Hva kan jeg selv gjøre for å beskytte kontoen min?

ITDR gjør mye, men du er fortsatt den viktigste forsvarslinjen. Her er enkle grep som reduserer risikoen for kontokapring:

Bruk flerfaktorautentisering (MFA)

Hvis passordet ditt blir stjålet, hindrer MFA angriperen fra å logge på. Dette er den viktigste sikkerheten du kan ha.

Les mer i artikkelen «Hvordan bruke flerfaktorautentisering (MFA)».

Bruk sterke og unike passord

Ikke gjenbruk passord på tvers av tjenester. Hvis én tjeneste blir hacket, står angripere plutselig med passordet ditt til alt annet også.

Bruk en passordbehandler for å lage og lagre sterke passord.

Vær skeptisk til apper som ber om tilgang

Hvis en app ber om tilgang til Microsoft 365, spør deg selv:

  • Kjenner jeg denne appen?
  • Virker tilgangene den ber om rimelige?
  • Trenger jeg virkelig denne appen?

Hvis du er usikker, kontakt Zalt før du godkjenner.

Ikke klikk på mistenkelige lenker

Phishing-e-poster prøver ofte å lure deg til å oppgi brukernavn og passord på en falsk påloggingsside. Hvis du får en uventet e-post som ber deg logge på, vær ekstra varsom.

Les mer i artikkelen «E-postbeskyttelse».

Sjekk hvor kontoen din er pålogget

I Microsoft 365 kan du se hvor kontoen din er pålogget:

  1. Gå til Kontosikkerhet i Microsoft 365
  2. Se over aktive økter
  3. Hvis du ser noe du ikke kjenner igjen, avslutt økten og endre passord

Oppsummert

  • ITDR oppdager og stopper forsøk på å kapre brukerkontoer
  • Systemet lærer seg din normale atferd og varsler ved avvik
  • Overvåker pålogginger, appgodkjenninger, e-postregler og mistenkelige handlinger
  • Zalt varsles automatisk og setter inn tiltak ved behov
  • Du kan oppleve at pålogginger må bekreftes eller at kontoen sperres midlertidig
  • Bruk MFA, sterke passord og sunn fornuft for å beskytte deg selv

Har du fått et varsel fra ITDR, eller er du usikker på om kontoen din er trygg? Kontakt Zalt på support@zalt.no. Vi hjelper deg å sjekke og sikre kontoen din.