01-11-2021

Står vi ovenfor mestertyver eller vandaler?

Det er på tide å ta tak! Alt for få virksomheter har kontroll på de grunnleggende faktorene rundt sin egen virksomhets it-løsning, sier Vegard Kjerstad, leder for Atea Incident Response Team.

Vegard Kjerstad Leder Incident Response Team (IRT), Atea Norge.

Denne kommentaren ble først publisert i Computerworld. 

En av de ofte brukte fremstillingene når en snakker om dataangrep, er hvordan de skiller seg fra fysiske innbrudd. Ved fysiske innbrudd ser en lett knuste ruter eller oppbrutte dører. Til sammenligning ser vi mange eksempler på før- og etter bilde av et serverrom der det ikke er mulig å se noe fysiske tegn etter innbruddet. 

Nå skal det sies at jeg godt forstår hvorfor en bruker det eksempelet, men samtidig kan en jo si at det ikke er helt riktig fremstilling, da en i aller høyeste grad kan se forskjell før og etter også på et digitalt angrep.

Ninja - uten fotavtrykk? 

Vi hører ofte om eksempler på svært avanserte og profesjonelle hackere som sletter sporene etter seg og nærmest som en ninja sniker seg inn og ut, uten å bli oppdaget. Dette fremstiller hackere som mestertyver som har foretatt en nøye planlegging og som ligger i forkant, i stedet for de vandalene som de oftest er. Jeg mener ikke å skjære alle over en kam, for det finnes for all del både ninjaer og mestertyver. Det vi i realiteten ser fra de hendelsene som mitt team får flest av i fanget, er at det alltid er noen spor å finne. Det er faktisk svært sjelden at det er antydninger til at angriperne har forsøkt å skjule sporene sine. 

Siden sjansen for å bli tatt er liten, tillater de fleste angripere seg å være støyende. Poenget mitt at en virksomhet som har iverksatt riktige prosesser og verktøy både kan detektere og i mange tilfeller avverge alvorlige dataangrep før skaden utføres.  

Mulig jeg slår inn åpne dører her, men jeg hører ofte dette utsagnet: "Om de avanserte aktørene vil inn, så kommer de seg inn", gjerne i en tone med resignasjon. Det blir for meg en feilaktig fremstilling av utfordringene vi står ovenfor, for selv om aktørene er avanserte så er dørene som brukes inn i virksomhetene godt kjente og mulig få satt en lås på.

Ta grep

Det er på tide å ta tak! Alt for få virksomheter vi rykker ut på har tilsynelatende kontroll på de grunnleggende faktorene rundt sin egen virksomhets it-løsning. Et kraftig sikkerhetsløft kan faktisk være så enkelt som å kartlegge hvilke systemer man har og hvilke kritikaliteter disse har for virksomheten. Man kommer langt med å sørge for å ha full oversikt over hva som eksisterer av løsninger i dag, hvilke rolle systemet/enheten spille for virksomheten og hvilke typer data som befinner seg i løsningen. Dette vil føre til en mer effektiv håndtering når krisen har kommet over dørstokken.

Alt vi kan spare tid på når man blir kompromittert og krisen skal håndteres, er til stor hjelp. Listen over hva vi må kartlegge og granske blir mer enn lang nok uansett. 

Det er både kompetente og ressurssterke aktører som står bak mange av angrepene. Jo sterkere de blir, desto bedre økonomi er det i dette for de kriminelle. Det er ofte for lettvint for angriper å få et fotfeste. Om en ser tilbake det siste året, har blant annet sårbarheter i VPN-løsninger vært et kjempeproblem. Vi kan sammenligne de sårbare løsningene med å ha bakdøren på gløtt og slippe inn angriperne som på svært effektivt vis tar seg til rette ved å kartlegge virksomheten sine it-systemer, stjele data og kryptere serverne.  

Når vi har utdaterte løsninger, liten eller ingen evne til å fange opp at noen herjer rundt på serverne våre, kombinert med begrenset innsamling av logger, er vi bakpå. Skal vi ha mulighet å lykkes i kampen mot de kriminelle, må vi alle sammen gjøre de grunnleggende tiltakene som er lett tilgjengelige. 

Heldigvis finnes det mange som gjør et godt stykke arbeid, men jeg tør påstå at majoriteten av norske virksomheter dessverre ligger for langt bak på sikkerhetsarbeidet.

Skremselspropaganda?

Det er sikkert mange som mener jeg prøver «skremme» for å få solgt nye eller flere løsninger. Det er til en viss grad forståelig da jeg jobber i den kommersielle delen av it-sikkerhets bransjen. Men dette handler om realiteten jeg til daglig opplever. Det er så mange hendelser som kunne vært helt unngått eller fått vesentlig reduserte konsekvenser dersom man tok tak i de grunnleggende sikkerhetstankene, uten å nødvendigvis blåse av store summer. Et annet faktum er at med de riktige verktøyene vil opprydningen og skadebegrensningen blir mye mer effektiv når "the shit hits the fan".

Jeg kan trekke frem et konkret eksempel vi nylig har hatt. Her var det to parallelle pågående hendelser, der samme trussel-aktør stod bak i begge situasjonene. I det første tilfellet var det lite sikkerhetsprodukter og/eller loggstrategi. I det andre tilfellet var det gode logger og en EDR-løsning (endpoint detection and response) i drift. Forskjellen i påløpte timer det tok for å kartlegge hvordan hendelsen hadde oppstått med å tegne tidslinjen og metodikk benyttet, var enorm. I sistnevnte tilfelle hadde vi det meste av svarene samme dag, mens i det første tilfellet tok det flere uker å få bekreftet tilsvarende. 

Kort oppsummert: Det er fullt mulig å redusere risiko for at din virksomhet blir neste offer på listen til de kriminelle, og man kan med enkle grep sikre seg for å være mer motstandsdyktig når hendelsen først inntreffer. Vi må ta tak for å unngå å være lavest hengende frukt som de kriminelle plukker. 

Om en er usikker på hvor en skal starte så kan grunnprinsippene til NSM være en god inspirasjonskilde.