Vi går i feriemodus, hva gjør hackerne?

Mange investerer i boligalarmer som passer på boligen når vi er på ferie. Jeg er også en av disse, og det føles trygt. Til nå har det heldigvis bare vært uttrykninger forårsaket av katten og en uheldig blomstervanner, som i hvert fall viser at systemet fungerer og tilliten min til vaktselskapet stiger. Men, hvordan har tilstanden vært på jobben?

Nå som mange av våre verdier er blitt digitale, er det vel så viktig å sikre seg med en hvit boks til PCen. Med jobbpapirene mine sikret koste jeg meg på ferie, uten å måtte logge meg på for å sjekke om alt er som det skal.

Dersom alarmen går

I IT-verden kalles denne hvite boksen et Security Console eller SIEM (Security Information and Event Management). Her legger vi inn logger fra alle enhetene vi ønsker overvåket. Hos de fleste gjelder dette brannmur, IDS og lignende. Går boligalarmen hjemme hos meg, er det en vekter som logger seg på et av de mange videokameraene installert i følerne i taket. Denne vekteren vil med en gang avgjøre om det er katten eller en kar med finlandshette og brekkjern som står i stua mi.

Dersom det er katten, kalles dette en falsk positiv, og alarmen gjenopprettes. Om det står en skurk der, iverksetter vaktselskapet en utrykning: de hiver seg i bilen og prøver forhindre skade og ta skurken, og politiet blir kontaktet. På samme måte, ved et digitalt innbruddsforsøk ved din virksomhet, er MSS (Managed Security Service) kameraet i taket, med IT-spesialister som sitter 24/7 og ser på loggene for å avgjøre om det er «katta» eller skurken». Om det er skurken med brekkjern, kan Atea IRT (Ateas blålys-team) rykke ut og avverge situasjonen som et vaktselskap.

Alle blir hacket

John Chambers, tidligere CEO i Cisco Systems, var ganske nær sannheten da han noe kontroversielt uttalte: – Det finnes to typer selskaper, de som har blitt hacket, og de som ikke vet at de har blitt det. Rapporter fra KRIPOS og NSRs viser at omtrent halvparten av norske virksomheter blir hacket, men bare fem prosent (4000) av bedriftsnorge er klar over at de har blitt det. Kun én prosent av tilfellene blir anmeldt. Dette betyr at omfanget av datakriminalitet er mye større enn vi tillater oss å tro. 

Her er åtte eksempler på hacking Atea har rapportert denne våren:

• Løsepengevirus: Wannacry og NotPetya/Nyetya fikk mye oppmerksomhet.
• CEO-svindel: Ulike fremgangsmetoder, men hovedsakelig noen som utgir seg for å være leder og ber økonomiavdelingen om å gjennomføre en hasteutbetaling.
• Klassiske virusutbrudd: Brukere mottar epost fra kilder de stoler på, åpner vedlegg av type faktura/regneark, når de er infisert sendes de automatisk videre til alle sine kontakter som igjen stoler på avsender.
• Dokumenter på avveie på grunn av bruker, tredjepart eller systemfeil, som blir tilgjengelig på internett.
• Mistanke om uønskede gjester: rapporter om at loggene viser nye påloggingsforsøk fra ukjente enheter.
• Mistanke om misbruk av tjenester fra ukjent part: en opplever manipulasjon av data som ikke lar seg forklare, ingen har angivelig gjort noe.
• Svindel: falske domener og nettsider settes opp for å lure brukere.
• Det er mange som ikke bruker 2-faktor/MFA og blir fralurt brukernavn og passord for så oppleve at Office 365 eller andre skybaserte tjenester blir misbrukt fra ulike steder i verden.

Mange har gått i skyen siste årene. Dette er en utvikling med mange fordeler, men på reisen til skyen ser vi at ikke alle er flinke til å sikre seg godt nok, fordi man forventer at skyen er sikker alene. Dette er særlig viktig når det er sommerferie, for hackerne tar ikke ferie.

Tips til hva virksomheter bør gjøre for å sikre seg:

1. Se over hvilke rutiner virksomheten har lagt dersom noe uventet og uønsket skulle skje.
2. Kartlegg hva slags sikkerhetskompetanse man har selv.
3. Ta en sikkerhetsgjennomgang for å avdekke hvor man er sårbar i virksomheten, og hvilke tiltak man bør iverksette. 
4. Investere i et SIEM-verktøy som produkt eller tjeneste. På denne SIEM-løsningen setter man en MSS, en tjeneste som sørger for at noen følger med 24/7, og fortløpende gjør en kvalifisert analyse av hendelser når de oppstår. Man kan så igjen linke SIEM og MSS opp til et IRT.

Går du gjennom denne sjekklisten allerede nå, slipper du å grue deg til feriegruffet, og kan heller bruke energien på kverrulante teppeselgere i Marrakech eller naboens nye Cabin Cruiser.

For mer informasjon om IT-sikkerhet, følg meg på Twitter.

Med ønske om en fortsatt fin, og hackerfri sensommer,

/TT