De som står bak de farligste angrepene er veldig lik deg og meg. De står opp, spiser frokost med familien, og tar bussen til kontoret, hvor de sammen med gode kollegaer i tverrfaglige team jobber med å spionere, stjele, svindle og sabotere sine ofre.
Joda, noen datakriminelle lever opp til stereotypen; den ensomme ulven som sitter i hettegenser i en mørk kjeller og på magisk vis bryter seg raskt inn i dine systemer. Men de som står bak de farligste angrepene er veldig lik deg og meg.
Om forfatteren av innlegget
Joachim Holler Deisz er IT-sikkerhetsrådgiver med lang erfaring både som konsulent og som sikkerhetsleder «i linjen». Han har jobbet med de fleste aspekter av sikkerhet, og er spesielt opptatt av realistiske og brukervennlige sikkerhetstiltak.
De kriminelle organisasjonene inngår i en nettverksøkonomi der de kjøper tjenester av hverandre og spesialiserer seg på ulike deler av verdikjeden, f.eks. utvikling av skadevare, forhandling med angrepsofre, videresalg av stjålet informasjon, hvitvasking av gevinster etc.
I land som Russland, Nord-Korea og Kina har man utviklet et godt offentlig-privat samarbeid om dataangrep og spionasje mot vestlige land som Norge.
Hvem er trusselaktørene?
Vi kan grovt dele de inn i disse gruppene:
Statlige aktører
Statlige aktører angriper for å tjene egne nasjonale interesser, både politisk og på vegne av sitt eget næringsliv
- Svært ressurssterke
- Holder gjerne lav profil over lang tid for å stjele så mye informasjon som mulig
Organisert kriminalitet
Organisert kriminalitet er ute etter penger eller pressmidler for å oppnå en gevinst. Dette er en stor og lønnsom forretning! På verdensbasis er datakriminalitet en større næring enn narkotikasmugling.
- Profesjonelle og ressurssterke aktører
- Angrepet kan lenge være «usynlig» for å unngå mottiltak, men offeret merker tydelig når angriperen er klar for å gi seg til kjenne
Kontraktører
Kontraktører er digitale leiesoldater som jobber for stater og kriminelle, forretningsfolk, politikere eller hvem som helst som vil kjøpe tjenestene.
- Profesjonelle og ressurssterke aktører
- De holder den profilen oppdraget krever
Hacktivister
Hacktivister angriper for å markere politisk eller ideologisk standpunkt (f.eks. miljøvern eller nasjonal tilhørighet). De ønsker oppmerksomhet om saken eller å skade «de slemme».
- Bråkete, for nettopp publisitet er et viktig mål for disse aktørene
- Ofte relativt harmløse angrepstyper, som kortvarige tjenestenektangrep eller defacing av nettsider
Småkriminelle
Småkriminelle er de som svindler enkeltpersoner, de som eksperimenterer med hacking (scriptkiddies) og de som gjør skade for å oppnå respekt i hackermiljøet.
- Bråkete amatører som vi hører mye om nettopp fordi de lager støy.
- Skaden er oftest meget begrenset i et samfunnsperspektiv, men kan være alvorlig nok for den enkelte som rammes
⏫ Jo høyere opp i hierarkiet, jo mindre støy og jo større skadepotensiale
Opportunister og Målrettede aktører
Vi kan videre dele trusselaktørene inn i Opportunister og Målrettede aktører. Rundt 95 % av alle angrep er økonomisk motivert, og mer enn 80 % stammer fra organisert kriminalitet.
De opportunistiske angrepene er klart flest – og bra er det. Opportunistene gjør nemlig kost-nytte-vurderinger!
Er du et vanskelig mål som ikke kan gi ekstraordinært utbytte? Da prøver de seg heller på noen andre.
.png)
Det er mye lettere å unngå skadelige angrep fra opportunistene enn de som har bestemt seg for å ta akkurat deg – koste hva det koste vil.
De opportunistiske angrepene er klart flest – og bra er det. Opportunistene gjør nemlig kost-nytte-vurderinger!
Joachim Holler DeiszMen hvis angriperne er opportunistiske, hvorfor hører vi så ofte om målrettede angrep?
Svaret er at angriperne er opportunister bare frem til målet peker seg selv ut, litt slik en løveflokk jager en gruppe byttedyr og speider etter det svake individet de skal sette inn et målrettet angrep mot.
En viktig forskjell er at der løveflokken må velge seg ett svakt individ, kan cyberkriminelle angripe alle mål med en bestemt svakhet samtidig! Målet er å etablere fotfeste for senere og mer alvorlige angrep.
Så hvordan tenker en opportunistisk hacker?
Mange har hørt om Cyber Kill Chain, (etterretning, velge angrepsvektor, få fotfeste, ekspandere/traversere, oppnå mål, eksfiltrere) som brukes både når vi gjør penetrasjonstester og når trusselaktører utfører et målrettet angrep. Men de fleste angrep er altså ikke opprinnelig målrettede.
For den opportunistiske trusselaktøren gjelder det å oppnå størst mulig gevinst, med minst mulig innsats og risiko. Det beste er tekniske angrep levert på trygg avstand.
Hackeren vil holde lav profil så lenge som mulig under angrepet, metoder de ofte bruker er:
Kjente sårbarheter: Selv de mest ressurssterke hackerne bruker de enkleste verktøyene først: Angrep via kjente sårbarheter vi er for sene med å "patche". Dette er angrep som enkelt kan automatiseres og åpner for å angripe veldig mange med liten innsats.
Phishing/Spearphishing: Å lure noen til å installere skadevare eller gi fra seg innloggingsdetaljer er ofte det neste trikset angriperen tyr til.
Phishing er faktisk den vanligste veien inn (>40 %) ved vellykkede angrep, men gir større sjanse for at angriperen blir oppdaget.
Ukjente sårbarheter: Zero-days – altså sårbarheter som ikke er offentlig kjent og som det derfor ikke finnes en fix for - er noe angriperen kun vil bruke på høyt prioriterte mål. Det er stort sett bare de mest ressurssterke aktørene som har tilgang på disse.
Følger du disse tipsene er du godt skodd
Nasjonal Sikkerhetsmyndighet (NSM) har utarbeidet en liste over Grunnprinsipper for IKT-sikkerhet. Les listen via NSM sin nettside, lenke her.
Følger du disse er du svært godt skodd mot nesten hva som helst av cyberangrep. For mange organisasjoner vil et slikt sikkerhetsopplegg imidlertid bli for krevende, så vi har plukket ut det vi mener er de viktigste tiltakene for å beskytte seg mot de opportunistiske angriperne.
1. Kjenn deg selv: Hvis du ikke har oversikt over hva som skal beskyttes vil du heller ikke klare å beskytte det. En opportunistisk angriper vil kartlegge alt du eksponerer, og sjekke om noe av dette har svakheter som kan utnyttes. Det er derfor viktig at du selv vet hvilke systemer du har og hva som eksponeres utad.
Når vi gjør tester for kunder finner vi svært ofte “glemte ” endepunkter. Dette kan være test- og utviklingsmiljøer, domener som ble opprettet for et bestemt arrangement og siden glemt (f.eks. av typen «sommerfest.minorganisasjon.no»), skjemaer for utfylling, servere som er direkte eksponert mot Internett, etc.
Endepunkter vi har glemt er sannsynligvis ikke oppdatert, og har derfor ofte sikkerhetshull som kan utnyttes. Det er enkelt og rimelig å få gjennomført en angrepsflateanalyse, for eksempel ved å kontakte oss i Bouvet.
2. Oppdater systemer og klienter: De aller fleste tekniske angrep skjer mot kjente sårbarheter som det finnes en tilgjengelig fix for. Når en ny sårbarhet offentliggjøres starter et kappløp mellom de som vil utnytte sårbarheten og oss som vil beskytte oss mot den. Og her står det av og til om timer, ikke uker, før vi ser de første angrepene.
Det er derfor viktig at organisasjonen har rutiner for å følge med på hva som kommer av sikkerhetsoppdateringer og en prosess for å implementere kritiske oppdateringer umiddelbart. Dette betyr også at det må stilles krav til underleverandører, og at systemarkitekturen bør tåle patching uten å måtte vente til avtalte servicevinduer eller lignende.
3. Bruk multifaktor autentisering (MFA): Mange angrep starter med at angriperen lurer til seg innloggingsdata i form av brukernavn og passord. Disse har mindre verdi om det i tillegg kreves en annen faktor, som engangskode eller et godkjenningstrinn via telefon. Merk at session tokens også er verdifulle for trusselaktører.
Dersom du huker av for at en innlogging skal være gyldig i for eksempel 60 dager, så lagres det en «billett» på PC-en din som kan stjeles og brukes av andre. Det er derfor lurt å logge ut etter endt arbeidsdag selv om du får bryderiet med å logge inn igjen neste dag.
4. Sikkerhetskopier dataene dine, og sjekk at sikkerhetskopien virker: Sikkerhetskopien må også være umulig å overskrive eller slette for å være sikker på at en angriper ikke kan ødelegge den sammen med de andre dataene dine.
En fungerende sikkerhetskopi reduserer skadevirkningen av f.eks. et ransomwareangrep eller en utilsiktet sletting av produksjonsdata, fordi dataene kan gjenopprettes. Dette bør regnes som et obligatorisk tiltak for alle organisasjoner (og privatpersoner).
Har du disse fire tiltakene på plass er faktisk mye gjort for å motstå opportunistiske angrep. For å bli enda litt tryggere kan du fylle på med tre anbefalinger til:
5. Et sted å melde mistenkeligheter: Ha et sted alle ansatte kan melde fra dersom de opplever noe «rart». Dette trenger ikke være et dedikert system, bruk gjerne en epostadresse e.l. Det viktigste er at kanalen er enkel å bruke, at noen følger med på hva som kommer inn, og at alle ansatte vet at de skal bruke den. Ved å se meldinger fra mange brukere i sammenheng kan man lettere danne seg et bilde av hva som er normalsituasjonen, og hva som er mistenkelige trender eller hendelser.
Det er også lurt å ha en åpen kanal for sikkerhetsrelatert brukerstøtte, f.eks. på Slack eller Teams. Det som er viktigst her er at brukerne får nærmest umiddelbart svar på det de lurer på slik at de unngår å trykke på den mistenkelige lenken eller svare på den rare SMS-en.
6. Tren på å håndtere hendelser: Uansett hvor gode risikovurderinger vi gjør, eller hvor gode tiltak vi har implementert, kan det oppstå situasjoner som må håndteres raskt. Da er det en fordel å ha en plan for hvem som skal involveres og hva som skal gjøres, og ikke minst ha trent nok på denne planen til at man klarer å håndtere de hendelsene som oppstår.
7. Hack deg selv: Alle organisasjoner med et grensesnitt mot Internett utsettes for angrep daglig. Vi er da mest bekymret for fagapplikasjoner, CRM-systemer, datavarehus o.l. som er koblet til våre mest sensitive data og samtidig har et grensesnitt mot verden utenfor.
Mange av disse systemene bygger på programvare utviklet i en tid der bevisstheten rundt sikkerhet var mye lavere (les: Før 2015).
Selv om systemene siden er videreutviklet og modernisert har de ofte alvorlige sikkerhetshull som er enkle å utnytte.
Ved å gjennomføre penetrasjonstesting kan man få avdekket og tettet disse hullene før en trusselaktør finner veien inn. Realistisk penetrasjonstesting krever mye manuelt arbeid, så her er det viktig å velge testere med dyp teknisk kompetanse.
Får du tilbud fra noen som skryter av sine «egenutviklede automatiserte tester» eller lignende er det nok best å lete videre, for de trusselaktørene du skal være redd for er adskillig flinkere enn som så. En enkel sårbarhetsscanning, derimot, kan godt være automatisert.
Har du spørsmål om sikkerhet eller sikkerhetstjenester? Se bouvet.no/cyber
