Syndis - Blog post

Syndis hefur komið að mörgum atvikum eftir tölvuárásir, allt frá árásum sem hafa áhrif á einstaka notendur yfir í árásir sem lama heil tölvukerfi og fyrirtæki. Tíðni árása er orðin töluverð og kemur varla fyrir sú vika sem ekki þarf að framkvæma einhverjar rannsóknir á innbroti, þó að fréttaflutningur af slíkum árásum sé takmarkaður. Miðað við reynslu Syndis rata líklega ekki nema 10-20% af innbrotum í tölvukerfi í fréttirnar og oftar en ekki eru það einungis víðtækustu árásirnar sem verða opinberar.

Það er tvennt sem þarf að hafa í huga áður en atvik kemur upp.

1. Það er ekkert til sem heitir 100% öryggi
2. Flest fyrirtæki munu lenda í öryggisatvikum á næstu mánuðum og árum.

Árið 2012 sagði Robert S. Mueller III þáverandi yfirmaður FBI þessi orð:

I am convinced that there are only two types of companies: those that have been hacked and those that will be. And even they are converging into one category: companies that have been hacked and will be hacked again. 

FBI — Combating Threats in the Cyber World: Outsmarting Terrorists, Hackers, and Spies

En hvað á að gera þegar upp kemur atvik?

Uppgötvun og greining atviks

Því miður er það svo að mörg atvik uppgötvast þegar árásaraðili gerir vart við sig t.d. við breytingar á vefsíðu, með lausnargjaldskröfum vegna gagnastuldar eða gagnagíslatöku. Árásir á pósthólf uppgötvast oft þegar utanaðkomandi aðili lætur vita að hann hafi fengið tölvupóst frá pósthólfi sem búið er að brjótast inn í.

Hins vegar eru einnig til mörg dæmi þar sem öryggisvarnir t.d. SOC vöktun, EDR lausnir, eldveggir og fleira flagga óeðlilegri hegðun og er þá mjög mikilvægt að ferlarnir varðandi atvikastjórnun séu skýrir eða haft sé samband við sérfræðinga í atvikastjórnun þar sem skortur á aðgerðum eða jafnvel rangar aðgerðir geta gert illt verra.

Skaðaminnkun og umfangsmat

Þegar búið er að uppgötva atvik þarf að fara í skaðaminnkandi aðgerðir sem geta verið allt frá því að breyta lykilorði og óvirkja setur notanda (e. sessions) yfir í að aftengja mikilvæga þjóna/kerfi við önnur kerfi og er þá mikilvægt að skýrar heimildir séu til staðar um hver má framkvæma slíkar aðgerðir, hvað þarf til þess að heimila aðgerðirnar en síðast enn ekki síst, hvernig eru slíkar aðgerðir framkvæmdar.

Þegar búið er að framkvæma skaðaminnkandi aðgerðir, þarf að ná utan um heildaratvikið. Er atvikið bundið við einstaka notendur, einstök kerfi / netþjóna eða er allt umhverfið undir ?

Hvað þýðir atvikið fyrir reksturinn ?

Umfangsmatið leiðir í ljós hve víðtækt atvikið er og þá í framhaldi er hægt að meta hvaða áhrif atvikið hefur á reksturinn og hvaða viðbótaraðgerðir þarf að framkvæma.

Hversu mikil áhrif hefur það á reksturinn ef eitt pósthólf notanda er undir í atvikinu ? En allur skýjageirinn? Allt AD umhverfið?

Þetta eru spurningar sem þarf að spyrja til að geta greint áhrif atviksins. Þetta er sérstaklega mikilvægt þar sem atvik geta haft ýmis áhrif t.d.

• Vefkerfi eru óstarfhæf
• Þjófnaður á trúnaðargögnum eða persónugreinanlegum upplýsingum
• Rekstrarstöðvun að hluta eða öllu leyti
• Orðsporshnekkir
• Brot á lögum t.d. GDPR, NIS eða DORA
• Áhrif á starfsmenn og viðskiptavini

Í framhaldi þarf að  hefja aðgerðir til að kom kerfum í eðlilegt ástand, en umfangsmatið getur gefið til kynna hvort og þá hve mikillar aðstoðar frá sérfræðingum sé þörf.

Eðlilegt ástand

Þar sem árásaraðili komst inn í kerfið, þarf að tryggja að árásaraðili sé í raun kominn út úr kerfinu og koma tölvukerfinu í eðlilegt ástand. Slíkar aðgerðir velta á umfangi árásarinnar og hvort hægt sé að sýna fram á hvaða aðgerðir árásaraðilinn framkvæmdi í umhverfinu. Í ýmsum málum sem Syndis hefur rannsakað var eitt af fyrstu skrefum árásaraðila að festa aðgang sinn í sessi með uppsetningu á einhverskonar bakdyrum.

Til að ná utan um slíkt er hægt að spyrja nokkurra spurninga

• Hvernig komst árásaraðili inn í tölvukerfið ?
• Hvenær komst árásaraðili inn í tölvukerfið ?
• Hvað gerði árásaraðili í tölvukerfinu ?
• Voru opnaðar bakdyr í umhverfið ?

Þegar búið er að svara þessum spurningum er hægt að fara í þær aðgerðir sem þarf til að koma kerfum í eðlilegt ástand, en ef ekki er hægt að svara öllum þessum spurningum þá þarf að taka ákvörðun hvort eðlilegt sé að notast við kerfin áfram, sérstaklega ef ekki er ljóst hvernig árásaraðili komst inn eða hvaða aðgerðir voru framkvæmdar.

Dæmi um bakdyr sem árásaraðilar notast við eru t.d. fjartengingarhugbúnaður (AnyDesk, TeamViewer og slíkt), uppsetning á tæki til að nota við tvíþátta auðkenningu, stofnun nýrra notenda og fleira.

Hafa þarf sérstaklega í huga að atburðaskráningar eru lykill að því að geta svarað þessum spurningum og því þurfa þær að vera stilltar á viðeigandi hátt og helst ritvarðar og geymdar í þar til gerðu kerfi.

Lærdómur atviks

Gott er að fara í eftirfylgni af atviki þar sem farið er sérstaklega yfir hvað gerðist, hvað hefði mátt gera betur og hvernig er komið í veg fyrir að sambærilegt atvik gerist aftur. Hver var frumorsök atviksins og í framhaldi voru einhverjar viðbótarstýringar sem hefðu þurft að vera til staðar sem hefðu getað lágmarkað tjónið eða gert árásina sýnilegri þannig að hægt hefði verið að bregðast við fyrr.

Einnig ætti að fara yfir atvikastjórnunarferla um hvort og þá hvað hefði mátt gera öðruvísi.

Undirbúningur fyrir atvik

Nokkrar spurningar sem gott væri að spyrja áður en til atviks kemur

• Er til rekstrarsamfelluáætlun eða að lágmarki viðbragðsáætlun ? Hvenær var hún síðast uppfærð? Hvar er hún geymd?
• Oft gleymist að uppfæra áætlunina og geyma hana utan tölvukerfa.
• Hversu góða miðlæga sýn höfum við inn í tölvukerfin í gegnum öryggisvarnir?
• Hér vantar oft að horfa heildstætt á öll kerfi, kannski eru Windows þjónar varðir, en hvað með Linux þjóna, útstöðvar og netbúnað?
• Hvernig eru atburðaskráningar í öllum kerfum?
• Upphafleg uppsetning er ekki að skrá niður viðeigandi atburði og er takmörkun á stærð atburðaskráninga þannig að kannski er einungis hægt að skoða 3 klst aftur í tímann.
• Hver er að bregðast við atvikum? Er það einungis gert í hliðarverkum á skrifstofutíma? Hver sér um það um helgar og á næturnar?
• Árásaraðilar framkvæma oft aðgerðir utan hefðbundins skrifstofutíma og skiptir máli að geta brugðist við allan sólarhringinn.
• Hvernig eru afrit aðgreind öðrum kerfum?
• Eru afrit geymd ritvarin utanhúss? Hverjir hafa aðgang að afritun?
• Hvernig þjálfum við starfsmenn í upplýsingaöryggi?
• Árásir á starfsmenn eru mjög algengar og því mikilvægt að þjálfa starfsmenn til að lágmarka líkurnar á atviki.

Hvernig getur Syndis aðstoðað þitt fyrirtæki?

• Undirbúningur á atviki
• Áætlun um samfelldan rekstur
• Heildstæð yfirsýn á öryggiskerfum
• Uppgötvun og greining á atviki
• 24/7 vöktunarteymi Syndis horfir á tölvukerfi viðskiptavina og bregst við á nokkrum mínútum ásamt því að ræsa út starfsmenn bæði Syndis og viðskiptavina þegar atvik verða.
• Atvikastjórnunarteymi Syndis veitir ráðgjöf varðandi hvernig er best að bregðast við þegar atvik verða og framkvæmir nákvæmar rannsóknir á hvernig árásaraðili komst inn, hvaða aðgerðir voru framkvæmdar og hvort einhverjar bakdyr voru opnaðar.
• Fyrirbyggjandi aðgerðir
• Herðingar á kerfum til að lágmarka líkurnar á að atvik verði og takmarka tjón við atvik eins og hægt er.
• Yfirfarið fótspor fyrirtækisins á Internetinu og skoðað veikleika sem eru aðgengilegir utanfrá.
• Fræðsla fyrir starfsfólk varðandi mikilvægi upplýsingaöryggis og hvert á að leita varðandi öryggismál innan fyrirtækisins.