Flaks som IT-sikkerhetsstrategi?
Vi legger bak oss et år der vi i Atea har hatt rekordmange utrykninger til større og mindre angrep og hendelsesforløp.
Vi oppfatter at virksomheter er mer årvåkne, og benytter seg av kompetansen til eksperter på fagfeltet til å bistå med sikkerhetshendelser. Vi som hendelseshåndteringsteam ønsker i tillegg til å jobbe med hendelser, å være en sparringspartner i det daglige slik at vi kan forebygge. Vår erfaring er at det er enkle grep som skal til for å øke motstandsdyktigheten betraktelig.
En økning på 400 prosent
I løpet av 2023 har våre hendelseshåndterere (Atea Incident Response Team), de som rykker ut når it-angrepet skjer, håndtert i underkant av 400 sikkerhetshendelser. Tallet dreier seg i hovedsak om henvendelser fra norske kunder, men vi jobber også med hendelser fra våre nordiske naboland. Ser vi tilbake til antallet hendelser i 2021-22, så er dette en økning på 400 prosent, og det er ingen indikasjoner på at trusselbildet blir mindre alvorlig i 2024.
Mange e-postangrep
Over halvparten av antallet hendelser relaterer seg til e-post. Dominerende innen dette feltet er såkalte «Adversary-in-the-Middle», eller AiTM-angrep. Denne typen angrep er ganske lik vanlige phishing-angrep – som er angrep der noen prøver å lure deg til å trykke på en falsk lenke i en epost.
AiTM-angrep kan banalt sammenlignes med at en kriminell setter en papirlapp i låsen på din ytterdør før den smekker igjen, og kan åpne døren når vedkommende selv har lyst.
Mer teknisk fungerer det slik at de it-kriminelle bruker en proxy-server til å sitte mellom deg og tjenesten du logger på. Proxy-serveren kan for eksempel vise innlogging til Microsoft 365, eller andre internett-tjenester du bruker i hverdagen. Den brukes så til å fange opp påloggingsinformasjonen din inklusivt session cookie. Denne cookien brukes av angriperen for å autentisere seg, selv om du bruker to-faktor autentisering. Angriperen kan deretter bruke denne innloggingen til å nå dine tjenester fra en annen nettleser – for eksempel din epostkonto. De første tilfellene av AiTM fanget vi opp sommeren 2022, men frem til 2023 var de relativt sjeldne. Denne angrepsmetoden økte utover året og nådde toppen samtidig som sommermånedene kom, derifra og ut året var det jevnt høyt.
Men om du nå sitter med følelsen av «maktesløshet» for at til og med tofaktor-autentisering kan misbrukes, kan vi fortelle at det er fullt mulig å beskytte seg mot AiTM, og vi anbefaler alle bedrifter å vurdere tiltak tilpasset sitt behov. Vi anbefaler også på det sterkeste å fortsatt benytte tofaktor-autentisering, da dette stopper det aller meste av «enkle» forsøk.
Økning også i antall ransomwareangrep
I løpet av året som har gått har vi også håndtert en mengde ransomware-angrep. Dette er angrep som krypterer all data og hackeren krever løsepenger for å dekryptere. Det er nok den typen situasjon som er mest krevende for it-organisasjoner å havne i, for de er så effektive og som regel lammer hele organisasjonen. Vi har håndtert både pre-ransomwarehendelser hvor angrepet er oppdaget og håndtert før kryptering, og fulle ransomwarehendelser som har resultert i delvis eller fullstendig infrastrukturkryptering. I begge disse tilfellene må miljøet gjennomgås fullstendig, for å avdekke om data er på avveie og finne inngangsportene de kriminelle har brukt.
Fellesnevnere
For de av hendelsene som ikke resulterte i kryptering, var fellesnevneren at virksomheten hadde implementert gode løsninger for logg og overvåking, som alarmerer når it-kriminelle er på vei inn i virksomhetens nettverk. Har man ikke gode overvåkingssystemer på plass, må man stole på årvåkenhet, tilfeldigheter og ofte flaks. I de tilfellene der hendelsen resulterte i kryptering var det også likhetstrekk. Noe av det som går igjen er manglende oversikt over systemer og tjenester eksponert mot internett, samt mangel på en fullverdig beredskapsplan. Disse funnene bekreftes også av vår undersøkelse fra fjoråret, Bevissthet og beredskap 2023.
Ikke nødvendigvis dyrt å beskytte seg
Innfallsvinkelen på samtlige av ransomwarehendelsene vi håndterte i 2023 var utnyttelse av sårbarheter og feilkonfigurering. Ransomwarehendelser fra 2023 viser også at det ikke nødvendigvis er dyrt eller avansert å beskytte seg. Men det krever at man har kontroll på egen infrastruktur, sørger for kontinuerlig oppdateringer, har flerfaktorautentisering (MFA multifaktor) og begrenser VPN-tilgangen. Skulle ulykken likevel være ute, er vi som hendelseshåndterere avhengig av at virksomheten har gode «backup»-rutiner og et tidsriktig «backup»-system. Vi opplever for ofte at virksomheter har trodd de har fungerende «backup», men det ikke viser seg å stå til forventningene. Har du ikke «backup» når din virksomhet blir kompromittert og all data krypteres, tvinges virksomheten din til å måtte velge mellom å starte på nytt eller å betale for å få tilbake tilgangen til dataene dine.
Vi anbefaler ingen å betale løsepenger, dette er som politiet sier å støtte oppunder kriminell aktivitet og fører bare til at angriperne fortsetter. Vårt beste råd er derfor å ta utgangspunktet i grunnprinsippene til Nasjonal sikkerhetsmyndig, utføre den grunnleggende sikkerhetshygienen og jobbe proaktivt. Vet du ikke helt hvor du skal begynne, er det aller enkleste å utføre en modenhetsanalyse basert på NSM grunnprinsipper. Der man etter gjennomført aktivitet sitter med en konkret liste over hva man bør gjøre både organisatorisk og teknisk.
Jobb proaktivt, ikke la sikkerhetsstrategien og virksomhetens fremtid basere seg på flaks.