IRT-konsepter. Hva handler hendelseshåndtering om? 14. januar 2019

Transkript

1 IRT-konsepter Hva handler hendelseshåndtering om? 14. januar 2019

2 Innhold Hvem er trusselaktørene og hva vil de? Hva kan vi gjøre for å hindre at de lykkes? Hva gjør vi hvis de likevel lykkes? 2

3 Tradisjonelt vern Fiendtlig utside, vennligsinnet innside Forsvarsverkene er gjerne innrettet mot å hindre at inntrengingsforsøk fra utsiden skal lykkes Denne modellen er under sterkt press! Truslene befinner seg fortsatt som oftest på utsiden, mens det som utløser en vellykket inntrenging gjerne befinner seg på innsiden Giftig e-post, ditto web-lenker og ubetenksomme brukere som klikker på dem Programvare av tvilsom opprinnelse eller kvalitet Får vi ikke levert uhumskhetene til deg, så får du komme og hente dem selv! 3

4 Trusselaktører Script-kiddies, [små]kriminelle (utryddingstruet art) DDoS Aktivister, hacktivists Defacing av websider Organisert kriminalitet Kryptolocker CEO fraud Industrispionasje Norske forskningsmiljøer er svært attraktive Nasjonalstater Behersker alle disipliner (og mer til) 4

5 Egenskaper og mål Trusselaktørene har et veldig stort spenn i hvilke ressurser de har til rådighet En statsaktør har selvsagt helt andre forutsetninger enn eksempelvis en script-kiddie Selv om sistnevnte likevel kan gjøre betydelig skade med verktøy som Metasploit, Eternalblue etc Målene kan være ganske ulike Mestringsfølelse, det å kunne skryte av sine bragder til likesinnede Økonomisk vinning Informasjonsinnhenting Elektronisk krigføring Det trusselaktørene har til felles er at de ønsker å trenge inn i og overta kontrollen over IKT-systemer som kan komme dem til nytte før eller senere 5

6 Cyber Kill Chain 6

7 Hva kan vi gjøre for å hindre trusselaktørene i å lykkes? An ounce of prevention is worth a pound of cure Benjamin Franklin ( ) 7

8 Fire effektive tiltak mot dataangrep Kilde:NSM Oppgrader program- og maskinvare Installere sikkerhetsoppdateringer så fort som mulig Ikke tildel administrator-rettigheter til sluttbrukere Blokker kjøring av ikke-autoriserte programmer Erfaring viser at disse tiltakene kan stoppe så mye som 80-90% av de meste vanlige angrepene 8

9 9

10 Proaktive prosesser (organisatoriske) Etabler et ledelsessystem for informasjonssikkerhet Danner basis for alt arbeid med informasjonssikkerhet i virksomheten Årshjul ledelsens gjennomgang Skaff oversikt over virksomhetens informasjonseiendeler og hvem som har ansvaret for disse Systemer og tjenester Bestem hvem som eier risikoen (normalt systemeier) Gjennomfør jevnlige risikovurderinger og sørg for håndtering av avvik! Gjennomfør øvelser helst årlig Gjennomfør regelmessig holdningsskapende arbeid Tematiske kampanjer Øve opp gode vaner med hensyn til oppførsel på nettet Dette er oppgaver som aldri blir ferdig! 10

11 Proaktive prosesser (tekniske) God sikkerhet starter med god drift: sørg for god systemhygiene! Holde klientprogramvare oppdatert Apper, basis programvare og AV-produkter Etablere perimeterbeskyttelse Segmentering, pakkefilter, brannmur, epostvask Sørg for tilstrekkelig instrumentering til å kunne få innsikt i hva som treffer virksomheten IDS, ulike tekniske analyseverktøy, logging og analyse av disse 11

12 Hvis ulykken likevel skulle være ute så er det best å være inne Det er meget viktig å på forhånd ha tenkt i gjennom hva du vil gjøre når du blir utsatt for et vellykket dataangrep Den absolutt verste fremgangsmåten du kan velge er full panikk, gjerne kombinert med innfallsmetoden «Seier venter den, som har alt i orden hell kaller man det. Nederlag er en absolutt følge for den, som har forsømt å ta de nødvendige forholdsregler i tide uhell kalles det» Roald Amundsen 12

13 Forslag til en strukturert tilnærming til hendelseshåndtering Kilde: SANS Institute 13

14 Seks primære faser 14

15 1. Forberedelser Mandat og policy Lage en responsplan Lage en kommunikasjonsplan (aktørkart, sambandskatalog) Lage et system for å lage og oppbevare dokumentasjon over hendelser Sette samme et team (basiskunnskaper, komplementære ferdigheter, spisskompetanse) Sørge for nødvendige tilganger til utstyr, nett og datalogger Skaffe hensiktsmessige verktøy Øvelse, øvelse, øvelse 15

16 2. Identifikasjon Er dette en virkelig hendelse? Ting er ofte ikke slik man kan få inntrykk av ved første øyekast Ikke hopp rett på konklusjoner! Ha is nok i magen til å undersøke saken fra flere sider/kilder før du foretar deg noe Hvis man står overfor en bekreftet sikkerhendelse: Varsle berørte parter Starte en tidsstemplet logg hvor du hele tiden prøver å finne svar på spørsmålene hvem, hva, hvor, hvorfor og hvordan 16

17 Seks primære faser 17

18 3. Skadebegrensning Formål: søke å minimalisere ødeleggelser og å hindre saken i å utvikle seg videre Kort sikt: Isolere et nettverkssegment, ta maskiner av nett, omrute til eventuelle standby-servere hvis slike finnes etc Ta nødvendige steg for å sikre bevis (backup, kopi av disk etc) Lang sikt: Vurdere om et skadet system temporært trygt kan fortsette produksjonen helt eller delvis til et skadefritt og robust system kan overta (i fase 5) 18

19 4. Opprydding Denne fasen omhandler faktisk sletting av de sårbarheter som er den direkte årsaken til angrepet ( root-cause ) Pass på at du får med deg all skadevare som er blitt installert slik at man ikke ender opp i fase 1 igjen! Dokumenter alt hva du gjør! Dels for innsiktens skyld og dels for å kunne beregne kostnader forbundet med hendelsen. Greit å ha i tilfelle politianmeldelse Tett eventuelle bakdører og hull i pakkefilter/brannmurer som bidro til at hendelsen kunne finne sted Dette er et godt tidspunkt til å vurdere om andre deler av virksomhetens forsvarsverk også bør endres eller forsterkes 19

20 5. Gjenoppretting Formål: bringe berørte systemer tilbake i produksjon på en måte som ikke umiddelbart fører til at en ny hendelse oppstår Ting som må besluttes/tas hensyn til: Når (dato, tid) systemene skal tas tilbake i produksjon. Dette er det systemeierens privilegium å bestemme Hvordan man skal verifisere at berørte systemer er rene og har full funksjonalitet? Hvilke verktøy man skal benytte for å gjennomføre forrige punkt? Er alle relevante sikkerhetsoppdateringer blitt utført? Hvor lenge skal man sove lensmannssøvn over systemene (dvs. holde et spesielt øye til dem)? 20

21 Seks primære faser 21

22 6. Hva har vi lært? Gjennomfør et møte som har til hensikt å fullføre dokumentasjon man (som regel) ikke rakk under selve hendelsen, samt å notere seg smarte ting man kan ha nytte av senere Husk: Hvem, hva, hvor, hvorfor og hvordan Når ble problemet først oppdaget og av hvem? Hva var omfanget av hendelsen? Hvordan foregikk skadebegrensning og sletting? Hva ble gjort i gjenopprettelsesfasen? Områder hvor IRT gjorde en god jobb Områder hvor IRT har rom for forbedring 22

23 Forholdet til politiet Mye av det man håndterer i et IRT er saker som i utgangspunktet kan være ulovlige/straffbare Hvor terskelen ligger for å involvere politiet må vurderes i hvert enkelt tilfelle og er intimt knyttet opp mot sakens art, omfang og alvorlighetsgrad Ved anmeldelse bør man bruke en mal som er utviklet av KRIPOS Se siste lysark Politiet har stort handlingsrom, men det finnes likevel formalia Ved utlevering av logger og materiale skal det foreligge en beslagsbegjæring! Ta vare på logger inntil en eventuell begjæring foreligger Dokumenter det som skjer, husk de 5 H-er ( hvem, hva, hvor, hvorfor og hvordan ) Vurder om dere skal ha tilgang til juridisk kompetanse 23

24 Saker som krever spesiell omtanke Utro tjener internt Sikre bevis (5 H-er) Varsle virksomhetens ledelse Funn av overgrepsmateriale Ved første kontakt STOPP ØYEBLIKKELIG og få med deg en teamkollega før du går videre - operer ALDRI alene Dokumenter alt som skjer, husk de 5 H-er! Når man har et bekreftet funn skal politiet varsles straks. De vil normalt ta saken videre herfra Hold ledelsen løpende orientert 24

25 Referanser Incident Handler s Handbook, SANS Institute Nyttig å vite om logging: Mal for politianmeldelse: 25