UiO IN2120 høst 2019 Incident Response and Forensics - Forslag til svar på caseoppgave. Frode Lilledahl

Transkript

1 UiO IN2120 høst 2019 Incident Response and Forensics - Forslag til svar på caseoppgave Frode Lilledahl

2 Bakgrunn Den gamle bilprodusenten Troll har startet bilproduksjon igjen, med god økonomisk støtte fra Oljefondet De satser på elbiler og har hatt forsiktig produksjon i et par år Selskapet har fått internasjonal oppmerksomhet på grunn av flere innovative løsninger i sine biler og i produksjonslinjen Utvikling av selvkjørende biler er selskapets neste store satsingsområde

3 Organisering av IT hos Troll Troll har en IT-plattform med en kombinasjon av løsninger on-site og i skyen Klientplattformen er basert på Windows og Office365 Fagsystemer, test- og utviklingsmiljø er for det meste on-site, men det brukes også i noen grad Amazon Web Services Driften er outsourcet til et norsk driftsselskap Troll har to store IT utviklingsmiljø, ett på Notodden og ett i Katmandu Troll ser på seg selv som en gründerbedrift med flinke folk og gode idéer. De er mindre opptatt av prosesser og formalia

4 Erfaring med sikkerhetshendelser Troll har aldri hatt en alvorlig sikkerhetshendelse, og har tidligere ikke sett behov for planer eller rutiner for hendelseshåndtering Før nå Direktøren i Troll er en god venn av IT-sjefen i Hydro. De spiser ofte lunsj sammen når Troll direktøren har møter i Oslo. IT-sjefen i Hydro har snakket mye om angrepet de ble utsatt for, og direktøren i Troll har blitt skremt

5 Oppdraget Direktøren i Troll har hyret inn dere som konsulenter og sikkerhetseksperter for å få hjelp til å vurdere hvordan de kan bli bedre rustet til å motstå eventuelle angrep. De har styremøte neste uke og direktøren ønsker at dere presenterer svar på følgende spørsmål: 1. Hvilke trusler kan Troll være spesielt utsatt for og bør forberede seg mot? 2. Hva bør de konkret gjøre for å forberede seg på mulig uønskede sikkerhetshendelser?

6 Oppdraget - Forslag til svar 1. Mulige trusler Løsepengevirus CEO svindel Sabotasje Industrispionasje 2. Forberedelser Gjennomføre en trussel- og risikovurdering Etablere monitorering og deteksjon Etablere et virtuelt eller hybrid IRT med formaliserte prosesser og rutiner Etablere en kommunikasjonsplan Øve på mulige hendelsesscenario

7 Fase 2 Styret i Troll blir så imponert over deres presentasjon, at Troll velger å kjøpe Incident Response som en tjeneste fra deres selskap Tjenesten blir etablert, men er fremdeles ny og umoden når det plutselig smeller

8 Hendelse #1 Dere blir tilkalt en mandag morgen fordi Troll er blitt utsatt for et løsepengevirus. Store mengder data fra deres innovasjonsprosjekter er kryptert og utilgjengelig. Troll frykter både å miste essensielle data, og at det vil ta lang før de kan gjenoppta det viktige utviklingsarbeidet. Angriperen krever USD i kryptovaluta for å gi Troll nøkkel til dekryptering. 1. Hvilke aksjoner vil dere ta i triagefasen, og hvilke konklusjoner vil dere gjøre? 2. Vil dere anbefale å betale ut løsepenger? 3. Hvilke aksjoner vil dere ta i analysefasen? 4. Hvilke aksjoner vil dere ta i containment-fasen? 5. Hvilke aksjoner vil dere ta i eradictation-fasen? 6. Hvilke aksjoner vil dere ta i normaliseringsfasen?

9 Hendelse #1 - Forslag til svar 1. Triage Kartlegge omfang, undersøke backuprutiner, kalle inn kryptoekspertise, klassifiseres som kritisk, sette hendelsesorganisasjon 2. Betale løsepenger Prinsipielt bør man aldri betale, ingen garanti for at man får tilbake dataene, kan være et valg mellom å betale og konkurs 3. Analyse Type løsepengevirus, muligheter for dekryptering, muligheter for restore 4. Containment Isolasjon mellom berørte og uberørte systemer 5. Eradictation Fjerne viruset fra berørte systemer 6. Normalisering Gjenoppretting av data, foreslå sikkerhetsmessige forbedringer

10 Hendelse #2 Troll gjør omfattende analyse av bilenes kjøremønster, hvor de kjører, hvor langt, til hvilket tidspunkt kjørestil mv. De opplever så en større informasjonslekkasje av disse dataene. Det viser seg at en feilkonfigurasjon har medført at hele deres database over kjøremønster har ligget fritt tilgjengelig over internett i en lengre periode. 1. Representerer Trolls registrering av kjøremønster at de behandler personopplysninger? 2. Hvilke spørsmål er det essensielt å undersøke i analysefasen? 3. Hvilke tiltak kan gjennomføres for å begrense skade fra lekkasjen? 4. Hvilken rapportering er Troll pliktig til å gjøre?

11 Hendelse #2 - Forslag til svar 1. Behandling av personopplysninger? Ja, hvor bilene står parkert vil vise bostedsadresser, som igjen kan identifisere enkeltpersoner 2. Analysefase Omfanget av lekkasjen, mengde opplysninger, har noen hentet ut data, hvor er data evt. kopiert 3. Skadebegrensning Mye av skaden er i utgangspunktet allerede skjedd, begjære sletting dersom man finner kopier 4. Rapporteringsplikt Datatilsynet innen 72 timer, vurdere foreløpig varsel, informasjon til berørte