HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? NASJONAL SIKKERHETSMYNDIGHET

Transkript

1 HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? SLIDE 1

2 AGENDA! NSM NorCERT: Hvem er vi?! Trusler og trender: Hva ser vi?! Faktiske hendelser: Hva skjer?! Hendelseshåndtering: Hva gjør vi?! Tiltak: Hva kan vi og dere gjøre? SLIDE 2

3 ! Deteksjon, 24/7 operasjonssenter, analyse, øvelser, informasjonsdeling, publikasjoner. Hvem er vi? SLIDE 3

4 NorCERT NORWEGIAN COMPUTER EMERGENCY RESPONSE TEAM! NorCERT er Norges nasjonale senter for å håndtere alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon. NorCERT skal også produsere et oppdatert nasjonalt IKT-risikobilde.! Operasjonssenter 24/7 bemannet! Varsler om alvorlige angrep, trusler og sårbarheter! Nasjonalt kontaktpunkt! Utstrakt samarbeid nasjonalt og internasjonalt! Drifter sensornettverket VDI SLIDE 4

5 ! Trusler og trender Hva ser vi? SLIDE 5

6 ANTALL HÅNDTERTE SAKER Saker Saker Kvartal Lineær (Saker) SLIDE 6

7 ANTALL ALVORLIGE HENDELSER SLIDE 7

8 HVA ER TRUSLENE? Kaosaktører Politiske protester Rampestreker Økonomisk krim Krise / Krig Sabotasje Spionasje Kompetente, ressurssterke aktører Samfunnsverdi Nasjonal sikkerhet 8

9 TRENDER! Mer DDoS! Innloggingsinformasjon på avveie! Flere alvorlige sårbarheter! Vannhullsangrep øker! Spearphishing fra kompromitterte epost-kontoer SLIDE 9

10 ! Eksempler fra faktiske hendelser Hva skjer? SLIDE 10

11 SÅRBARHET: HEARTBLEED! Kritisk sårbarhet i OpenSSL Oppdaget av Google og det finske selskapet Codenomicon! Sikkerhetshullet har eksistert i 2 år Mulig å hente ut sensitiv informasjon som passord og private nøkler Ingen kjent utnyttelse før offentliggjøring av sårbarheten! Sikkerhetsforsker skannet etter sårbare servere i Norge Delt informasjonen med NorCERT Flere tusen varsler sendt ut via ISPene SLIDE 11

12 SÅRBARHET: SHELLSHOCK! Kritisk sårbarhet i BASH Angriper kan kjøre vilkårlig kode på sårbare maskiner som er eksponert på Internett! Enklere å utnytte enn Heartbleed Etter kort tid så vi utstrakt skanning etter sårbare enheter og forsøk på utnyttelse! NSM NorCERT har sendt ut varsel med indikatorer man kan se etter i sine logger for å oppdage skanning og utnyttelse SLIDE 12

13 AUTOMATISERTE VARSLER FRA NSM NorCERT Torpig Zeus B54/Citadel Conficker Sality Pushdo ZeroAccess Heartbleed SLIDE 13

14 Tidenes største hackerangrep? SLIDE 14

15 SLIDE 15

16 SLIDE 16

17 VANNHULLSANGREP OG KOMPROMITTERING AV UNDERLEVERANDØR! Vannhullsangrep der en norsk virksomhet fikk sine nettsider kompromittert Besøkende ble videresendt til nettsted kontrollert av trusselaktør Ondsinnet Javascript som profilerte maskinen til besøkende Ingen funn som indikerer at besøkende ble kompromittert Redirigeringen ble oppdaget i VDI! Analyse avdekket likhetstrekk med spearphishing-kampanje som var avdekket tidligere mot VDI-deltakeren VDI-deltakeren bruker den kompromitterte virksomheten som underleverandør Drifter en applikasjon som administrerer kontrakter, garantisøknader og bankgarantier! NSM NorCERT rykket ut med en person on-site for å bistå med hendelseshåndtering En VDI-sensor ble haste-installert SLIDE 17

18 VANNHULLSANGREP OG KOMPROMITTERING AV UNDERLEVERANDØR! Det viser seg at trusselaktør har hatt tilgang til virksomhetens infrastruktur gjennom VPN-innlogginger til et titalls brukere En av disse har utvidede rettigheter som domeneadministrator! RDP/SMB tilgang til samtlige maskiner på virksomhetens interne nettverk! 1338 eposter har blitt eksfiltrert gjennom tilgang til webmail Blant annet et møtereferat (på norsk) vedrørende hendelseshåndteringen Trusselaktør endrer sin taktikk etter dette Dette understreker viktigheten av god operasjonell sikkerhet! SLIDE 18

19 KOMPROMITTERING AV NORSK VIRKSOMHET! NSM NorCERT ble kontaktet av en større norsk virksomhet som selv oppdaget at de var kompromittert! Oppdaget at noe var galt da data som lå klar til eksfiltrering fylte opp disken på Exchange-serveren! NSM NorCERT bisto med forensics og logganalyse sammen med virksomhetens underleverandør! Infeksjonsvektor viste seg å være en sårbarhet i ColdFusion som tillot trusselaktør å laste opp et webshell kalt China chopper SLIDE 19

20 ! TILTAK OG ANBEFALINGER Hva kan vi og dere gjøre? SLIDE 20

21 FIRE EFFEKTIVE TILTAK DERE BØR GJØRE FOR Å UNNGÅ Å BLI ET OFFER! Oppgrader program- og maskinvare! Installer sikkerhetsoppdateringer så fort som mulig! Ikke tildel sluttbrukere administrator-rettigheter! Blokker kjøring av ikke-autoriserte programmer SLIDE 21

22 HVORDAN HÅNDTERE DIGITAL SPIONASJE?! Kjenn dine verdier!! Vanlige reaksjoner: Vi har da ingenting av verdi for andre Vi forstår ikke hvorfor vi utsettes for dette SLIDE 22

23 VANLIGE UTFORDRINGER Vi ser både teknologiske, organisatoriske og menneskelige utfordringer når datainnbruddet er et faktum:! Panikk! Lammelse! Kaos! Inkompetanse! Utbrenthet og maktesløshet! Apati Dette kan unngås ved å være forberedt og ha en plan! SLIDE 23

24 HVORDAN FORBEREDE SEG?! Driftsavdelingen God oversikt over eget nettverk og egne systemer Kontroll på tilgang og segmentering Rask oppdatering av systemer! Sikkerhetsavdelingen Overvåkning av nettverkstrafikk Dyktige medarbeidere som jakter på inntrengere og unormal oppførsel Oppdager uønsket aktivitet i nettverk og systemer! Beredskapsplan Tydelig avklarte ansvarsforhold Eskaleringsrutiner og kontaktinformasjon Konkret nok til å gi besluttende og utøvende personell støtte til håndtering av hendelser SLIDE 24

25 HVA GJØR NSM NorCERT?! Følger med på nye trusler og sårbarheter! Deteksjon og varsling! Råd og veiledning om hendelseshåndteringen! Koordinering av håndtering i saker hvor flere er involvert! Analyse av logger, filer og lagringsmedia! Korrelasjon av tekniske indikatorer mellom saker! Rapportering og informasjonsdeling SLIDE 25

26 PROAKTIVE TJENESTER SOM VI VIL TILBY! NorCERT Domain Name Server Tilby en DNS-tjeneste med blacklisting Lanseres i november! Sårbarhetsskanning SHODAN, usikkert.no og Dagbladet har gjort noe lignende Flere initiativ i sikkerhetsmiljøet, f.eks Shadowserver/Underworld Vi gjør nå juridiske avklaringer vedrørende denne tjenesten Lanseres i november SLIDE 26

27 HVORDAN OPPDAGE DIGITAL SPIONASJE?! Trafikklogger Webtrafikklogger Proxylogger med SSL-inspeksjon Netflow DNS logging / Passiv DNS Webaksesslogger mot egne webservere! Autentiseringslogger! Administrasjonslogger! Sikkerhetslogger! E-postlogger SLIDE 27

28 HVA TRENGER VI FOR Å KUNNE BISTÅ?! Rask oppsummering og tidslinje for hendelsen Vurdering av hendelsen. Hvor alvorlig er det?! Mistenkelig e-post mottatt: Kopi av e-posten med fulle mailheadere og eventuelle vedlegg Vedlegg bør zippes og passordbeskyttes, eventuelt PGP-krypteres! Bruker har klikket på en mistenkelig lenke: Kopi av logger for webtraffikk (proxy-logger) DNS/PassivDNS-logger eventuelt brannmurlogger! Bruker har surfet på infisert nettside: Kopi av logger for webtraffikk (proxy-logger) for det aktuelle tidsrommet Kopi av eventuell skadevare som har blitt lastet ned! Oversikt over mulig kompromitterte maskiner NB! FØR man gjør egne undersøkelser eller slår av maskinen anbefaler vi sikring av minne og harddisk SLIDE 28

29 OPPRYDDING ETTER DATAINNBRUDD! Opprydding av kompromitterte systemer må planlegges og gjennomføres på en kontrollert måte! Om man ikke har kompetanse på dette selv anbefaler vi at man leier inn tjenesteleverandører som har erfaring på området! Isoler kompromitterte systemer fra nettverket! Klargjør diskbilder og minnedump av alle kompromitterte systemer! Reinstaller med rene backups! Endre alle passord for å sikre at angriper ikke kan benytte samme passord for å skaffe seg tilgang igjen SLIDE 29

30 FLERE RÅD OG VEILEDNINGER FINNES PÅ VÅRE NETTSIDER: nsm.stat.no/publikasjoner SLIDE 30

31 Takk for oppmerksomheten! Hendelser: Andre henvendelser: Vakttelefon: SIKRE SAMFUNNSVERDIER