HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? SLIDE 1
AGENDA! NSM NorCERT: Hvem er vi?! Trusler og trender: Hva ser vi?! Faktiske hendelser: Hva skjer?! Hendelseshåndtering: Hva gjør vi?! Tiltak: Hva kan vi og dere gjøre? SLIDE 2
! Deteksjon, 24/7 operasjonssenter, analyse, øvelser, informasjonsdeling, publikasjoner. Hvem er vi? SLIDE 3
NorCERT NORWEGIAN COMPUTER EMERGENCY RESPONSE TEAM! NorCERT er Norges nasjonale senter for å håndtere alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon. NorCERT skal også produsere et oppdatert nasjonalt IKT-risikobilde.! Operasjonssenter 24/7 bemannet! Varsler om alvorlige angrep, trusler og sårbarheter! Nasjonalt kontaktpunkt! Utstrakt samarbeid nasjonalt og internasjonalt! Drifter sensornettverket VDI SLIDE 4
! Trusler og trender Hva ser vi? SLIDE 5
ANTALL HÅNDTERTE SAKER Saker 6000 5000 4000 3000 2000 1000 0 2007-2 2007-3 2007-4 2008-1 2008-2 2008-3 2008-4 2009-1 2009-2 2009-3 2009-4 2010-1 2010-2 2010-3 2010-4 2011-1 2011-2 2011-3 2011-4 2012-1 2012-2 2012-3 2012-4 2013-1 2013-2 2013-3 2013-4 2014-1 2014-2 2014-3 Saker Kvartal Lineær (Saker) SLIDE 6
ANTALL ALVORLIGE HENDELSER 30 25 20 15 10 5 0 2011-1 2011-2 2011-3 2011-4 2012-1 2012-2 2012-3 2012-4 2013-1 2013-2 2013-3 2013-4 2014-1 2014-2 2014-3 SLIDE 7
HVA ER TRUSLENE? Kaosaktører Politiske protester Rampestreker Økonomisk krim Krise / Krig Sabotasje Spionasje Kompetente, ressurssterke aktører Samfunnsverdi Nasjonal sikkerhet 8
TRENDER! Mer DDoS! Innloggingsinformasjon på avveie! Flere alvorlige sårbarheter! Vannhullsangrep øker! Spearphishing fra kompromitterte epost-kontoer SLIDE 9
! Eksempler fra faktiske hendelser Hva skjer? SLIDE 10
SÅRBARHET: HEARTBLEED! Kritisk sårbarhet i OpenSSL Oppdaget av Google og det finske selskapet Codenomicon! Sikkerhetshullet har eksistert i 2 år Mulig å hente ut sensitiv informasjon som passord og private nøkler Ingen kjent utnyttelse før offentliggjøring av sårbarheten! Sikkerhetsforsker skannet etter sårbare servere i Norge Delt informasjonen med NorCERT Flere tusen varsler sendt ut via ISPene SLIDE 11
SÅRBARHET: SHELLSHOCK! Kritisk sårbarhet i BASH Angriper kan kjøre vilkårlig kode på sårbare maskiner som er eksponert på Internett! Enklere å utnytte enn Heartbleed Etter kort tid så vi utstrakt skanning etter sårbare enheter og forsøk på utnyttelse! NSM NorCERT har sendt ut varsel med indikatorer man kan se etter i sine logger for å oppdage skanning og utnyttelse SLIDE 12
AUTOMATISERTE VARSLER FRA NSM NorCERT 250000 200000 150000 100000 50000 0 Torpig Zeus B54/Citadel Conficker Sality Pushdo ZeroAccess Heartbleed SLIDE 13
Tidenes største hackerangrep? SLIDE 14
SLIDE 15
SLIDE 16
VANNHULLSANGREP OG KOMPROMITTERING AV UNDERLEVERANDØR! Vannhullsangrep der en norsk virksomhet fikk sine nettsider kompromittert Besøkende ble videresendt til nettsted kontrollert av trusselaktør Ondsinnet Javascript som profilerte maskinen til besøkende Ingen funn som indikerer at besøkende ble kompromittert Redirigeringen ble oppdaget i VDI! Analyse avdekket likhetstrekk med spearphishing-kampanje som var avdekket tidligere mot VDI-deltakeren VDI-deltakeren bruker den kompromitterte virksomheten som underleverandør Drifter en applikasjon som administrerer kontrakter, garantisøknader og bankgarantier! NSM NorCERT rykket ut med en person on-site for å bistå med hendelseshåndtering En VDI-sensor ble haste-installert SLIDE 17
VANNHULLSANGREP OG KOMPROMITTERING AV UNDERLEVERANDØR! Det viser seg at trusselaktør har hatt tilgang til virksomhetens infrastruktur gjennom VPN-innlogginger til et titalls brukere En av disse har utvidede rettigheter som domeneadministrator! RDP/SMB tilgang til samtlige maskiner på virksomhetens interne nettverk! 1338 eposter har blitt eksfiltrert gjennom tilgang til webmail Blant annet et møtereferat (på norsk) vedrørende hendelseshåndteringen Trusselaktør endrer sin taktikk etter dette Dette understreker viktigheten av god operasjonell sikkerhet! SLIDE 18
KOMPROMITTERING AV NORSK VIRKSOMHET! NSM NorCERT ble kontaktet av en større norsk virksomhet som selv oppdaget at de var kompromittert! Oppdaget at noe var galt da data som lå klar til eksfiltrering fylte opp disken på Exchange-serveren! NSM NorCERT bisto med forensics og logganalyse sammen med virksomhetens underleverandør! Infeksjonsvektor viste seg å være en sårbarhet i ColdFusion som tillot trusselaktør å laste opp et webshell kalt China chopper SLIDE 19
! TILTAK OG ANBEFALINGER Hva kan vi og dere gjøre? SLIDE 20
FIRE EFFEKTIVE TILTAK DERE BØR GJØRE FOR Å UNNGÅ Å BLI ET OFFER! Oppgrader program- og maskinvare! Installer sikkerhetsoppdateringer så fort som mulig! Ikke tildel sluttbrukere administrator-rettigheter! Blokker kjøring av ikke-autoriserte programmer SLIDE 21
HVORDAN HÅNDTERE DIGITAL SPIONASJE?! Kjenn dine verdier!! Vanlige reaksjoner: Vi har da ingenting av verdi for andre Vi forstår ikke hvorfor vi utsettes for dette SLIDE 22
VANLIGE UTFORDRINGER Vi ser både teknologiske, organisatoriske og menneskelige utfordringer når datainnbruddet er et faktum:! Panikk! Lammelse! Kaos! Inkompetanse! Utbrenthet og maktesløshet! Apati Dette kan unngås ved å være forberedt og ha en plan! SLIDE 23
HVORDAN FORBEREDE SEG?! Driftsavdelingen God oversikt over eget nettverk og egne systemer Kontroll på tilgang og segmentering Rask oppdatering av systemer! Sikkerhetsavdelingen Overvåkning av nettverkstrafikk Dyktige medarbeidere som jakter på inntrengere og unormal oppførsel Oppdager uønsket aktivitet i nettverk og systemer! Beredskapsplan Tydelig avklarte ansvarsforhold Eskaleringsrutiner og kontaktinformasjon Konkret nok til å gi besluttende og utøvende personell støtte til håndtering av hendelser SLIDE 24
HVA GJØR NSM NorCERT?! Følger med på nye trusler og sårbarheter! Deteksjon og varsling! Råd og veiledning om hendelseshåndteringen! Koordinering av håndtering i saker hvor flere er involvert! Analyse av logger, filer og lagringsmedia! Korrelasjon av tekniske indikatorer mellom saker! Rapportering og informasjonsdeling SLIDE 25
PROAKTIVE TJENESTER SOM VI VIL TILBY! NorCERT Domain Name Server Tilby en DNS-tjeneste med blacklisting Lanseres i november! Sårbarhetsskanning SHODAN, usikkert.no og Dagbladet har gjort noe lignende Flere initiativ i sikkerhetsmiljøet, f.eks Shadowserver/Underworld Vi gjør nå juridiske avklaringer vedrørende denne tjenesten Lanseres i november SLIDE 26
HVORDAN OPPDAGE DIGITAL SPIONASJE?! Trafikklogger Webtrafikklogger Proxylogger med SSL-inspeksjon Netflow DNS logging / Passiv DNS Webaksesslogger mot egne webservere! Autentiseringslogger! Administrasjonslogger! Sikkerhetslogger! E-postlogger SLIDE 27
HVA TRENGER VI FOR Å KUNNE BISTÅ?! Rask oppsummering og tidslinje for hendelsen Vurdering av hendelsen. Hvor alvorlig er det?! Mistenkelig e-post mottatt: Kopi av e-posten med fulle mailheadere og eventuelle vedlegg Vedlegg bør zippes og passordbeskyttes, eventuelt PGP-krypteres! Bruker har klikket på en mistenkelig lenke: Kopi av logger for webtraffikk (proxy-logger) DNS/PassivDNS-logger eventuelt brannmurlogger! Bruker har surfet på infisert nettside: Kopi av logger for webtraffikk (proxy-logger) for det aktuelle tidsrommet Kopi av eventuell skadevare som har blitt lastet ned! Oversikt over mulig kompromitterte maskiner NB! FØR man gjør egne undersøkelser eller slår av maskinen anbefaler vi sikring av minne og harddisk SLIDE 28
OPPRYDDING ETTER DATAINNBRUDD! Opprydding av kompromitterte systemer må planlegges og gjennomføres på en kontrollert måte! Om man ikke har kompetanse på dette selv anbefaler vi at man leier inn tjenesteleverandører som har erfaring på området! Isoler kompromitterte systemer fra nettverket! Klargjør diskbilder og minnedump av alle kompromitterte systemer! Reinstaller med rene backups! Endre alle passord for å sikre at angriper ikke kan benytte samme passord for å skaffe seg tilgang igjen SLIDE 29
FLERE RÅD OG VEILEDNINGER FINNES PÅ VÅRE NETTSIDER: nsm.stat.no/publikasjoner SLIDE 30
Takk for oppmerksomheten! Hendelser: norcert@cert.no Andre henvendelser: post@cert.no Vakttelefon: 02497 31 @NorCERT SIKRE SAMFUNNSVERDIER