NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

Like dokumenter
NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? NASJONAL SIKKERHETSMYNDIGHET

TRUSLER, TRENDER OG FAKTISKE HENDELSER

Gode råd til deg som stiller til valg

Gode råd til deg som stiller til valg

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

HelseCERT Situasjonsbilde 2018

NorCERT IKT-risikobildet

LOGGING ØKT SIKKERHET I IKT-SYSTEMER

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

Trusler, trender og tiltak 2009

Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier IKT-risikobildet. Dataangrep mot kritisk infrastruktur og informasjon

Slik stoppes de fleste dataangrepene

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Hvordan stå bedre rustet mot et målrettet angrep Watchcom Security Group AS

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

TI TILTAK FOR BESKYTTELSE AV DATAMASKINER

Nasjonal sikkerhetsmyndighet

Gode råd til deg som stiller til val

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET

Veileder for bruk av tynne klienter

orske virksomheter i det digitale rom

NSM NorCERT og IKT risikobildet

Risikovurdering for folk og ledere Normkonferansen 2018

IRT-konsepter. Hva handler hendelseshåndtering om? 2. mai 2017

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss?

HÅNDTERING AV NETTANGREP I FINANS

Anbefalinger om åpenhet rundt IKT-hendelser

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM

Til IT-ansvarlige på skolen

NASJONAL SIKKERHETSMYNDIGHET: DO'S AND DON'TS. Gardermoen, 27. september Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet

NASJONAL SIKKERHETSMYNDIGHET

Post mortem-erfaringer fra incident response -om å gjøre det beste ut av en dårlig situasjon. Margrete Raaum (MIS) FIRST SC og UiO-CERT

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN

Alf Høiseth Alder 44 Utdannelse: Bachelor i «Drift av datasystemer» -Hist Har jobbet på Institutt for datateknikk og informasjonsvitenskap siden 1997

Epost og Anti-spam. Standard autentisering AUTH-metode. Receiver s server. Receiver. Your server

Tilsiktede uønskede handlinger

en arena for krig og krim en arena for krig og krim?

Hendelser skjer - hvordan håndterer vi dem?

FIRE EFFEKTIVE TILTAK MOT DATAANGREP

Vedlegg C: Behandling i Standardiseringsrådet, DMARC

Nasjonal sikkerhetsmyndighet

Teknologi og digitalisering i transportsektoren

GRUNNPRINSIPPER FOR IKT-SIKKERHET

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

Mørketallsundersøkelsen 2006

Sikrere E-post en selvfølgelighet

Nøkkelinformasjon. Etatsstyring

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no

webinar Dette MÅ du vite om sikkerhet på Mac! i disse usikre dager. Vi starter klokken 19:00!

Avvikshåndtering og egenkontroll

Veiledning i kryptering med Open PGP

HØGSKOLEN I SØR-TRØNDELAG

CYBER-TRUSSELEN. Finans Norge seminar om operasjonell risiko 5. September Morten Tandle, daglig leder FinansCERT Norge AS/Nordic Financial CERT

Forelesning 4: Kommunikasjonssikkerhet

DOKUMENTASJON E-post oppsett

Metoder og verktøy i operativt sikkerhetsarbeid

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien

RISIKO OG CYBERSIKKERHET

Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres

Vår digitale hverdag Et risikobilde i endring

Security Awareness Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen

Hendelseshåndtering - organisering, infrastruktur og rammeverk

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Hvordan kan den enkelte virksomhet bidra til å skape tillit? Olav Petter Aarrestad, IT-direktør 12/06/2019

KDRS digitalt depot Spesifikasjon av tjenesten

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver

Det digitale trusselbildet Sårbarheter og tiltak

Beredskapsplan for #Regnskapsførervirksomheten etter God Regnskapsføringsskikk pkt IT-sikkerhet

GÅRSDAGENS TEKNOLOGI

«State of the union»

Planlegging av øvelser

Sikkerhet og informasjonssystemer

Så hva er affiliate markedsføring?

Bruker dokumentasjon Web sikkerhet. Universitet i Stavanger

SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE

KARTLEGGING AV IKT-SIKKERHET I NORSKE VIRKSOMHETER

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Viktig informasjon til nye brukere av Mac-klient fra UiB

Nøkkeltall fra NorCERT. Mobil usikkerhet. Superhelter finnes

Sikker på nett. Hva skal man gjøre for å være sikker på nett med PC, nettbrett eller mobil. Carl-Edward Joys Seniornett Asker

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Spamfree. Security Services Tjenestebeskrivelse. Eier: Sissel Joramo Agent: Atle Rønning Tekniker: Designer:

Eksamensveiledning. LOKALT GITT SKRIFTLIG EKSAMEN SSS Sikkerhet. - om vurdering av eksamensbesvarelser

8 myter om datasikkerhet. du kan pensjonere i

SIKKERHETSINSTRUKS - Informasjonssikkerhet

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

Ifølge Stortingsmelding nr. 17 ( ) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Nøkkeltall fra NorCERT

GRUNNLEGGENDE TILTAK FOR SIKRING AV E-POST

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

Transkript:

NASJONAL SIKKERHETSMYNDIGHET Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

02497 (24/7) www.cert.no https://www.nsm.stat.no/ https://twitter.com/norcert post@cert.no (admin) norcert@cert.no (hendelser) PGP Fingerprint: 216C 1DA6 FB74 91C7 1268 FCD0 3FEB 3674 8258 8811

Informasjonen din er ettertraktet 4 Hva er digital spionasje? 4 Hvordan kommer de seg inn i systemet? 5 Forebyggende tiltak og robuste systemer 5 Hvordan oppdage forsøkene? 6 Hva trenger vi og hvorfor? 9 Opprydding 10

4 IHVORDAN FOREBYGGE, OPPDAGE OG HÅNDTERE MÅLRETTEDE DIGITALE ANGREP Informasjonen din er ettertraktet Hvordan kan din virksomhet forebygge og oppdage angrepsforsøk? Her finner du tips for å unngå de vanligste feilene virksomheter begår under og etter et dataangrep. Feil i startfasen kan ødelegge for senere analyse og håndtering av situasjonen. HVA ER DIGITAL SPIONASJE? Det er langt enklere å infiltrere datasystemer enn å innhente informasjon ved å bruke spesialtrente mennesklige agenter. Infiltreringen omtales gjerne som hacking eller datainnbrudd. I realiteten er målrettede angrep spionasje. Dette kan kalles digital spionasje eller cyber-spionasje. Noen er villig til å bruke tid og ressurser på akkurat din virksomhet som etterretningsmål. En vanlig reaksjon hos virksomheter som utsettes for digital spionasje er vi har da ingenting av verdi for andre eller vi forstår ikke hvorfor vi utsettes for dette. Din egen verdiforståelse samsvarer ikke nødvendigvis med motpartens. Digital spionasje er et tydelig tegn på at aktøren mener du har noe som er av verdi. I følge FireEye sin siste rapport 1 Cyber Threats to the Nordic Region om cybertrussler mot nordiske land så utgjør statsstøttede trusselaktører den største risikoen for nordiske regjeringer og industri. Disse trusselaktører vil ha statshemmeligheter, sensitive personlige og finansielle data og intellektuell eiendom fra sentrale næringer. Spesielt utsatte sektorer: Olje og energi Helse og legemiddelindustri Shipping Romfart- og forsvarsindustri Bank og finans Offentlig 1 FireEye Threat Intelligence rapport publisert mai 2015. HVEM ER AKTØRENE? Statlige aktører eller aktører med statlig tilknytning som utfører mer eller mindre målrettede etterretningsoperasjoner mot enkeltindivider eller virksomheter, i den hensikt å tilegne seg kunnskap. Kriminelle nettverk som utfører informasjonstyveri, gjerne i den hensikt å tilrettelegge for svindel eller annen økonomisk motivert kriminalitet. Kaotiske aktører eller aktivister som utfører informasjonstyveri med påfølgende lekkasjer til allmennheten, enten motivert av idealisme eller politisk overbevisning, eller ut fra et ønske om å forårsake kaos eller for å få oppmerksomhet.

5 HVORDAN KOMMER DE SEG INN I SYSTEMET? En aktør kan enten operere målrettet, eller være mer opportunistisk i sin tilnærming. De blinker deg ut som et spesifikt mål, eller kaster garnet og ser hvilken fisk som går i maskene. Metodene de ulike aktørene benytter er som oftest en variasjon av følgende: Epost med dokumentvedlegg med skjult spionprogramvare Eposten kan se ut til å komme fra noen du stoler på og inneholder ofte en lenke som du blir fristet til å klikke på eller et vedlegg med tilsynelatende interessant innhold Direkte innbrudd i sårbare, eksponerte tjenester Bruk av kompromitterte, legitime websider for spredning av spionprogramvare FOREBYGGENDE TILTAK OG ROBUSTE SYSTEMER Å bygge robusthet gjør deg i stand til å møte trusler på en bedre måte. Et robust system kjennetegnes av: En driftsavdeling: med god oversikt over eget nettverk og egne systemer med kontroll på tilgang og segmentering som oppdaterer alle systemer så raskt som praktisk mulig En sikkerhetsavdeling : med gode overvåkningssystemer bestående av dyktige folk som jakter på inntrengere og unormal oppførsel som sørger for at så mye som mulig av uønsket aktivitet i nettverk og systemer blir oppdaget En beredskapsplan: som tydelig avklarer ansvarsforhold som tydelig avklarer eskaleringsrutiner ved sikkerhetshendelser som er konkret nok til å gi besluttende og utøvende personell støtte til håndtering av slike hendelser som øves rutinemessig HVA KAN DU SOM ANSATT GJØRE? Bruk sunn fornuft Hvis noen sender deg en mail som virker mistenkelig, ikke klikk på lenken Ikke åpne vedlegg om du ikke kjenner avsenderen Hvis du kjenner avsender, men er usikker ring vedkommende og sjekk om de faktisk har sendt deg noe Sjekk om avsenderen er riktig. Eks: Feilstavet, slutter på.com i stedet for.no, bruker gmail eller yahoo i stedet for jobb-epost

6 IHVORDAN FOREBYGGE, OPPDAGE OG HÅNDTERE MÅLRETTEDE DIGITALE ANGREP Hvordan oppdage forsøkene? Å skru på logging på servere og klientmaskiner er det første viktige steget. Logging er avgjørende ved kartlegging og håndtering av eventuelle infiltrasjonsforsøk. Deretter blir neste steg å analysere informasjonen og finne mistenkelige oppføringer i loggene. Når man har logger på plass er det mulig å agere på informasjon som nsm norcert sender ut med tips til hva man skal se etter for å avdekke hendelser. Forskjellige trafikklogger Ved hjelp av trafikklogger kan man avdekke nettverkstrafikk generert av trusselaktør. Webtrafikklogger / proxylogger Logger over websurfing (http tcp/80) ut på Internett fra eget nettverk. Med SSL-inspeksjon dersom dette er mulig. Netflow Netflow-logger gir full oversikt over all nettverkstrafikk på egne systemer. Analyse av trafikkmønster hjelper med å skaffe oversikt over omfang og tidslinje for hendelser. Netflow er trafikkflytdata som inneholder metainformasjon om nettverkstrafikken på et gitt punkt i nettverket. Eksempel på slik meta-informasjon er: interne og eksterne adresser tidspunkt og trafikkmengde DNS-logging / Passiv DNS Dette er logger som viser oppslag av domener, hvilke ip-adresser som domenet peker til og har pekt til tidligere. Se etter: Domener ip-adresser dns-oppføringer kan variere hyppig over tid. En historisk oversikt over hvilke domener som er knyttet til hvilke adresser, kan derfor være avgjørende for å avdekke omfang av infiltrasjon. HVA KAN VIRKSOMHETEN DIN GJØRE? Holde programvare og operativsystemet oppdatert Ikke tildel sluttbrukere administratorrettigheter Hold brukerne bevisste Bruk gode passord og endre standardpassord på nye enheter, slå på to-faktor autentisering der det er mulig Et viktig tiltak som IT-administratorer kan gjøre for å oppdage at man er utsatt for datainnbrudd er logging Les NSMs veileder her: https://www.nsm.stat.no/ blogg/enkle-tiltak-mot-dataangrep/

7 I visse tilfeller vil aktiviteten til angriper ikke vises i webtrafikkloggene, men kan likevel vises i dns-logger. Webaksesslogger mot egne web-servere Logger med detaljert oversikt over websurfing (http tcp/80) fra Internett mot egne webservere. Noen ganger kan man finne spor i webaksessloggene av aktivitet mot virksomhetens nettsider utført av angriper. Informasjonen her kan brukes til å skreddersy spearphising-eposter (målrettede lure-eposter) rettet mot virksomhetens medarbeidere. Autentiseringslogger Disse loggene gir innsikt i hvilke brukere som hatt tilgang til ulike tjenester. Ved å undersøke disse loggene kan man oppdage eventuelle mistenkelige innlogginger. Mistenkelige innlogginger kan oppdages ved å se på avvik fra normal aktivitet. Avvik kan for eksempel være innlogging fra forskjellige steder i verden kort tid etter hverandre. Administrasjonslogger Dette er logger som dokumenterer administrative endringer av virksomhetens ikt-systemer, som typisk utføres av systemadministrator. I et datainnbrudd vil angriper gjerne forsøke å skaffe seg bruker- eller objekttilgang med administrative rettigheter. Overvåkning av administrasjonslogger for opprettelse og endring av brukere vil kunne avdekke uautorisert brukeradministrasjon. For eksempel kan angriper opprette nye brukere på domenekontroller med utvidede rettigheter, for deretter å slette disse brukerne. Sikkerhetslogger Sikkerhetsprodukter og -løsninger vil ofte produsere logger for sikkerhetshendelser som disse har reagert på. Noen av disse sikkerhetsløsningene vil stoppe uønsket aktivitet, og det er da særdeles viktig å logge hva som blir stoppet og om mulig sette aktuelle data (som for eksempel mistenkelige filer) i karantene for videre undersøkelse. nsm norcert kan hjelpe utsatte virksomheter med å analysere skadevare som har blitt stoppet på vei inn til virksomheten. Analyse vil kunne avdekke ytterligere informasjon om infiltrasjonsforsøket som igjen kan bidra til å avdekke andre relaterte hendelser.

8 IHVORDAN FOREBYGGE, OPPDAGE OG HÅNDTERE MÅLRETTEDE DIGITALE ANGREP E-postlogger E-post blir ofte benyttet i digital spionasje. Analyse av teknisk informasjon om leveranse og innhold i e-post er sentralt i hendelseshåndteringen. Slik analyse bidrar med informasjon om metode og infrastruktur benyttet av angriper. Logging av e-postleveranser må gjøres på en slik måte at man effektivt kan søke etter mistenkelige e-poster basert på teknisk informasjon. Dette kan være: Avsenderadresser Emner Vedleggsnavn

9 Hva trenger vi og hvorfor? Når angrepet er et faktum kan nsm norcert hjelpe din virksomhet med å håndtere hendelsen. For å kunne bistå best mulig ønsker vi relevant informasjon som beskrevet nedenfor. Før man gjør egne undersøkelser eller slår av maskinen anbefaler vi sikring av minne og harddisk. Hva trenger vi? Rask oppsummering og tidslinje for hendelsen. Vurdering av hendelsen. Verdivurdering - hvor alvorlig er det? Beskrivelse av mottakernes rolle(r)? HVIS > Mistenkelig e-post mottatt: Kopi av e-posten med fulle mailheadere og eventuelle vedlegg Vedlegg bør zippes og passordbeskyttes, eventuelt PGP-krypteres HVIS > Bruker har klikket på en mistenkelig lenke: Kopi av logger for webtraffikk (proxy-logger) DNS/PassivDNS-logger Eventuelt brannmurlogger HVIS > Bruker har surfet på infisert nettside: Kopi av logger for webtraffikk (proxy-logger) i det aktuelle tidsrommet Kopi av eventuell skadevare som har blitt lastet ned En oversikt over undersøkelser virksomheten selv har utført. Oversikt over mistenkt kompromitterte maskiner. Eventuell tillatelse til å dele informasjon i denne saken videre med våre samarbeidspartnere. Hvorfor trenger vi det? Gir oss en god start for et oppdatert situasjonsbilde i saken. Nyttig for oss å vite hvor alvorlig dere mener saken er, da dere kjenner egne verdier best. Dette kan gi et innblikk i hva angriper er ute etter, og dermed hvor man bør lete etter flere spor. Mailheadere er en god kilde til informasjon rundt hendelser. Kan knytte separate hendelser sammen Kryptering sikrer konfidensialitet Kan bekrefte eller avkrefte om vedkommende har trykket på den ondsinnede lenken. Offeret kan ha blitt videresendt via en rekke nettsider. Slike logger kan bidra til å finne kilden til infeksjonen. Selv undersøkelser med negative resultater er greit å ha med her for å få et oppdatert situasjonsbilde. Minneanalyse kan bidra med å raskt identifisere kjørende skadevare og oppkoblinger. Diskanalyse vil være mer tidkrevende, men man vil kunne kartlegge mer av angripers aktivitet. Deling av teknisk informasjon er nyttig. Har samarbeidspartnere sett noe lignende? Man kan da ha mulighet til å finne ny triggerinformasjon.

10 I HVORDAN FOREBYGGE, OPPDAGE OG HÅNDTERE MÅLRETTEDE DIGITALE ANGREP Opprydding Opprydding av kompromitterte systemer må planlegges og gjennomføres på en kontrollert måte. Analyse av hendelsen bør gi et fullstendig bilde av alle infiserte systemer. Dersom man går glipp av et kompromittert system gir dette angriper en ny mulighet til å gjenopprette kontroll over systemet. Isolér kompromitterte systemer fra nettverket Klargjør diskbilder og minnedump av alle kompromitterte systemer. Reinstaller med rene backups Endre alle passord for å sikre at angriper ikke kan benytte samme passord for å skaffe seg tilgang igjen Evaluering av hendelseshåndteringen for å identifisere læringspunkter og forbedringspotensiale

På NSM NorCERT operasjonssenter håndteres det hendelser 24/7 11

NASJONAL SIKKERHETSMYNDIGHET (NSM) NorCERT - Operativ avdeling Postboks 814 1306 Sandvika post@cert.no www.cert.no https://twitter.com/norcert

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding