NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

Like dokumenter
NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? NASJONAL SIKKERHETSMYNDIGHET

TRUSLER, TRENDER OG FAKTISKE HENDELSER

Gode råd til deg som stiller til valg

Gode råd til deg som stiller til valg

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

NorCERT IKT-risikobildet

Trusler, trender og tiltak 2009

HelseCERT Situasjonsbilde 2018

Slik stoppes de fleste dataangrepene

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

Hvordan stå bedre rustet mot et målrettet angrep Watchcom Security Group AS

Gode råd til deg som stiller til val

Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss?

LOGGING ØKT SIKKERHET I IKT-SYSTEMER

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Så hva er affiliate markedsføring?

TI TILTAK FOR BESKYTTELSE AV DATAMASKINER

Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier IKT-risikobildet. Dataangrep mot kritisk infrastruktur og informasjon

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

NASJONAL SIKKERHETSMYNDIGHET

Nasjonal sikkerhetsmyndighet

Alf Høiseth Alder 44 Utdannelse: Bachelor i «Drift av datasystemer» -Hist Har jobbet på Institutt for datateknikk og informasjonsvitenskap siden 1997

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET

F-Secure Anti-Virus for Mac 2015

DOKUMENTASJON E-post oppsett

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Security Awareness Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen

Viktig informasjon til nye brukere av Mac-klient fra UiB

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no

Risikovurdering for folk og ledere Normkonferansen 2018

Viktig informasjon til nye brukere av Mac-klient fra UiB

Piscus. Brukermanual Piscus.no. Findexa Forlag AS

Vår digitale sårbarhet teknologi og åpne spørsmål

Kapitel 1: Komme i gang...3

Det digitale trusselbildet Sårbarheter og tiltak

Bredbånd fra Telenor

orske virksomheter i det digitale rom

Brukerveiledning Custodis Backup Basic Epost:

Eleven skal kunne bruke nettvett og følge regler for personvern på Internett og i sosiale medier.

Mørketallsundersøkelsen 2006

Nettsikkerhet. Tom Heine Nätt Høgskolelektor Høgskolen i Østfold tom.h.natt@hiof.no

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Saksbehandler: Rigmor J. Leknes Tlf: Arkiv: 033 Arkivsaksnr.: 11/

Personvernerklæring 1. Innledning 2. Når innhenter vi personlige opplysninger? 3. Hvilken personlig informasjon innhenter vi fra deg?

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

Om søk, sikkerhet og nettvett. All tekst hentet fra HIB, "Digitale ferdigheter"

Brukerveiledning Mobilsynkronisering HTC HD2

Tilsiktede uønskede handlinger

Vanlige spørsmål. GallupPanelet. TNS Panel-app. TNS Juni 2015 v.1.3

Hvor og hvordan lagrer du mediafilene dine?

Kjøre Wordpress på OSX

Hvordan kan Internett overvåkes?

KUNNSKAP.NO (versjon 7)

Steg for steg. Sånn tar du backup av Macen din

Publiseringsløsning for internettsider

Brukerdokumentasjon Trend Antivirus for KAT A klienter InnsIKT 2.0 Versjon 1.0

en arena for krig og krim en arena for krig og krim?

Veileder for bruk av tynne klienter

RISIKO OG CYBERSIKKERHET

NASJONAL SIKKERHETSMYNDIGHET

Her kan du lese om forskjellige tilgangsområder, passord, utlogging og tilslutt en gjennomgang av hvordan man håndterer skrivere.

Anbefalinger om åpenhet rundt IKT-hendelser

Post mortem-erfaringer fra incident response -om å gjøre det beste ut av en dårlig situasjon. Margrete Raaum (MIS) FIRST SC og UiO-CERT

Sikkerhet og internett

Bredbånd og pc Brukerveiledning. Dette er en utdatert brukerveiledning som kan omhandle utgåtte tjenester og utstyr

Nøkkelinformasjon. Etatsstyring

Til IT-ansvarlige på skolen

Informasjonssikkerhet

BRUKERMANUAL WEB-publisering og e-post

HØGSKOLEN I SØR-TRØNDELAG

FIRE EFFEKTIVE TILTAK MOT DATAANGREP

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Hva, Hvorfor og litt om Hvordan

Brukerhåndbok for drift hos Kirkedata AS. Denne håndboken er utarbeidet av

1. Hent NotaPlan Online Backup på 2. Trykk på Download i menyen og på Download i linjen med Notaplan Backup

Hurtigstartveiledning

Norsk Kennel Klub NETTVETT. Tips om regler og ansvar

Sikkerhet på akkord med personvernet? NOU 2015: 13

Brukerveiledning Mobilsynkronisering Nokia N97 mini

Datasikkerhet internt på sykehuset

15. mai Månedsrapport. april Statusrapport Slettmeg.no april Side 1 av 9

KDRS digitalt depot Spesifikasjon av tjenesten

IKT-sårbarhetsbildet Hvor trykker sikkerhetsskoen. Sjefingeniør Jørgen Botnan Nasjonal sikkerhetsmyndighet

Kan du holde på en hemmelighet?

Definisjon: Tre avgjørende kriterier for å kalle det mobbing er:

SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE

1. Systemsikkerhet Innledning. Innhold

IRT-konsepter. Hva handler hendelseshåndtering om? 2. mai 2017

Brukerveiledning for SMS fra Outlook

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

CabinWeb BRUKERDOKUMENTASJON ET SYSTEM UTVIKLET AV DELFI DATA

Bruker- dokumentasjon. for. Norsk Kompetanseregister

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Transkript:

NASJONAL SIKKERHETSMYNDIGHET Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

INNHOLD Hva er digital spionasje 2 Hvordan kommer de seg inn i systemet 3 Forebyggende tiltak og robuste systemer 3 Hvordan oppdage forsøkene 4 Hva trenger NSM NorCERT og hvorfor 6 Opprydding 7

HVORDAN FOREBYGGE, OPPDAGE OG HÅNDTERE MÅLRETTEDE DIGITALE ANGREP 3 INFORMASJONEN DIN ER ETTERTRAKTET Dette temaheftet er laget for å gi noen tips på hvordan man kan forebygge og oppdage angrepsforsøk, samt gi støtte i de første fasene etter at et målrettet data-angrep er oppdaget. Målet er å hjelpe offer for denne type angrep, slik at de typiske fellene i startfasen unngås. De vanligste feilene kan være til hinder for senere analyse og håndtering av situasjonen. HVA ER DIGITAL SPIONASJE? Det er langt enklere å infiltrere datasystemer enn å innhente informasjon ved å bruke spesialtrente agenter. Infiltreringen omtales gjerne som «hacking» eller «datainnbrudd». I realiteten er målrettede angrep spionasje. Dette kan kalles «digital spionasje» eller «cyberspionasje». Noen er villig til å bruke tid og ressurser på akkurat din virksomhet som etterretningsmål. En vanlig reaksjon hos virksomheter som utsettes for digital spionasje er «vi har da ingenting av verdi for andre» eller «vi forstår ikke hvorfor vi utsettes for dette». Din egen verdiforståelse samsvarer ikke nødvendigvis med motpartens. Digital spionasje er et tydelig tegn på at aktøren mener du har noe som er av verdi. HVEM ER AKTØRENE? STATLIGE AKTØRER eller aktører med statlig tilknytning som utfører mer eller mindre målrettede etterretningsoperasjoner mot enkeltindivider eller virksomheter, i den hensikt å tilegne seg kunnskap. KRIMINELLE NETTVERK som utfører informasjonstyveri, gjerne i den hensikt å tilrettelegge for svindel eller annen økonomisk motivert kriminalitet. KAOTISKE AKTØRER eller aktivister som utfører informasjonstyveri med påfølgende lekkasjer til allmennheten, enten motivert av idealisme eller politisk overbevisning, eller ut fra et ønske om å forårsake kaos eller for å få oppmerksomhet.

4 HVORDAN FOREBYGGE, OPPDAGE OG HÅNDTERE MÅLRETTEDE DIGITALE ANGREP HVORDAN KOMMER DE SEG INN I SYSTEMET En aktør kan enten operere målrettet, eller være mer opportunistisk i sin tilnærming. De blinker deg ut som et spesifikt mål, eller kaster garnet og ser hvilken fisk som går i maskene. Metodene de ulike aktørene benytter er som oftest en variasjon av følgende: Epost med dokumentvedlegg med skjult spionprogramvare. ÀÀ Eposten kan se ut til å komme fra noen du stoler påinneholder ofte en lenke som du blir fristet til å klikke på eller et vedlegg med tilsynelatende interessant innhold Direkte innbrudd i sårbare, eksponerte tjenester. Bruk av kompromitterte, legitime websider for spredning av spionprogramvare. FOREBYGGENDE TILTAK OG ROBUSTE SYSTEMER Å bygge robusthet gjør deg i stand til å møte trusler på en bedre måte. Et robust system kjennetegnes av: HVA KAN DU SOM ANSATT GJØRE? Bruk sunn fornuft Ikke klikk på lenker i eposter. Du kan eventuelt kopiere adressen manuelt Hvis noen du kjenner sender deg en mail som virker mistenkelig, ikke klikk på lenken Ikke åpne vedlegg om du ikke kjenner avsenderen Hvis du kjenner avsender, men er usikker ring vedkommende og sjekk om de faktisk har sendt deg noe Sjekk om avsenderen er riktig. Eks: Feilstavet, slutter på.com i stedet for.no, bruker gmail eller yahoo i stedet for jobb-epost. En driftsavdeling med: god oversikt over eget nettverk og egne systemer som holder kontroll på tilgang og segmentering som sørger for at alle systemer er så godt oppdatert som overhode mulig til en hver tid En sikkerhetsavdeling med: gode overvåkningssystemer dyktige folk som jakter på inntrengere og unormal oppførsel som sørger for at så mye som mulig av uønsket aktivitet i nettverk og systemer blir oppdaget En beredskapsplan som: tydelig avklarer ansvarsforhold tydelig avklarer eskaleringsrutiner ved sikkerhetshendelser er konkret nok til å gi besluttende og utøvende personell støtte til håndtering av slike hendelser

HVORDAN FOREBYGGE, OPPDAGE OG HÅNDTERE MÅLRETTEDE DIGITALE ANGREP 5 HVORDAN OPPDAGE FORSØKENE? Å skru på logging er det første viktige steget. Logging er avgjørende ved kartlegging og håndtering av eventuelle infiltrasjonsforsøk. Brannmurlogger, netflow og logger fra ulike sikkerhetsløsninger, kan også være nyttige. Deretter blir neste steg å analysere informasjonen og finne mistenkelige oppføringer i loggene. Når man har logger på plass er det mulig å agere på informasjon som NSM NorCERT sender ut med tips til hva man skal se etter for å avdekke hendelser. TRAFIKKLOGGER Ved hjelp av trafikklogger kan man avdekke nettverkstrafikk generert av trusselaktør. Webtrafikklogger / proxylogger Logger over websurfing (HTTP TCP/80) ut på Internett fra eget nettverk. Om mulig med SSL-inspeksjon. Netflow Netflow-logger gir full oversikt over all nettverkstrafikk på egne systemer. Analyse av trafikkmønster hjelper med å skaffe oversikt over omfang og tidslinje for hendelser. Netflow er trafikkflytdata som inneholder metainformasjon om nettverkstrafikken på et gitt punkt i nettverket. Eksempel på slik metainformasjon er: HVA KAN VIRKSOMHETEN DIN GJØRE? Sørg for å holde programvare og operativsystemet oppdatert Ikke tildel sluttbrukere administratorrettigheter Hold brukerne bevisste Bruk gode passord og endre standardpassord på nye enheter, slå på to-faktor autentisering der det er mulig Et viktig tiltak som IT-administratorer kan gjøre for å oppdage at man er utsatt for datainnbrudd er logging, mer informasjon om dette nedenfor ÀÀ interne og eksterne adresser ÀÀ tidspunkt og trafikkmengde. DNS-logging / Passiv DNS Dette er logger som viser oppslag av domener, hvilke adresser som domenet peker til og har pekt til tidligere. Se etter: ÀÀ Domener ÀÀ IP-adresser DNS-oppføringer kan variere hyppig over tid. En historisk oversikt over hvilke domener som er knyttet til hvilke adresser, kan derfor være avgjørende for å avdekke omfang av infiltrasjon. I visse tilfeller vil aktiviteten til angriper ikke vises i webtrafikkloggene, men kan likevel vises i DNS-logger. Webaksesslogger mot egne web-servere Logger med detaljert oversikt over websurfing (HTTP TCP/80) fra Internett mot egne webservere. Noen ganger kan man finne spor i webaksessloggene av aktivitet mot virksomhetens nettsider utført av angriper. Informasjonen her kan brukes til å skreddersy lure-eposter rettet mot virksomhetens medarbeidere.

6 HVORDAN FOREBYGGE, OPPDAGE OG HÅNDTERE MÅLRETTEDE DIGITALE ANGREP AUTENTISERINGSLOGGER Disse loggene gir innsikt i hvilke brukere som hatt tilgang til ulike tjenester. Ved å undersøke disse loggene kan man oppdage eventuelle mistenkelige innlogginger. Mistenkelige innlogginger kan oppdages ved å se på avvik fra normal aktivitet. Avvik kan for eksempel være innlogging fra forskjellige steder i verden kort tid etter hverandre. ADMINISTRASJONSLOGGER Logger som dokumenterer administrative endringer av virksomhetens IKT-systemer, som typisk utføres av systemadministrator. I et datainnbrudd vil angriper gjerne forsøke å skaffe seg bruker- eller objekt-tilgang med administrative rettigheter. Overvåkning av administrasjonslogger for opprettelse og endring av brukere vil kunne avdekke uautorisert brukeradministrasjon. For eksempel kan angriper opprette nye brukere på domenekontroller med utvidede rettigheter, for deretter å slette disse brukerne. SIKKERHETSLOGGER Sikkerhetsprodukter og -løsninger vil ofte produsere logger for sikkerhetshendelser som disse har reagert på. Noen av disse sikkerhetsløsningene vil stoppe uønsket aktivitet, og det er da særdeles viktig å logge hva som blir stoppet og om mulig sette aktuell data (som for eksempel mistenkelige filer) i karantene for videre undersøkelse. NorCERT kan hjelpe utsatte virksomheter med å analysere skadevare som har blitt stoppet på vei inn til virksomheten. Analyse vil kunne avdekke ytterligere informasjon om infiltrasjonsforsøket som igjen kan bidra til å avdekke andre relaterte hendelser. E-POSTLOGGER E-post blir ofte benyttet i digital spionasje. Analyse av teknisk informasjon om leveranse og innhold i e-post er sentralt i hendelseshåndteringen. Slik analyse bidrar med informasjonen metode og infrastruktur benyttet av angriper. Logging av e-postleveranser må gjøres på en slik måte at man effektivt kan søke etter mistenkelige e-poster basert på teknisk informasjon. Dette kan være: Avsenderadresser Emner Vedleggsnavn

HVORDAN FOREBYGGE, OPPDAGE OG HÅNDTERE MÅLRETTEDE DIGITALE ANGREP 7 HVA TRENGER NSM NORCERT OG HVORFOR? Når angrepet er et faktum kan NSM NorCERT hjelpe din virksomhet med å håndtere hendelsen. For å kunne bistå best mulig ønsker vi relevant informasjon som beskrevet nedenfor: HVA Rask oppsummering og tidslinje for hendelsen Vurdering av hendelsen. Hvor alvorlig er det Hva er mottakernes rolle(r)? Mistenkelig e-post mottatt: Kopi av e-posten med fulle mailheadere og eventuelle vedlegg Vedlegg bør zippes og passordbeskyttes, eventuelt PGP-krypteres Bruker har klikket på en mistenkelig lenke: Kopi av logger for webtraffikk (proxy-logger) DNS/PassivDNS-logger eventuelt brannmurlogger Bruker har surfet på infisert nettside: Kopi av logger for webtraffikk (proxy-logger) i det aktuelle tidsrommet kopi av eventuell skadevare som har blitt lastet ned En oversikt over undersøkelser virksomheten har utført selv Oversikt over mistenkt kompromitterte maskiner. FØR man gjør egne undersøkelser eller slår av maskin en anbefaler vi sikring av minne og harddisk Hvilken informasjon i denne saken kan deles videre med våre samarbeidspartnere? HVORFOR Gir oss en god start for oppdatert situasjonsbilde i saken Nyttig for oss å vite hvor alvorlig dere mener saken er, da dere kjenner egne verdier best Dette kan gi et innblikk i hva angriper er ute etter, og dermed hvor man bør lete etter flere spor Mailheadere er en god kilde til informasjon rundt hendelser. kan knytte separate hendelser sammen kryptering sikrer konfidensialitet Kan bekrefte eller avkrefte om vedkommende har trykket på den ondsinnede lenken Offeret kan ha blitt videresendt via en rekke nettsider. Slike logger kan bidra til å finne kilden til infeksjonen Selv undersøkelser med negative resultater er greit å ha med her for å få et oppdatert situasjonsbilde Minneanalyse kan bidra med å raskt identifisere kjørende skadevare og oppkoblinger. Diskanalyse vil være mer tidkrevende, men man vil kunne kartlegge mer av angripers aktivitet Deling av teknisk informasjon er nyttig. Har samar beidspartnere sett noe lignende? Man kan da ha mulighet til å finne ny triggerinformasjon

8 HVORDAN FOREBYGGE, OPPDAGE OG HÅNDTERE MÅLRETTEDE DIGITALE ANGREP OPPRYDDING Opprydding av kompromitterte systemer må planlegges og gjennomføres på en kontrollert måte. Analysen av hendelsen bør gi et fullstendig bilde av alle infiserte systemer. Dersom man går glipp av et kompromittert system gir dette angriper en ny mulighet til å gjenopprette kontroll over systemet. Isoler kompromitterte systemer fra nettverket Klargjør diskbilder og minnedump av alle kompromitterte systemer. Reinstaller med rene backups Endre alle passord for å sikre at angriper ikke kan benytte samme passord for å skaffe seg tilgang igjen

Se også NSMs FIRE EFFEKTIVE TILTAK MOT DATAANGREP: Last ned hele veiledningen på NSMs nettsider. Søk etter: S-01

NASJONAL SIKKERHETSMYNDIGHET NorCERT - Operativ avdeling Postboks 814 1306 Sandvika post@cert.no www.cert.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding