Zero Trust Soldier

Cybersecurity is complex. Let's see if we can make it more understandable

Alle MÅ anta ransomware for å overleve. 100%

«Ransomware Accounts for 54% of Cybersecurity Threats» – Enisa

I dagens trusselbilde er det ransomware som troner på toppen, år etter år. En ting er at man leser om hendelsene i media, en annen er lesingen i de årlige trusselrapportene til Enisa (The European Union Agency for Cybersecurity). Enisa lager sine rapporter på bakgrunn av hendelser det siste året, så det er basert på fakta og ikke krystallkuler.

Mennesket avgjør

Mange sier det handler ikke om, men når…

Å si at man ikke skal tenke «om» noe skjer, men at man skal tenke «når» det skjer. Og jeg er så enig, men vil si det med litt mer kontekst.

Assume Breach

Assume Breach, anta at uvedkommende er på innsiden. Det mangler MFA altfor mange steder, og sårbarheter på produkter regner mer enn en stormfull høst i Norge. Disse tingene gjør at uvedkommende kommer seg inn. Slik er det bare, og det er derfor viktig at vi mennesker tar høyde for nettopp det.

Dette er noe jeg har pushet lenge, fordi det er så veldig viktig å anta dette, for deretter å adressere denne situasjonen. 100%. Antar man ikke, vil man heller ikke forberede. Sannsynlighet kan aldri tas med i denne diskusjonen. Sannsynlighet kan tas med i nivået av tiltak NÅR man 100% har antatt uvedkommende på innsiden.

Assume ransomware

Ransomware er nummer 1 på listen til Enisa og flere. Da sier det seg selv at dette MÅ på agendaen. Ransomware er i dag i hovedsak to ting:

  • Uthenting av data
  • Kryptering av data

Uthenting av data er i kategorien Assume Breach. Anta at uvedkommende er på innsiden og styrk sikkerheten på innsiden med dette mindset’et.

Kryptering av data er den andre delen, og som viser seg å ha den største konsekvensen.

Assume Breach tankegangen skal hjelpe til med å skape bedre proaktiv sikkerhet. Økt grad av segmentering. Bedre tilgangskontroll. Kill Chain tankesett. Logging. Alarmering. Målet er å hindre skade.

Assume Ransomware blir å forberede seg på at noen har klart å kryptere. Når skaden først har skjedd, i liten eller stor grad, begynner klokka og tikke. Nå haster det å få ting opp å kjøre igjen.

Hva gjør du for å være bedre rustet?

Dette handler om forberedelser på flere områder. En ting er å stille spørsmål til seg selv, mens en annen er å stille spørsmål til sin tjenesteleverandør.

Spørsmål til seg selv

  • Vil vår backup overleve kryptering? Er den «immutable»?
    • Tradisjonelle backup løsninger ble bygget for å kunne gjenopprette e-poster, e-post kontoer, filer, databaser, servere og lignende, etter teknologiske feil i hardware og software. Backup ligger gjerne på en Windows filserver som tilhører domenet, veldig praktisk og effektivt. I dagens trusselbilde med krypteringsvirus gjør dette hele backupløsningen meget sårbar, da denne vil kunne krypteres på lik linje som alle andre domene servere.
  • Hvor raskt og effektivt vil vi være i stand til å gjenopprette?
    • Dette kommer an på flere ting. En ting er hendelseshåndtering. Eksisterer loggdata å etterforske på? Er dataene intakte ved hjelp av en solid backup løsning? Å ha dataene tilgjengelig er alene ikke nok, da en trygg offline backup kan ta veldig lang tid å gjenopprette. Har man en immutable backup som er i stand til å gjenopprette systemer i høy hastighet? Har man øvd? Har man kontroll på rekkefølgen systemer skal kjøres opp i? Og masse mer. Dette er elementer som kommer opp i interne øvelser med tittel «vi har fått Ransomware»

Spørsmål til leverandør

Har man tjenesteutsatt til Tietoevry, Nettdrift, Inventum Øst, Abacus IT, Nordlo, eller andre, har man som kunde allikevel ansvaret. Man må sikre sine data og systemer, selv om noen andre leverer tjenesten. Et forslag her er følgende leverandør kontroller. Stille krav ved kjøp, eller kontroller om dette allerede er oppe og kjøre. Har leverandøren immutable backup? Har de øvd på hendelser som dette?

Glem phishing og brukere

Neida, de er der og er både en stor svakhet, og kan gjøres til et viktig lag i sikkerhetsmodellen med bevissthetstrening. Men man må allikevel anta, 100%, at brukere blir lurt. Man må anta at de klikker, som resulterer i at de gir fra seg tilgangsinformasjon (som i NRK hendelsen), eller at de dobbeltklikker på et vedlegg (som i Hydro hendelsen). Hva da?

All statistikk viser at en relativt stor andel brukere klikker, og da MÅ man ta høyde for nettopp det. Hvilke tiltak er på plass for å adressere situasjonen der de klikker? Dette er et eget tema jeg kan si mye om en annen gang, med DNS og URL sikkerhet, og mer.

Det er vi mennesker som eier dette

Konklusjonen er at vi mennesker MÅ ta eierskap til situasjonen. At ting har fungert fint i årevis kan ikke bli en sovepute, fordi evolusjonen aldri stopper. Det er mye penger i denne kriminelle industrien, så motivasjonen er på topp hos aktørene. Vi må være ydmyke og kontinuerlig ta til oss lærdom, kompetanse og bevissthet.

De kriminelle finner stadig nye mål og metoder, og derfor MÅ!!!! alle alltid 100% anta ransomware, med datalekkasje og kryptering. MÅ!

, , , , , ,

Posted by:

Gøran Tømte

2 responses to “Alle MÅ anta ransomware for å overleve. 100%”

  1. Alle suksessfulle hendelser kunne vært unngått – Zero Trust Soldier

    […] Alle MÅ anta ransomware for å overleve. 100% […]

    Reply
  2. NSM Risikorapport 2025 – Zero Trust Soldier

    […] Alle MÅ anta ransomware for å overleve. 100% […]

    Reply

Leave a Reply

Discover more from Zero Trust Soldier

Subscribe now to keep reading and get access to the full archive.

Continue reading