Zero Trust Soldier

Cybersecurity is complex. Let's see if we can make it more understandable

Kan vi skylde på myndighetene, og Norsk Hydro?

Som en teknisk utøvende aktør innen optimalisering av sikkerhetsarbeidet ser man mange grunnleggende mangler der ute, og man tenker:

Jammen er det flaks at de kriminelle aktørene har mye å ta av…

Gang på gang kommer man inn til kunder, som er ydmyke nok til å spørre om hjelp, der flaks har spilt en viktig rolle i mange år.

Hvorfor er ikke den grunnleggende sikkerheten på plass?

En ting er kompetanse. En ting er tid og kapasitet. En ting er bevissthet. En ting er ydmykhet.

➡️ En annen ting er pinadø myndigheter og Norsk Hydro.

Før, under og etter en hendelse

Å bygge proaktiv sikkerhet krever en del teknisk kompetanse. Man må kunne en del om angrepsteknikker, og deretter om forsvarsteknikker. Dette går langt over hodet til de som styrer saker og ting. Greit nok. Men her starter problemet.

Norsk Hydro hendelsen

Etter hendelsen i 2019 var jeg med i et møte der IT ledelsen hos Norsk Hydro presenterte. Jeg husker hvordan jeg ble oppgitt, da konklusjonen var at man må anta en hendelse og forberede på krise. Ordlyden var slik som at «vil de inn, så kommer de seg inn», og dermed måtte man bare gi opp og heller fokusere på krisehåndtering. Joda, så klart man må tenke på alle tre faser, før, under og etter, men ikke bare lukke øynene for de to første.

Problemet er nok at vedkommende ikke har kompetanse på før biten og dermed blir dette området gresk og umulig, så da fokuserer man heller på noe man kan forstå. Fair, men skummelt. Da må ydmykheten frem for å adressere det med andre ressurser.

Myndighetene sin «feil»

Om du ikke kan forklare ting enkelt, så kan du det kanskje ikke godt nok, er det noe som heter.

Nasjonal sikkerhetsmyndighet gjør mye bra, kommer med mange gode tips og råd og deler det på sine websider. Jeg har nettopp lest «Sikkerhetstiltak mot digital utpressing og andre angrep»:

Etter å ha delt denne med andre er vi enige om at dokumentet er stort, omfattende, komplekst og diffust. Hvor skal man starte? Er markedet kjent med dokumentet, og har man noen steder sett at det har bidratt til bedret sikkerhet?

Det primære fokuset rundt angrepsmetode er på phishing, men er det virkelige utbredt i dagens løsepengeangrep? Misbruk av software sårbarheter som initiell angrepsvektor er en trendendring man har sett over flere år, men dette synliggjøres ikke i artikkelen annet enn at ting skal patches.

At dokumentet er skrevet i 2021 er kudos til NSM. Det er oppdatert i 2023, men jeg ser ikke noen logg av hva som er endret.

Det er mulig, og viktig, å innføre proaktive tiltak som vanskeliggjør misbruk av software sårbarheter som leder til innbrudd. Det handler om mennesker og mindset.

Offentlige midler dyttes inn for å øve på hendelser

Joda, men tenk om man hadde brukt like mye ressurser på å forhindre hendelser? Men det er teknisk og utenfor kompetanseområdet til de i ledelsen, så det kan noen andre fikse, men det gjør de altfor sjeldent. Noen ganger trenger de penger, men klarer ikke å forklare saken godt nok til ledelsen, dessverre.

Det MÅ fokuseres mye mer på proaktiv sikkerhet.

De beste hendelsene er de som ikke skjer.

Start med det enkle

Denne artikkelen handler om løsepengeangrep. Svindel blir omhandlet i en annen artikkel.

Løsepengeangrep kan teknisk sett deles opp i 4 faser, noe som gjør det mer oversiktlig og dermed enklere å målrettet adressere.

Bryter man det opp slik for å se på tekniske tiltak som motvirker de forskjellige fasene kommer man mye raskere og enklere fremover til å bli mer robust.

  • Inngående kommunikasjon typisk med en av disse tre:
    • Misbruk av software sårbarheter på internettjenester
    • Phishing
    • Innlogging
  • Intern kommunikasjon, typisk utført med RDP
  • Utgående kommunikasjon for:
    • Etablering av bakdør
    • Nedlasting av nødvendig programvare
    • Lekkasje av sensitiv informasjon
    • Nedlasting av skadevare
    • Dette er VG testen segmentet
  • Kryptering

Her er en artikkel som utdyper dette enda mer, med forklaring på hvilke tiltak man kan og bør implementere.

Mitt håp

Mitt håp er at myndighetene kommer med en meget forenklet tiltaksliste som går på relevant proaktiv sikkerhet mot nettopp løsepengeangrep. Det burde være enkelt.

Ser man på virkelige hendelser og lærer av dem blir det mye enklere.

La oss starte med de virkelige hendelsene før vi begynner å beskytte oss mot de fiktive.

Kill chain

Ingenting er 100%, men alt hjelper. Tenk enkelt. Lag for lag. Tenk, «vil dette tiltaket vingeklippe angrepet?».

Adressering av VG testen er essensielt for å vingeklippe, da aktørene trenger utgående kommunikasjon.

Intern segmentering med Least Privilege er essensielt for å vanskeliggjøre bevegelse.

Og slik kan man fortsette. 5-10 enkle og i hovedsak gratis tiltak vil gjøre en fundamental forskjell i robusthet.

Det enkle er ofte det beste

Mål.

Målet burde være at ledelser rundt omkring får en lettfattelig prioritetsliste de enkelt kan benytte internt i egen organisasjon og deretter måle i forhold til anbefalte tiltak.

  • Hvordan har vi adressert den inngående fasen?
  • Hvordan har vi adressert den interne fasen?
  • Hvordan har vi adressert den utgående fasen (VG testen)?
  • Hvordan har vi håndtert krypteringsdelen?

Hva trenger dere for å utøve disse tiltakene?

  • Mer utstyr?
  • Kurs?
  • Ekstern bistand?
, , , , , , , , ,

Posted by:

Gøran Tømte

Leave a Reply

Discover more from Zero Trust Soldier

Subscribe now to keep reading and get access to the full archive.

Continue reading