Angriperne omfatter i hovedsak seks grupper: skript-kiddies, hacktivister, organisert kriminalitet, nasjonalstater, innsidere og konkurrenter. Metodene kan inndeles i sosial manipulasjon, planting av skadevare, identitetstyveri samt applikasjons- og nettverksangrep. Motivene strekker seg fra status i vennekretsen og økonomisk vinning til ødeleggelse av infrastruktur og cyberspionasje. Teknikkene glir over i hverandre og beveger seg langs sju trinn på cyberdrapskjeden, utviklet av Lockheed Martin. MITRE ATT&CK utfyller kjeden med en oppdatert database over angrepsteknikker. Oversikten her burde gi en idé om hva du må forholde deg til, og hvilke forsvarsmekanismer du bør ta i bruk.
Angriperne
Skripts-kiddies er hackere med relativt lite erfaring, ikke nødvendigvis unger. Vanligvis er de ute etter å se hva de kan få til, drevet av nysgjerrighet og personlig anerkjennelse. Utfordringen er å bryte seg inn. Vanligvis er de ikke tilknyttet hackergrupper. Men det gjør dem ikke mindre farlige. De blir mer durkdrevne underveis og bruker ofte ferdige skript og kitt for å lage skadevare.
Hacktivister er aktivister som benytter hacking for ideologiske eller politiske formål. Ferdigheter og finansieringen varierer. De tar ned nettsteder med distribuerte tjenestenektangrep (DDoS), stjeler personlig informasjon, påloggingsopplysninger og bedriftshemmeligheter – ting som plasserer en organisasjon i et dårlig lys. Hacktivister utmerker seg ikke ved å være spesielt tålmodige eller operere i det skjulte. Tvert imot ønsker de mest mulig oppmerksomhet rundt deres agenda.
Organisert kriminalitet er motivert av økonomisk vinning. Hackergruppene er godt organisert. De er uhyre dyktige, har store ressurser og er tålmodige og utholdende. Selv om det også skjer, er målet ikke raske penger. De tværer gjerne ut angrepet over tid og holder seg skjult. De venter og samler inn digitale aktiva, som legitimasjon, personlig informasjon og kredittkortnumre. Så slår de til med å stjele og slette data, infisere lagringsområder med løsepengevirus og sette i verk pengeoverføringer.
Nasjonalstater driver hacking ved å plante avanserte persistente trusler (APT), vedvarende bakdører som ikke oppdages. Hackerne har nær sagt ubegrensede ressurser, er velutdannede og ekstremt dyktige. De bryter seg inn i offentlige og kommersielle systemer, stjeler sensitiv informasjon og driver med sabotasje, spionasje og cyberkrigføring. De legger ut frø og venter for så å samle opplysninger og eksfiltrere data. De ønsker ikke å bli oppdaget og bruker mye tid på å dekke alle spor.
Innsidere kan være styrt av en rekke motiver: hevn, misnøye, være på vei ut, økonomisk vinning. Mulig de blir utsatt for utpressing. I USA anslås det at innsidere er involvert i over 70 prosent av tilfellene i forbindelse med tyveri av intellektuell eiendom. De har kjennskap til datasystemene og vet hvor de finner nødvendig informasjonen. Datalekkasjen kan imidlertid også være utilsiktet.
Konkurrenter kan være ute etter å få konkurransefortrinn ved å stjele bedriftshemmeligheter eller skade andre virksomheter. Ferdighetsnivået og finansiering varierer.
Sosial manipulasjon
Sosial manipulasjon er digital sosiopati satt i system for å lure og skade ofrene. Mest utbredt er generell phishing via e-post og SMS: Bankkontoen din er sperret; du må overføre penger til Posten; du har en arv i vente osv. Klikk her. Skurkene vil ha tak i personopplysninger, påloggingsinformasjon og få deg til å laste ned skadevare. Denne type svindel avverger du lett med brukeropplæring. Verre er det med målrettede svindelforsøk. Spydfiske foretar direkte angrep mot utvalgte personer i virksomheten med tilgang til følsomme data eller myndighet til å overføre større pengesummer.
Skurkene har samlet inn informasjon på forhånd, for eksempel om ansatte, samarbeidspartnere og kundeforhold. Ved å referere til interne opplysninger bygges det opp tillit. Språkføringen i svindel-e-posten er god og tilpasset målgruppen. Avsenderen ser legitim ut, men er falsk. Klonefisking fanger opp avsendte meldinger og sender dem på nytt til samme mottaker, men nå med skadelige koblinger eller vedlegg. Hvalfangst går etter de «store fiskene», som daglig leder og økonomisjefen.
Andre metoder for sosial manipulering er å legge ut lokkemat i form av materielle og immaterielle goder. Populært er infiserte minnepinner med firmaets logo som plasseres på strategiske steder. Oppdiktede scenarioer av påståtte medlemmer av ledelsen får ofre til å avsløre konfidensiell informasjon.
Skuldersurfing fremskaffer opplysninger ved å se over skulderen til brukere under pålogging eller arbeidet med følsomme data. Svindlere følger i halen på ansatte for å få fysisk tilgang til områder de ikke har adgang til. Søppeldykking graver i selskapets papirkurver og containere etter papirstrimler, gule lapper, notatblokker og avlagte gjenstander.
Virus og annen skadevare
Store angrep med tradisjonelle datavirus har avtatt i styrke. I stedet ser vi voldsomme utbrudd med løsepengevirus som blusser opp og forsvinner lenge før virussignaturer er sekvensert. Filløse virus som ikke etterlater seg noe avtrykk, er blitt mer utbredt. Trojanere som laster ned skadevare og legger til bakdører, er stadig oftere skreddersydd for formålet. Dette gjør et signaturbasert forsvar mindre effektivt. Det som må til, er endepunktsdeteksjon og respons (EDR) som overvåker alt som foregår på en enhet og slår ned på ondsinnete aktiviteter. Det hindrer imidlertid ikke at vi fortsatt trenger vanlig virus- og trusselbeskyttelse mot alt som kryper rundt det ute i form av ormer, logiske bomber, uønsket programvare, spionvare og tastaturloggere. En EDR-løsning i verdensklasse følger nå med Microsoft 365 Business Premium.
Identitetsangrep
Hovedtyngden av angrep i dag er rettet mot identiteter. Passordbeskyttelsen i Azure Active Directory (AD) hindrer svake passord og lar deg sette opp en utestengelsespolicy, som etter tre mislykkede påloggingsforsøk. Men kombinasjonen av brukernavn og passord er ikke nok for å sikre brukere. Du må konfigurere multifaktor-autentiseringer (MFA). Identitet uten MFA er som å plugge dine viktigste servere til Internett uten brannmur. I eksemplet ovenfor har hackere klart å knekke legitimasjonen med passordsprøyting eller et angrep med rå kraft. Her kunne man i ren åndssløvhet ha godkjent MFA-forespørselen. Et dobbelt sikkerhetsnett sørger for bare å godkjenne pålogginger fra klarerte enheter, dvs. datamaskiner og mobilenheter som er registrert i Intune, og som oppfyller kravene til samsvar.
Applikasjonsangrep
Applikasjonsangrep utnytter sårbarheter i programmer, særlig applikasjoner som er eksponert mot Internett. Angrepene dreier seg on eskalering av privilegier, skripting og forfalskning av forespørsler på tvers av nettsteder pluss ulike typer injeksjonsangrep. En påloggingsside fungerer som regel som portal for SQL-baserte databaser. Hackere oppdager med jevne mellomrom at de kan taste inn kode her og på den måten rive ned serveren, hente ut konfidensielle opplysninger og få økte rettigheter.
Brukere kommuniserer i stadig økende grad med APIer. Disse er langt mer utsatt for angrep, for de inkluderer hele transaksjonen, inkludert eventuelle sikkerhetssjekker, og går vanligvis direkte mot en back-end-tjeneste. Analyseselskapet Gartner fastslår at API-angrep er en av de største utfordringene i 2022. Det fins en rekke anbefalinger om beste praksis for å gardere seg, som sikker programmering og få tredjeparter til å analysere koden og stressteste applikasjonene før de settes i produksjon.
Nettverksangrep
Forskere ved University of Maryland plasserte sårbare datamaskiner på Internett for å se hvor ofte de ville bli angrepet, og observerte ett angrep hvert 39. sekund. Nettverksperimetre er aldeles ikke avleggs. Her benyttes neste generasjons tilstandsbevarende brannmurer som foretar atferdsanalyser og beskytter på applikasjonslaget, systemer for å oppdage og avverge innbrudd samt overvåking av sikkhetshendelser med automatisering. Men vi kan ikke lenger anta alt på lokalnettet er klarert. Angrepene kommer i dag i mye høyere grad innenfra som følge av kompromitterte kontoer og plantede trojanere med bakdører. Og vi må ikke glemme rene innsidetrusler.
En annen type nettverksangrep utfolder seg utenfor kontorets fire vegger. Her har vi falske aksesspunkter for trådløs tilgang, omtalt som «ond tvilling», som fremstår som legitime. Det kombineres gjerne med jamming og interferensteknikker. Du finner dem på cafeer og andre offentlige steder. De vil be deg om legitimasjonen din og laste ned ondartet programvare i bakgrunnen. Populært med ansatte på hjemmekontor er å bryte seg inn i rutere der standard brukernavn og passord ikke er endret. Så omdirigeres DNS-oppslag til ondsinnete servere. Og dette var bare en antydning av hva som foregår der ute på nettet.
Cyberdrapskjeden
Forskere ved Lockheed Martin utviklet cyberangrepskjeden i 2011 og er med modifikasjoner fortsatt gyldig i dag. Den beskriver en modell som de fleste – om ikke alle – angrep er formet etter. Den består av sju trinn:
- Rekognosering representerer planleggingsfasen og identifiserer angrepsmålet. Angriperne prøver å finne svake punkter i forsvaret, som sårbarheter eller manglende fysisk sikkerhet. De innhenter e-postadresser, skaffer en oversikt over ansatte på sosiale medier, samler pressemeldinger og deltakerlister på konferanser, oppdager servere som vender mot Internett. For forsvaret er det svært vanskelig å avdekke rekognosering idet den pågår. Men om det skjer, kan det avsløre angripernes hensikter.
- Bevæpning betegner forberedelses- og iscenesettelsesfasen. Våpen smis og tilpasses på bakgrunn av innsamlet informasjon, så som generisk eller skreddersydd skadevare som sørger for fjerntilgang. Forsvaret får ikke øye på denne prosessen. Analyser av skadevaren i etterkant vil bidra til en mer varig og motstandsdyktig beredskap.
- Leveranse setter i gang operasjonen. Motparten overfører skadelig programvare til målet. Angrepet har startet. Det kan være rettet mot webservere og omfatte phishing-e-post, ondsinnet programkode på USB-brikker og kompromitterte nettsteder. Dette er første og viktigste mulighet for forsvaret til å blokkere operasjonen: Analyser leveringsmedium, forstå oppstrøms infrastruktur, utsatte servere og personer, deres roller og ansvar. Samle e-post- og nettlogger. Rekonstruer intensjonen.
- Utnyttelse sørger for å få tilgang til offeret. Det skjer ved å utnytte en sårbarhet. Uttrykket nulldagstrussel refererer til koden som blir brukt på akkurat dette trinnet. Verktøyet som ble levert i forrige fase, kjøres og starter neste hendelseskjede. Tradisjonelle tiltak for å herde sikkerheten bidrar til beskyttelsen. Men det er også nødvendig med mekanismer som klarer å håndtere ukjent programkode.
- Installasjon etablerer et brohode på offeret ved å opprette en bakdør, så angriperne får et mer vedvarende (persistent) fotfeste i miljøet. Det legges til tjenester, AutoRun-nøkler med mer. Forsvaret må oppdage og logge installasjonsaktivitet. Du må forstå om skadevaren krever administratorprivilegier eller klarer seg med bare brukerrettigheter. Du må oppdage aktiviteter som at det opprettes filer utenom det vanlige.
- Kommando og kontroll (C2) fjernkontrollerer implantatene. Ved hjelp av de tidligere leverte verktøyene eller bakdøren kan angripere eksternt samhandle med offerets miljø. Angriperne har nå «hendene på tastaturet» med varig tilgang til målnettverket. Forsvarets siste beste sjanse for å slå ned operasjonen er å stenge C2-kanalen. Foreta en grundig analyse for å oppdage C2-infrastrukturen. Herd nettverket og konsolider antall Internett-punkter.
- Handlinger på angrepsmålet fullfører misjonen. Angriperne følger nå sine egne planer. Dette kan være å eksfiltrere data, kryptere dokumenter og be om løsepenger. De kan samle brukerlegitimasjon og elevere eller eskalere privilegier, foreta intern rekognosering og bevege seg lateralt gjennom miljøet og ødelegge systemer. Forsvaret trenger verktøy som klarer å oppdage og avverge innbruddet.
I prinsippet kan vi slå ned angrepet på hvert av de sju trinnene, selv om det kan være vanskelig å få øye på de to første fasene, som er rekognosering og bevæpning.
MITRE ATT&CK
MITRE er en ikke-kommersiell spin-off fra Massachusetts Institute of Technology (MIT). ATT&CK står for Adversarial Tactics, Techniques & Common Knowledge – motstandstaktikk, -teknikker og felles kunnskap. I likhet med cyberdrapskjeden er utgangspunktet for ATT&CK-rammeverket «en beretning om et angrep». Her er det riktignok ikke en klart definert lineær sekvens av faser, men en matrise av innbruddsteknikker som i detalj beskriver hvordan angripere bryter seg inn i en virksomhet, holder seg skjult, utnytter sårbarheter og stjeler data.
MITRE har også utviklet verktøy for deling og kontinuerlig oppdatering av trusselintelligens i skyen. Man kan abonnere på feeder via STIX/TAXII. STIX står for Structured Threat Information eXpression, et standardisert språk for å beskrive informasjon om cybertrusler. Overføringsprotokollen TAXII er en forkortelse for
Trusted Automated eXchange of Indicator Information. Både MITREs database og trusselinformasjon er innlemmet i Microsoft Sentinel, som er selskapets SIEM- og SOAR-løsning. Det gjør det lettere å vurdere hva du må gjøre ved et mulig angrep.
MITRE ATT&CK-taktikker er også innpasset i Microsoft 365 Defender, som er et slags SIEM for rene skymiljøer. Opprinnelig var det ti aktive varsler; to av dem ble automatisk utbedret av Automatisert etterforskning og utbedring – sikkerhetsekspertise basert på kunstig intelligens som jobber 24/7, noe som reduserer varslingsvolumet og lar deg sette søkelys på mer sofistikerte trusler.
Avsluttende ord
Forsvar mot cyberangrep er i dag langt mer enn å sette opp en antivirusløsning, som uansett ikke gir nok beskyttelse. Skurkene har for lengst lært seg å bryte gjennom et signaturbasert forsvar. Her må mer til: lag på lag i et effektivt dybdeforsvar – atferdsanalyse kombinert med trusselintelligens, oppdagelse av avvik ved hjelp av maskinlæring, overvåking med automatisering. Vi har å gjøre med en sleip, slesk, utkrøpen forslagen gjeng som vil utnytte hvert smutthull for å bryte seg inn. Det gjelder i like høy grad små og mellomstore bedrifter (SMB) som store konserner. SMB har som regel dårligere med sikkerhetskontroller og gjør det enklere for skurkene. SMB behøver imidlertid ikke å være det egentlige målet engang; de representerer det svakeste leddet i en leverandørkjede.
Ved et angrep er du ukjent med at noe ukjent er kommet inn. Så blir du kjent med at du har å gjøre med noe ukjent; du kan ikke plassere det uten en kontekst. Målet er å bli kjent med noe kjent. Da kan du slå ned på det eller begrense skadeomfanget. Dette krever en god del øvelse og erfaring og har ført til en skrikende etterspørsel etter sikkerhetseksperter. Men det du kan gjøre, er å forebygge. Kontroller at ingen av systemene dine oppviser offentlig kjente sårbarheter. Sørg for å redusere angrepsflaten på alle enheter. Sett opp multifaktor-autentisering (MFA) eller passordløs pålogging for samtlige brukere. Gi grundig sikkerhetsopplæring for å unngå å bli utsatt for sosial manipulasjon. Gjør ansatte oppmerksom på at de må være forsiktig med trådløse tilkoblinger og stoppe opp om noe merkelig foregår på nettverket.
Sikkerhetsprodukter koster penger, sikkerhetsbrudd som regel betydelig mer. Et minimum – samtidig også et godt utgangspunkt – er Microsoft 365 Business Premium. Det sikrer samarbeidsplattformen mot skadelige koblinger og farlige vedlegg, kommer med endepunktsbeskyttelse i verdensklasse og lar deg klassifisere, merke og krypterte dokumenter og e-post. Med funksjonen Hindre datatap kan du beskytte deg mot tilsiktet og utilsiktet datalekkasje. I hybride miljøer er det et must å plusse på med Defender for Identity, som oppdager kompromitterte kontoer i Windows AD og fasene i en cyberdrapskjede. Her kan det også være et poeng å legge til Microsoft Sentinel, som lar deg overvåke og automatisere sikkerhetshendelser i hele miljøet – servere, applikasjoner og nettverksenheter, både lokalt og i skyen.
Med tanke på hjemmekontor bør man oppgradere til Azure AD Premium 2 for å få med Identity Protection, som beskytter sårbare kontoer og risikable pålogginger. Business Premium kommer med bare Cloud App Discovery, som lar deg oppdage skygge-IT, men ikke gir full kontroll over skytilgang som med den fulle versjonen, Defender for Cloud Apps. Dette er faktisk sånn vi har det i vår lille familie-tenant. Neste skritt blir antakelig enten Microsoft 365 med E5 Security eller Microsoft 365 E5 – begge versjoner finansiert av penger man sparer på reiseutgifter og bespisning i kantinen. Snakk med din IT-partner for ytterligere råd og veiledning.
