Cyberangrep har for lengst antatt pandemiske dimensjoner, som under andre vurderinger av forholdsmessighet kunne kvalifisert til full lockdown. Script-kiddies leker seg med farlige hackerverktøy som små barn med en fjernkontroll. Motivasjonen? «Se på meg nå, pappa!» Hacktivister slåss for en sak. Trusler fra innsiden – tilsiktet eller utilsiktet – påfører virksomheter ødeleggende skader. Konkurrenter anvender ikke helt stuerene midler for å kapre markedsandeler. Organisert kriminalitet falbyr skadevare, phishing og løsepengevirus som tjeneste på det mørke nettet. Mens APT-grupper med lite oppløftende navn som Dragonfly og Dust Storm foretar spionasje og retter dødbringende støt mot myndigheter, livsviktig infrastruktur og store konserner.
Trusselintelligens og angrepsteknikker
Martin Lockheeds cyberdrapskjede beskriver sju trinn i et typisk angrep. Det innledes med rekognosering (planlegging), bevæpning (forberedelse) og leveranse (sette i gang operasjonen). De neste to stegene er utnyttelse (tilgang til offeret) og installasjon (vedvarende brohode). Angrepet styres av kommando & kontroll-servere (fjernkontroll), og det utføres handlinger på angrepsmålet (fullført misjon).
Drapskjeden er inspirert av en fasebasert modell som kjennetegner aktivitetene en fiende kan utføre i en militær operasjon: F2T2EA, eller Find, Fix, Track, Target, Engage og Assess – Finn, fiks, oppspor, utpek målet, engasjer og vurder. Martin Lockheeds ansats bør utvides med MITRE ATT&CK, som står for Adversarial Tactics, Techniques & Common Knowledge – motstandstaktikker, -teknikker og felles kunnskap.
Rammeverket er også «en beretning om et angrep». Her er det riktignok ikke en klart definert lineær sekvens av faser, men en matrise av innbruddsteknikker som i detalj beskriver hvordan angripere bryter seg inn i en virksomhet, holder seg skjult, utnytter sårbarheter og eksfiltrerer data. Oversikten er organisert i punkter som rekognosering, utvikling av ressurser, innledende tilgang, persistens, utføring, eskalering av privilegier, forsvarsunndragelse, oppdagelse og sidelengs bevegelse.
Hver enkelt kategori inneholder underpunkter. Her følger forslag til hvordan man garderer seg mot og bekjemper angriperne. MITRE har også utviklet verktøy for deling og kontinuerlig oppdatering av trusselintelligens i skyen. Både MITREs database og trusselinformasjon er innlemmet i Microsoft Sentinel, som er selskapets SIEM- og SOAR-løsning. Det gjør det lettere å vurdere hva du må gjøre ved et mulig angrep.
Denne type intelligens, som egentlig burde oversettes med etterretning, er avgjørende i kampen mot trusselaktører, da særlig mot avanserte persistente (vedvarende) trusler, som omtales som APTer. MITRE, som er en ikke-kommersiell spin-off fra Massachusetts Institute of Technology (MIT), gir også en fortegnelse over kjente APT-grupper – ofte statssponsede, velorganiserte hacker-grupperinger.
Avanserte vedvarende trusler (APTer) – uavhengig av tilknytning – er preget av ressurser, konsistens og en militærlignende effektivitet under deres handlinger for å kompromittere systemer, stjele data og dekke sporene deres. De er en form for snikende og kontinuerlige datahakkingstiltak, gjerne godt strukturert og organisert. Angrepsvektorer inkluderer ofte phishing-e-post, infiserte medier, sosial manipulasjon og innbrudd i forsyningskjeden.
Titan Rain
Ett av de første kjente eksemplene på avanserte vedvarende trusler er Titan Rain, en serie samkjørte angrep rettet mot de amerikanske forsvars-, energi og justisdepartementene, samt NASA rundt årtusenskiftet. Kjennetegnet var at aktørene lot til å være ute på oppdrag, og at de tok ekstraordinære skritt for å skjule deres eksistens. Det varte rundt tre år før de ble oppdaget.
Solorigate
Solorigate er betegnelsen på et forsyningskjede-angrep mot SolarWinds´ Orion-plattform i annen halvdel av 2020. Den benyttes til sentralisert overvåking og administrasjon av IT-miljøer. Kunder over helt verden, blant dem flere offentlige etater og Microsoft, ble rammet. Angriperne hadde klart å kompromittere et dynamisk lenkebibliotek (DLL) og signere det med et gyldig sertifikat. Sånn skapte de en bakdør som de kunne utnytte for å få uautorisert tilgang til ressurser.
Andre APT-angrep
Ikke alle er like komplekse og sofistikerte som Titan Rain og Solorigate. Men de viser hvor mye skade som kan påføres ofrene når det brukes mye tid og krefter på å planlegge og utføre et angrep. Avgjørende bevis på at de var statsstøttet er vanskelig å finne, men mye tyder på det. Det betyr at ressurser og penger spilte liten rolle. Sjansene for at en tilfeldig aktør eller APT-gruppe bruker like mye innsats og ressurser på et tilsvarende angrep er små, men det viser noe av fremgangsmåten.
Kjennetegn ved APT
APTer utgjør avanserte persistente (vedvarende) trusler. De er avanserte i den forstand at aktørene ofte er godt utstyrte og benytter teknikker som tyder på formell opplæring og betydelig finansiering. Angrepene har en høy grad av koordinering mellom tekniske og ikke-tekniske informasjonskilder. Truslene baserer seg gjerne på et fullt spekter av etterretning, fra digitale overvåkingsmetoder til tradisjonelle fremgangsmåter med søkelys på menneskelige mål.
De er vedvarende ved å skaffe seg et fast fotfeste. Aktørene tar seg god tid og legger vekt på å holde seg skjult. Det kan ta uker, måneder eller år før de trår til. Operatørene er fokusert på ett mål i stedet for å virre rundt, noe som skyldes at kampanjene ofte koordineres av fremmede nasjoners regjeringer og militære organisasjoner. Atferden innebærer strenge regler for engasjement og vekt på konsistens og utholdenhet fremfor noe.
Truslene er komplekse og viser evner og intensjoner. Som en militær operasjon tjener APT-kampanjer ofte som en forlengelse av en politisk vilje. Hensikten er å skaffe seg tilgang til og opprettholde vedvarende tilgang til målsystemer, samtidig sørge for å slette alle spor og forbli uoppdaget. APT skiller seg ut ved støtteinfrastrukturen bak angrepene, mål de velger, og deres taktikker, teknikker og prosedyrer (TTPer).
Fremgangsmåten ved et ATP-angrep
Angrepsmålet defineres. Så følger å finne og organisere medsammensvorne. Dernest blir det å bygge eller anskaffe egnede verktøy. Det drives solid research på målinfrastrukturen og ansatte der. Angriperne tester om det er fare for at de blir oppdaget.
Aktørene distribuerer sin programvare. Det markerer den innledende inntrenging. De oppretter en utgående tilkobling. Så utvider de tilgangen og får tak i brukerlegitimasjon. De styrker fotfeste, eksfiltrerer data og skjuler sine spor for ikke å bli oppdaget.
Hva gjør du vet et APT-angrep?
Sjansen for å bli utsatt for denne type angrep er mindre for små og mellomstore bedrifter, annet enn hvis de inngår i en leverandørkjede som tjener som springbrett. Det enkleste er å forebygge ved å herde systemer, redusere angrepsflaten og sette opp nødvendige sikkerhetskontroller. Brukere må trenes opp. Vedlegg og koblinger bør kontrolleres med Defender for Office 365. Endepunkter skal beskyttes med Defender for Endpoint/Business. MFA uten unntak er en selvfølge.
I hybride miljøer trenger du Defender for Identity, som avdekker avvikende brukeratferd. Du kan kontrollere utgående trafikk med Defender for Cloud Apps. I bunn og grunn tenger du å skjønne cyberangrepskjeden, og hva du kan gjøre for å beskytte deg i hver fase (de første to er det ikke lett å gjøre noe med). MITRE ATT&CK er også til god hjelp, så du ser hvordan angrep arter seg, og hva du kan foreta ta deg proaktivt.
Å oppdage APT er ikke lett. Det kan være vanskelig å identifisere og spore disse aktørene, ettersom mange av de involverte partene opererer med en solid infrastruktur i ryggen og bruker intrikate metoder for aktivt å skjule atferden. De anvender verktøysett som ikke er sett tidligere eller umulige å avsløre på tidspunktet for sikkerhetshendelsen, så som en nulldagsutnyttelse. Men disse angrepene eksisterer ikke i en boble. Andre virksomheter blir også utsatt.
Her kommer delingen av sikkerhetsdata og trusselintelligens inn. Den kan sørge for at virksomheter prioriterer i riktig rekkefølge og bøter på eventuelle skader. Den kan sette i gang forebyggende og beskyttende tiltak så raskt som mulig, uten at du må dedikere ressurser til å spore flommen av informasjon gjennom sikkerhetsverden. Den kan også kaste et enda bredere nett, som involverer samarbeid fra andre firmaer.
Neste spørsmål er: Hvordan kan du spore APTer? Du må grave deg gjennom logger i brannmurer, systemer for å oppdage og avverge inntrenging (IDS/IPS) og systemene dine. Ciscos NetFlow kan være til hjelp. En bedre metode er å benytte en SIEM/SOAR-løsning som aggregerer alle logger og samkjører dem, plusser på med trusselintelligens som beriker varslene med relevant informasjon og benytter kunstig intelligens med maskinlæring, samt automatisering.
Avsluttende ord
Den prøyssiske general Carl von Clausewitz var inne på noe vesentlig allerede 150 år tidligere: Vi trenger «all slags informasjon om fienden og hans land – kort sagt grunnlaget for våre egne planer og operasjoner». Denne etterretning, her sikkerhets- og trusselintelligens, er avgjørende for å bekjempe alle typer angrep, da særlig avanserte vedvarende trusler.
Illustrasjonen av et APT-angrep er fra Wikipedia.
