Hvad er det værste, der kan ske?

Steven Müller

Steven Müller

It Security Consultant

Helmikuu 7, 2019 at 16:10

Vi ved allesammen, at adfærd og overblik er alfa omega indenfor it-sikkerhed, men hvordan skaffer man sig det, og kan vi som mennesker forudse alle hændelser? I dette blogindlæg har jeg beskrevet nogle af de scenarier, der er mulige, og jeg vil gerne bede dig om at tænke over om, du ville opdage det og ikke mindst vide, hvordan du skulle reagere i hver situation:
 

  •     ”Han” får fat i et brugernavn og password"

Vi kan i vores system identificere, når et kontonavn er med i leak database, f.eks. ”Have I Been Pwned”. Hvis vi ser et leak på en brugerkonto, og password ikke har været ændret siden dataen fra leaket blev tilgængeligt, så vil vi rapportere det til kunden og anbefale, at der bliver foretaget et password reset.
 

  •     ”Han” logger på fra Danmark og bagefter Kina:

    Hvis en bruger pludselig logger på et netværk i Kina, 4 minutter efter at han har logget på et kendt netværk i Danmark, vil systemet i dette tilfælde forholde sig til IP-adressen og se om den er forbundet med nogen ondsindet aktivitet. Vores system forholder sig også til, hvor brugeren sidder fysisk, om der har været fejlet forsøg på login og lign. Vi vil derefter sende en anbefaling til kunden om, at de kontakter brugeren for at få opklaret om vedkommende er i Kina. Hvis kunden ikke kan få fat i brugeren, anbefaler vi password reset eller multifaktor genkendelse forceret.
 

  •     ”Han” bevæger sig rundt på kundens netværk:

    Hvis en bruger forsøger at logge på systemer, som vedkommende normalt ikke logger på og brugeren ikke er service desk eller support-admin, så vil vores system reagere og rapportere.
    Hvis en bruger logger på flere end 3 systemer på en gang. Vil vi se på om den adfærd er normal:  - Logger brugeren normalt på de her systemer, det kunne f.eks. en HR-medarbejder, der forsøger at tilgå produktionsnetværket? Benytter HR-medarbejderen et admin. brugernavn?
    Vores system vil også detektere, hvis en ondsindet bruger forsøger at identificere andre systemer for at opnå yderligere adgang ved for eksempel at scanne en honeypot server.  
 

  •     ”Han” installerer en applikation:

    Hvis det lykkedes en bruger at installere en ondsindet applikation, så vil vores system alarmere. Her kigger vi applikationsadfærd; forsøger vedkommende at logge på mange systemer eller laver brugeren netværksforbindelser ud mod kendte ondsindede destinationer? Vi vil med andre ord observere en applikation, hvis antivirussen ikke fanger den, men hvis den er detekteret på virustotal eller reversinglabs. Hvis den ikke allerede er detekteret og er helt ny og ukendt, så holder vi også øje med research-rapporterne om avancerede angreb.
 

  •    ”Han” går ind på jeres fælles drev

    Som udgangspunkt så bør et fælles drev være bygget op på rettigheder og need to access. Hvis man skal detektere en hændelse, så kan man lægge en honey file på sit drev og ellers så kan man styre det via politiker, f.eks. denne brugergruppe er de eneste, der må...
    Hvis der er lagt en honey file ud, så vil vores system rapportere hændelsen, og så vil vi anbefale kunden at de-aktivere brugeren, mens hændelsen undersøges.
   

  • ”Han” trækker data ud

    Vores system vil også opdage, hvis en brugerkonto, eller system, begynder at have firewall trafik mod eller fra kendte ondsindede ip-adresser eller domæner. Vi vil så tage en vurdering af, om adfærden er normal, og om vi skal alarmere kunden og komme med en relevant anbefaling.


Værdien af en Incident Detection & Response løsning
For en moderne virksomhed er velfungerende it lige så vigtig som rent drikkevand for en kommunes borgere. Cyber-kriminaliteten er stigende og har været det længe. Derfor er it-sikkerhed en absolut nødvendighed, der skal prioriteres. Det kan naturligvis gøres på mange måder, men faktum er, at hvis I som organisation skal have overblik over alle hændelser, så kræver det, at der afsættes ressourcer – mange ressourcer.

Derfor vil jeg anbefale, at I tager et kig på en Managed Detection & Response løsning, uanset hvem der leverer den. Den handler nemlig om, at I kan frigøre ressourcer til andre projekter, og at I kan sove roligt om natten.