Løsepengeangrep (del 2) - Teste og Øve

La oss tenke oss at virksomheten har innført et godt styringssystem for informasjonssikkerhet, etablert en beredskapsplan, og er klare for å gjennomføre ytterligere aktiviteter. Verdiene virksomheten vil beskytte er identifisert og det gjelder nå å undersøke om man faktisk klarer å beskytte disse under et løsepengeangrep. I denne artikkelen vil vi gå nærmere inn på hvordan man kan gjøre dette for å styrke en virksomhets forsvar mot løsepengeangrep og andre trusler.

Del 2 av 3 i vår serie om løsepengeangrep.
Del 1 leser du her.
Artikkelforfattere er Elin Tøndel, Guro Hotvedt, Lasse Eriksen

Å teste og øve er en viktig del av planlegge- og forberedelsesfasen i ISO 27035. Man har nå planer for hva man skal gjøre dersom man blir rammet av et løsepengeangrep, og det gjelder å teste prosessene som er satt i beredskapsplanen gjennom beredskapsøvelser.

I denne artikkelen dykker vi dypere ned i ulike måter å teste og øve på et løsepengeangrep, fra enkle tabletop øvelser som krever lite ressurser, til større praktiske øvelser eller red team øvelser som er mer ressurskrevende, men til gjengjeld mer realistiske. I tillegg kan virksomheten utføre penetrasjonstester og / eller sårbarhetsskanninger for å avdekke sårbarheter som kan bli benyttet under et løsepengeangrep. Videre vil vi også se på hvordan man oppdager sårbarheter som kan benyttes til å utføre et slikt angrep.

Beredskapsøvelser

En beredskapsplan er kort fortalt en «oppskrift» virksomheten skal følge når noe går galt. Denne oppskriften kan se fin og flott ut på papiret, men dersom den ikke er prøvd ut i aksjon vet man ikke hvordan resultatet blir.

En beredskapsøvelse er med på å bevisstgjøre ledelsen og beredskapsgruppen hvordan de skal reagere i en hendelse og følge planene som er lagt. Det er derfor viktig å planlegge for gjennomføring av beredskapsøvelser for å teste virksomhetens evne til å respondere og håndtere hendelser.

Ved å teste ut beredskapsplanen kan virksomheten gjøre nødvendige endringer for å tilpasse planen til virksomheten, og med det raskere kunne håndtere en hendelse mer kontrollert og effektivt. Beredskapsøvelser tar utgangspunkt i realistiske og relevante scenarioer og kan utføres som en skrivebordsøvelse (tabletop exercice), hvor aktuelle ressurser diskuterer seg gjennom scenarioet, eller som en mer praktisk orientert øvelse hvor man håndterer scenarioet i en mer realistisk kontekst.

En praktisk orientert øvelse er ofte mer ressurskrevende enn en skrivebordsøvelse da det ofte krever mer planlegging og ressurser i gjennomføringen, men som til gjengjeld gir mer erfaring da aktivitetene gjennomføres i praksis. Beredskapsøvelser bør gjennomføres regelmessig, spesielt dersom det gjøres størres endringer i planen eller at trusselbildet endrer seg. Man ønsker ikke å teste ut planen for første gang under en reell hendelse. Test sikkerhetskopi og gjenoppretting En viktig del av en beredskapsplan er å komme tilbake til normal drift så raskt som mulig, og for å kunne gjøre det må virksomheten ha en sikkerhetskopi de kan stole på og gjenopprette fra. Det er derfor viktig at sikkerhetskopien(e) blir sjekket og testet med jevne mellomrom. Selv om virksomheten har gode rutiner for sikkerhetskopiering, kan det oppstå problemer som gjør at disse ikke fungerer som de skal, og uten en god sikkerhetskopi å gjenopprette fra kan virksomheten stå ovenfor større utfordringer og tap enn nødvendig. Men hva og hvordan skal man sikkerhetskopiere? Akkurat det er opp til virksomheten å avgjøre, men her kan virksomhetens verdioversikt være en god sjekkliste for hva som skal sikkerhetskopieres.

Det er vanskelig å si nøyaktig hva som skal sikkerhetskopieres, men virksomheten bør prioritere det som ikke enkelt kan reddes ved et tap, for eksempel data for produksjonssystemer, e-post, kundedata og lignende og data for både servere, stasjonære- og bærbare PCer. Hvor ofte og hvordan en sikkerhetskopi bør tas kommer helt an på virksomhetens behov. I henhold til beste praksis bør en virksomhet gjøre en full sikkerhetskopi ukentlig, med en inkrementell sikkerhetskopi (som tar kun de nyeste dataene) daglig. Det enkleste er å automatisere sikkerhetskopieringen, men noen ganger kan det være fornuftig å gjøre en manuell sikkerhetskopi.

Om sikkerhetskopien ligger på en eller flere eksterne servere eller på en ekstern harddisk, så bør sikkerhetskopien være lett tilgjengelig for de som skal bruke den. Det bør i tillegg begrenses hvem som har tilgang til sikkerhetskopiene for å unngå unødvendig tap av data.

Sårbarhetshåndtering

Løsepengeangrep blir stadig mer sofistikerte og målrettet mot nye (og publiserte) sårbarheter i internetteksponerte tjenester. Virksomheter har ofte komplekse systemer og det kan være vanskelig å holde oversikt over nye sårbarheter som kan finnes i deres systemer. Det er derimot svært viktig å ha slik oversikt for å unngå at sårbarhetene blir utnyttet til eksempelvis løsepengeangrep, og god sårbarhetshåndtering hjelper virksomheten med å identifisere sårbarheter og prioritere håndteringen av disse. Da penetrasjonstester ikke kan gjennomføres like hurtig som nye sårbarheter blir avdekket og publisert, anbefaler vi at virksomheter etablerer gode rutiner for å avdekke og håndtere sårbarheter («vulnerability management»). Tjenester for sårbarhetsskanning kan benyttes for å undersøke om nye, publiserte sårbarheter i kjente systemer, biblioteker, programmer eller servere er til stede i virksomhetens systemer.

I tillegg vil skanningen sette en alvorlighetsgrad på funnene som gjør det lettere for virksomheten å prioritere. Ved å få beskjed om nye avdekkede sårbarheter kan virksomheten gjøre tiltak som å oppdatere systemet det gjelder, eller andre tiltak som gjør det vanskeligere å utnytte denne sårbarheten.

Penetrasjonstest

Penetrasjonstester (inntrengingstester) er kontrollerte dataangrep der testerne benytter seg av teknikker likt det ondsinnede aktører ville brukt. Testene blir gjennomført for å identifisere sårbarheter og inngangsportaler der en angriper kan få tilgang til systemer og informasjon som skal være beskyttet mot uvedkommende. Penetrasjonstester kan gjennomføres mot det virksomheten ønsker, eksempelvis applikasjoner, nettverk, Internet of Things (IoT)-enheter eller internetteksponerte tjenester.

Ved å gjennomføre slike tester jevnlig vil virksomheten få dypere innsikt i systemets sårbarheter, og et reelt bilde av angrepsflaten (alle mulige måter en angriper kan komme inn i en enhet eller et nettverk på for å få tilgang til data) og den risikoen systemet står ovenfor. Slike tester vil være hensiktsmessige å gjennomføre med tanke på løsepengeangrep, for å identifisere og ha mulighet til å mitigere inngangporter og sårbarheter en angriper kan utnytte for å levere skadelig kode. Inngangsportene som angripere ofte benytter for løsepengeangrep er phishing e-post som inneholder skadevare, drive-by nedlastning (nedlastning og installasjon av skadevare som oppstår uten at brukeren er klar over det), eller andre sårbarheter knyttet til tjenester som er eksponert mot internett.

I en penetrasjonstest vil kun inngangsporter relatert til sårbarheter i internetteksponerte tjenester, samt drive-by nedlastning fra egne systemer og nettverk, være relevante inngangsporter å avdekke. Bruk av phishing e-poster retter seg mot sikkerhetsbevisstheten hos virksomhetens ansatte og vil ikke bli testet i en ren penetrasjonstest, men kan benyttes som en inngangsport i for eksempel en red team test for løsepengeangrep.

Hvis man ønsker å se på hvilke sårbarheter virksomheten innehar i sine internetteksponerte tjenester, anbefaler vi å gjøre penetrasjonstester av virksomhetens applikasjoner og eksterne nettverk. Finner man sårbarheter her som gjør det mulig å komme seg på innsiden av virksomheten, i deres interne nettverk, åpner det for distribusjon av et løsepengeangrep.

Ved å oppdage slike sårbarheter i en penetrasjonstest kan virksomheten iverksette tiltak for å utbedre sårbarhetene på et tidlig stadium og dermed redusere mulige inngangsporter som kan benyttes til et løsepengeangrep.

Vi anbefaler også å utføre en penetrasjonstest på innsiden av det interne nettverket til virksomheten. I et tenkt scenario med en angriper på innsiden, vil virksomheten få innsikt i hva en angriper kan få kontroll over hvis angriperen først har fått fotfeste i det interne nettverket. Selv om man har få sårbarheter i de internetteksponerte systemene kreves det kun at en ansatt blir lurt av en phishing e-post før angripere kan komme seg inn i virksomhetens systemer og dermed distribuere skadevare. Det er derfor viktig å ha sikkerhet i flere lag, for å kunne motstå distribuering av skadevare knyttet til løsepengeangrep selv om angriperen alt er inne i virksomhetens systemer.

Godt sikkerhetsdesign, god nettverkssegregering og korrekte sikkerhetskonfigurasjoner vil bidra til å forebygge løsepengeangrep der angriperen alt er inne i det interne nettverket. Vi vil her også påpeke at to tekniske tiltak som ble introdusert i første del av artikkelserien; å fjerne lokale administratorrettigheter på maskiner og å installere applocker (eller tilsvarende programvare) kan være med på å forhindre / redusere sjansene for løsepengeangrep. Tiltakene kan sørge for at programvaren / skadevaren fra phishing e-posten eller drive-by nedlastningen, ikke kan installeres på maskinen. I tillegg vil de kunne forhindre at programvaren kan kjøres hvis den likevel skulle bli installert.

Vi vil derfor anbefale å ha disse tiltakene på plass før man gjennomfører en penetrasjonstest slik at man får best mulig verdi for testen ved å allerede ha de mer grunnleggende tiltakene på plass.

Red team øvelser

For en mer helhetlig gjennomgang av systemer og prosesser og deres motstandsdyktighet mot et løsepengeangrep, vil en red team øvelse (simulering av angrep, utført av en tredjepart ) være verdifull. Øvelsene simulerer autentiske angrep over en lengre tidsperiode, og kun et fåtall i den øvende virksomheten vet om øvelsen. Virksomheten kan da teste hvor langt inn i et nettverk en angriper kan komme uten å bli oppdaget, for så å redegjøre for hvor stor skade angriperen eventuelt kunne gjort.

En øvelse konsentrert rundt et løsepengeangrep kan være gunstig å gjennomføre for å få svar på spørsmål som:

  • Hvor enkelt kommer en angriper seg inn i virksomhetens systemer?
  • Er phishing e-post en effektiv inngangsvektor? Rapporterte noen av de ansatte på mistenkelige e-poster?
  • Får angriperen tilgang til sensitiv informasjon som kan brukes til utpressing?
  • Klarer angriperen å skaffe seg høye nok rettigheter på sentrale filservere og dermed være i posisjon til å distribuere et løsepengeangrep?
  • Klarer virksomheten å oppdage angrepet?

Med andre ord vil en red team øvelse knyttet til løsepengeangrep bidra til å avdekke både om virksomheten er godt nok sikret mot et løsepengeangrep og om den har rutiner og prosesser for å oppdage og håndtere et slikt angrep.

Oppsummering

Med gode prosesser for sikkerhetsstyring, jevnlige aktiviteter som tester for tilstedeværende sårbarheter, og jevnlige øvelser som tester beredskapsplanen og virksomhetens motstandsdyktighet, vil virksomheten din være mye bedre rustet mot et løsepengeangrep.

Tiltakene vi presenter i denne artikkelserien reduserer risikoen for utnyttelse av sårbarheter knyttet til løsepengeangrep betydelig, men godt arbeid rundt forebygging, opplæring av ansatte, og annet preventivt vedlikehold ikke alltid er nok. Noen ganger kommer angriperne seg i posisjon til å distribuere et løsepengeangrep eller andre former for angrep uansett.

Gode prosesser for å oppdage og respondere på slike angrep er derfor essensielle, og dette vil være tema for siste artikkel i serien