Adressering av ransomware trusselen er svaret på en enklere vei til god sikkerhet med positive ringvirkninger

Tematikk:

Å jobbe med sikkerhet kan gjøres på mange måter, og en av mange anbefalte er å jobbe trusselorientert. Å jobbe etter rammeverk er også en god anbefaling, men vil kreve mye mer av organisasjonen, og er for mange en ganske uoppnåelig oppgave uansett hvor god anbefalingen er. Tanken med denne siden er å hjelpe med fokus på den aller største trusselen, komme igang, gjøre lagvis sikkerhet så bra som mulig for denne, og dermed bygge en solid grunnmur som vil gi positive ringvirkninger mot enda flere trusler.

Den aller største digitale trusselen har lenge vært ransomware. Den rammer alle, store, små, offentlige, private, tilfeldig og målrettet.

Denne siden vil være gjenstand for konstruktive tilbakemeldinger som vil legges til for kontinuerlig forbedring for alles beste.

Bakgrunn

Her er en kort intro video som forklarer litt av målet med denne websiden:

 

Se på Enisa (European Union Agency for Cybersecurity) Threat Landscape rapportene:

 

https://www.enisa.europa.eu/topics/cyber-threats/threats-and-trends
https://www.enisa.europa.eu/topics/cyber-threats/threats-and-trends

Ransomware

Ransomware har utviklet seg fra å bare være kryptering og dermed utilgjengeliggjøring av systemer, til å bli mye mer alvorlig på mange måter. Summen av at dette er den største trusselen, og at den er meget alvorlig med tanke på potensielle konsekvenser ved en hendelse, betyr at man ikke kommer unna å måtte adressere den, og det gjelder alle.

“Man ser ikke skogen for trær”, er vel det mange føler i virvarret rundt trusselbilde og anbefalinger, som kommer i hopetall. Tanken med denne artikkelen er å forenkle, hjelpe med fokus, og dermed oppnå en markant forbedring i sikkerhet og redusert risiko.

Hvordan fungerer ransomware

Ransomware fungerer i 4 steg:

Sårbarheter som utnyttes

Inngående kommunikasjon

For tilgang til innsiden, gjerne mulig grunnet:

✅ Misbruk av sårbarhet (Zero Day og mangelfull patching)

✅ Phishing (AiTM)

✅ Manglende MFA

✅ Liberale tilganger

✅ Sosial manipulering – lettere enn man tror!

Intern kommunikasjon

For leting etter verdifull informasjon og tilgang for senere skadevare, gjerne mulig grunnet:

✅ Manglende segmentering

✅ Manglende MFA

✅ Misbruk av sårbarhet (Zero Day og mangelfull patching)

✅ Liberale tilgangskontroller

✅ Felles passord på flere tjenester

Utgående kommunikasjon

For datalekkasje og nedlasting av skadevare, gjerne mulig grunnet:

✅ Liberalt utgående regelsett (VG testen)

✅ Liberalt oppsett på servere og systemer

✅ Liberal dekrypteringspolicy – man dekrypterer ikke trafikk som ikke følger “vår” standard

Kryptering med nedetid

Gjerne mulig grunnet:

✅ Liberale rettigheter

✅ Misbruk av sårbarheter

✅ Tilgang til backup, manglende segmentering og liberale rettigheter, kanskje manglende MFA

✅ Mangler immutable backup (gjenoppretting)

Jeg tar veldig gjerne imot innspill til flere relevante sårbarheter som kan legges til disse punktene og dermed hjelpe alle med en enda bedre risikovurdering

Adressering av ransomware

Adressering av ransomware vil være noe av det smarteste man kan gjøre. Det er enklere enn rammeverk, det er trusselorientert, det er trend orientert, det er målrettet, og det gir positive ringvirkninger mot andre trusler.

Man må anta at uvedkommende er inne i systemene, og man må anta at man får ransomware. Er dette tankesettet på plass, vil løsningen være nærmere. Utfordringen i de fleste hendelsene er at mennesker ikke har antatt disse tingene, og derfor heller innført de nødvendige tiltakene.

Så la oss se på hva man bør gjøre for å adressere de 4 stegene:

Felles tiltak

✅ Kjenn fagsystemene dine – vit hva som er normal nettverkstrafikk, definer dette som en baseline og lås ned trafikkflyten basert på dette.

✅ Sikre god logging, helst med god overvåking (SOC), for å være best mulig rustet til å oppdage mistenkelig aktivitet

Inngående kommunikasjon

Utnyttelse av software-sårbarheter, inkludert nulldags-sårbarheter

✅ Kartlegg verdiene på utsiden

✅ Begrens den eksterne angrepsflaten. Least Privilege

✅ Sårbarhetsscanning fra internett, Allvis NOR og mer

✅ Patching

✅ Anta zero days og bygg lag med sikkerhet

✅ Implementere dynamiske sperrelister fra HelseCERT og alle andre

✅ Geo tilgangskontroll/blokkering

✅ Sikre god logging, helst med god overvåking (SOC)

Innlogging uten MFA

✅ Basert på kartlegging av verdier, sikre at MFA er aktivert for alt og alle

Phishing

✅ Anta at mennesker klikker og bygg phishing sikkerhet

✅ DNS og URL sikkerhet mot nye domener

✅ Se på phishing-resistant MFA som finnes i flere varianter

✅ Se på Always-On VPN for flere sikkerhetslag, alltid

✅ E-post sikkerhet

✅ Bevissthetstrening

✅ Sikre at din Single Sign-On mekaniske er satt opp etter beste praksis. De fleste bruker Microsoft Entra ID, og her finnes det mye relevant og god dokumentasjon

Intern kommunikasjon

✅ Sikre god logging, helst med god overvåking (SOC), for å være best mulig rustet til å oppdage mistenkelig aktivitet

✅ Kartlegg verdiene

✅ Segmenter nettverket, også i skyen

✅ Se på tilganger og rettigheter. Tenk Least Privilege

✅ Sikre at MFA er aktivert på interne tjenester. Først og fremst for administratorer, helst med FIDO2. IKKE kjør uten MFA «på kontoret»

✅ Sikre automatisk patching, gjerne i samspill med sårbarhetsscanning. Sårbarheter misbrukes, og effektiv patching er viktig

✅ Sikre god logging med overvåking av aktivitet i nettverk, i applikasjoner og systemer

✅ Anta at uvedkommende er i nettverket og bygg god evne til å oppdage

✅ Mitre Att&ck sikker endepunkt sikkerhet (100%)

Utgående kommunikasjon

✅ VG testen! Kill Chain steg #6, Command & Control (for de viktigste verdiene)

✅ Sikre god logging, helst med god overvåking (SOC), for å være best mulig rustet til å oppdage mistenkelig aktivitet

✅ Plan B (start gjerne med dette asap), tillat kun trafikk fra servere mot internett for disse URL kategoriene: business-and-economy, computer-and-internet-info og content-delivery-networks

✅ Hvitelist prosesser som kan kjøres på servere for å redusere risiko

Kryptering

✅ Sikre «immutable» backup! Anta Ransomware! Anta at leverandøren også får ransomware. Bør man ta backup av de dataene selv?

✅ Øv på hendelser

✅ Se på ansvarsfordeling

✅ Sikre at ringelister er på plass

✅ Øv på gjenoppretting

✅ Forbered på kommunikasjon med myndigheter og kunder

✅ Se på og vurdér avtale med noen som kan bistå med hendelseshåndtering når uhellet skulle være ute. Se her for liste over NSM godkjente leverandører.

Gi meg veldig gjerne input til gode tiltak per steg, så legger jeg det til

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet har også laget en egen side for hjelp mot denne trusselen:

https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/digital-utpressing/

Picture of Gøran Tømte

Gøran Tømte

Gøran har jobbet i bransjen siden 1996 og trives best med ukjente utfordringer. Er utdannet høgskole ingeniør innen telematikk, og kontinuerlig selvlært innen sikkerhet basert på gode kollegaer, bransjen og generell nysgjerrighet og interesse

KONTAKT

Andre artikler

Stay Connected

More Updates

Leverandørkontroller

Viktigheten av kontroller ved tjenesteutsetting/kjøp av tjenester “Alle” tjenesteutsetter/kjøper tjenester. Men hvordan verifiseres og risikovurderes dette? Som kunde har man alltid 100% ansvar for sikkerheten,

Adressering av ransomware trusselen er svaret på en enklere vei til god sikkerhet med positive ringvirkninger

Facebook
Twitter
LinkedIn

More to explorer

Krav ved kjøp av NGFW

Det er mange gode brannmur produsenter og produkter, og flere er oppe til høyre i Gartners Magic Quadrant. Å velge brannmur er