DSS hendelsen 2023

DSS, Departementenes sikkerhets- og serviceorganisasjon, opplevde innbrudd i infrastrukturen sommeren 2023. Dette kom i media juli 2023. Det har underveis blitt informert om at angrepet da hadde foregått i minst 3 måneder (april-juli 2023), mesteparten av tiden ubemerket. 12 departementer ble berørt av denne hendelsen, og tap av data for flere av dem ble en realitet. Som en konekvens av hendelsen har politikere i disse 12 departementene vært uten e-post til sine mobiltelefoner i lang tid etterpå.

På skrivende tidspunkt, 12. november 2023, er ikke alle detaljene offentliggjort, men jeg er personlig blitt lovet detaljer så fort disse er tilgjengelige for å legge inn i matrisen. Inntil da legger jeg inn ting basert på antagelser relatert til det jeg vet rundt nulldagssårbarheten i MobileIron, det som DSS har sagt om deres aktivitet rundt oppdagelse i sin SOC, og at den egentlige skaden skjedde på en Exchange server inne i nettet.

DAAS

DAAS er et akronym som står for Data, Applications, Assets og Services, som definerer de sensitive ressursene. DAAS-elementer inkluderer:

Data – Dette er sensitive data som kan få en organisasjon i trøbbel hvis blir eksfiltrert eller misbrukt. Eksempler på sensitive data inkluderer betalingskortinformasjon (PCI), beskyttet helseinformasjon (PHI), personlig identifiserbar informasjon (PII) og intellektuell eiendom (IP)

Applikasjoner – Vanligvis er dette applikasjoner som bruker sensitive data eller kontrollerer kritiske eiendeler.

Eiendeler – Eiendeler kan inkludere IT (informasjonsteknologi), OT (operativ teknologi) eller IIoT (Internet of Things) enheter som for eksempel terminaler for salg, SCADA-kontroller, produksjonssystemer og medisinsk utstyr i nettverk.

Tjenester – Dette er sensitive tjenester som er svært skjøre som virksomheten din er avhengig av. De vanligste tjenestene som bør beskyttes på en Zero Trust-måte inkluderer DNS, DHCP, Active Directory og NTP.

Her er en oversikt over tiltak som ville bidratt til å avverge hendelsen

MFA på eksterne DAAS

Med nulldagssårbarheten CVE-2023-38035 hadde ikke dette noe å si. Her kom aktørene seg inn grunnet en software sårbarhet, så MFA hadde ikke hatt noen effekt her.

Segmentering med Least Privilege

Per 12. november 2023 vet jeg ikke detaljer om dette, så kan heller ikke uttale meg om denne anbefalingen ville gjort noen forskjell. Venter på rapporten fra DSS

MFA på interne DAAS

Med tanke på at det var tilgang til Exchange serveren som utgjorde den store skaden, er dette punktet relevant. Om aktørene utnyttet en sårbarhet i Exchange vites ikke. Om MFA på Exchange var på plass og kunne gjort noen forkjell vites heller ikke. Venter på rapporten fra DSS.

VG testen (Least Privilege)

Da jeg ikke kjenner til detaljene i angrepet, og om det ble etablert en C2 bakdør for nedlasting av skadevare og lekkasje av data, vet jeg pt ikke om dette punktet er relevant for hendelsen. Venter på rapporten fra DSS

Sentralisert logging med SOC

Hendelsen ble oppdaget i DSS sin CERT/SOC, og jeg har fått bekreftet av DSS at dette var et viktig punkt.

Klienter ut av nettet med Always-On VPN

Jeg har ikke lest noe som helst som tilsier at klienter har vært involvert i angrepet.

Konklusjon

Til tross for nulldagssårbarhet mener jeg hendelsen med stor sannsynlighet kunne vært avverget. Veldig spent på detaljene i rapporten fra DSS, som jeg håper kommer snart.

Politiets sikkerhetstjeneste (PST) har valgt i henlegge saken