Nordland fylkeskommune

23. desember 2021 oppdaget Nordland fylkeskommune ukjent aktivitet inne i datasenteret sitt. Dette kunne gått skikkelig ille med kryptering, men det ble stoppet og oppdaget før de kriminelle fikk til alt de ville. Nordland fylkeskommune var mye bedre sikret enn Østre Toten kommune og hadde nok uansett ikke blitt en så stor hendelse,

Etter diskusjon med ekstern kompetense og ledelse ble det bestemt å ta ned internett for hele fylkeskommunen da det på tidspunktet var usikkert hva dette i helhet handlet om. Og så startet arbeidet.

Kan ikke avsløre alle detaljene, men basert på hva jeg vet kan jeg si hvilke tiltak som kunne avverget ting tidligere i prosessen.

DAAS

DAAS er et akronym som står for Data, Applications, Assets og Services, som definerer de sensitive ressursene. DAAS-elementer inkluderer:

Data – Dette er sensitive data som kan få en organisasjon i trøbbel hvis blir eksfiltrert eller misbrukt. Eksempler på sensitive data inkluderer betalingskortinformasjon (PCI), beskyttet helseinformasjon (PHI), personlig identifiserbar informasjon (PII) og intellektuell eiendom (IP)

Applikasjoner – Vanligvis er dette applikasjoner som bruker sensitive data eller kontrollerer kritiske eiendeler.

Eiendeler – Eiendeler kan inkludere IT (informasjonsteknologi), OT (operativ teknologi) eller IIoT (Internet of Things) enheter som for eksempel terminaler for salg, SCADA-kontroller, produksjonssystemer og medisinsk utstyr i nettverk.

Tjenester – Dette er sensitive tjenester som er svært skjøre som virksomheten din er avhengig av. De vanligste tjenestene som bør beskyttes på en Zero Trust-måte inkluderer DNS, DHCP, Active Directory og NTP.

Her er en oversikt over tiltak som ville bidratt til å avverge hendelsen

MFA på eksterne DAAS

Altfor ofte hører jeg “vi har aktivert MFA for alle brukere”. Vel, det er litt skummelt. Mottoet burde heller være “Vi skal ha MFA som en del av tilgangskontrollen til alle systemer”. Jeg tror det vil bidra til å endre fokuset og redusere risiko. Inngangen til denne hendelsen skjedde via en internettbasert tjeneste med konto uten krav om MFA.

Det er viktig å sikre at MFA er aktivert for tilgangskontroll til alle tjenester som er tilgjengelige fra internett. Anta at brukernavn og passord er på avveie. Funn i loggene tyder på at dette mest sannsynlig var på avveie.

MFA på interne DAAS

Etter at kriminelle kommer seg igjennom den ytre barrieren er det ofte enkelt å komme seg videre da forsvarsmekanismene typisk er lavere internt. De kriminelle kom seg her inn på en intern tjeneste som mest sannsynlig kunne vært avverget dersom MFA var aktivert for tilgangskontroll.

  • FIDO2 basert autentisering på administrative tilganger anbefales
  • Administratorer burde være definert i et eget brukerregister skilt fra det for brukere med vanlige rettigheter

Ved å samle administratorer i et eget system, som f.eks JumpCloud, og benytte FIDO2 for alle tilganger, vil man skape en bedre struktur for eleverte tilganger og heve sikkerheten til et mye høyere nivå. JumpCloud som eksempel er gratis for inntil 10 brukere/administratorer.

Aktivering av MFA for interne tjenester er som oftest ekstremt enkelt, og mange ganger faller dette på plass i selve autentiseringstjenesten via RADIUS, TACACS eller tilsvarende, og krever mange ganger ingenting på selve utstyret eller tjenesten.

Segmentering med Least Privilege

Etter at aktørene kom seg inn i systemet hadde de mulighet til å bevege seg mellom maskiner som typisk skulle være adskilt fra hverandre grunnet kritikalitet og funksjonalitet.

Kritiske tjenester som domenekontrollere, databaser, og andre DAAS med høy kritikalitet bør segmenteres ut for bedre visibilitet, tilgangskontroll og dermed sikkerhet.

Least Privilege betyr at man kun tillater det som er nødvendig for at tjenesten fungerer

VG testen (Least Privilege)

Når kriminelle kommer seg inn vil de gjerne etablere en permanent bakdør som de kan kommunisere igjennom i prosessen videre for å gå mer under radaren. Hos Nordland fylkeskommune skjedde dette, selv om det kunne vært stoppet med DNS og URL sikkerhet som oppdaget kommunikasjonen, men ikke var satt opp for å sperre (med beste praksis oppsett ville både DNS og URL blitt stoppet).

Det er viktig å sjekke om man kan surfe på VG fra serveren/DAAS. Kan man nå VG, er sikkerheten for dårlig, og man må etablere Least Privilege for hva DAAS trenger av kommunikasjon mot internett. Når dette er på plass skal det være nærmest umulig å etablere Command & Control fra DAAS. For Nordland fylkeskommune ville adressering av VG testen avverget etablering av bakdør.

Sentralisert logging med SOC

En suksessfull hendelse skjer gjerne over tid ved å gjøre flere aktiviteter. Mange av disse aktivitetene er unormal adferd, og vil i mange tilfeller trigge alarmer. Det er viktig å samle alle disse loggene og alarmene på et sentralisert og trygt sted for ivaretagelse ved en eventuell hendelse, samt at noen (SOC) følger med og reagerer ved behov. Dette kan bidra til å identifisere og avverge. Mange strukturerer logger og alarmer bedre etter en hendelse, og går gjerne til anskaffelse av en SOC tjeneste.

Klienter ut av nettet med Always-On VPN

Det er ingen tegn på at denne anbefalingen har relevans for hendelsen hos Nordland fylkeskommune

Konklusjon

Nordland fylkeskommune fikk en kostnad på over 11 millioner kroner for å gjenopprette, og holdt på over 6 måneder med opprydding og forbedring etter hendelsen. Basert på informasjon om konsekvensene og kampanjen ser man at nevnte elementer kunne bidratt til å hindre eller vanskeliggjøre en suksessfull hendelse for de kriminelle