NRK svindlet for 1 million

NRK ble svindlet for en million. Slik kunne det vært avverget.

NRK ble nettopp svindlet for 80.000,- Euro. Teknikkene de kriminelle benyttet er relativt ferske. Det er meget viktig at alle får med seg detaljene om hvordan dette angrepet var mulig, og enda viktigere at alle forstår hvordan alle kan beskytte seg mot slike angrep.

Jeg har skrevet mer detaljer om angrepet og hvordan det kunne vært avverget i min blogg.

NRK sa etter angrepet:

Dette har vært et så avansert angrep at det er krevende å oppdage, og det er samfunnsmessig veldig alvorlig, sier teknologidirektør Pål Nedregotten i NRK.

Men er det egentlig så krevende? Angrepet var smart, og anbefalingene i min bloggartikkel må leses.

DAAS

DAAS er et akronym som står for Data, Applications, Assets og Services, som definerer de sensitive ressursene. DAAS-elementer inkluderer:

Data – Dette er sensitive data som kan få en organisasjon i trøbbel hvis blir eksfiltrert eller misbrukt. Eksempler på sensitive data inkluderer betalingskortinformasjon (PCI), beskyttet helseinformasjon (PHI), personlig identifiserbar informasjon (PII) og intellektuell eiendom (IP)

Applikasjoner – Vanligvis er dette applikasjoner som bruker sensitive data eller kontrollerer kritiske eiendeler.

Eiendeler – Eiendeler kan inkludere IT (informasjonsteknologi), OT (operativ teknologi) eller IIoT (Internet of Things) enheter som for eksempel terminaler for salg, SCADA-kontroller, produksjonssystemer og medisinsk utstyr i nettverk.

Tjenester – Dette er sensitive tjenester som er svært skjøre som virksomheten din er avhengig av. De vanligste tjenestene som bør beskyttes på en Zero Trust-måte inkluderer DNS, DHCP, Active Directory og NTP.

Her er en oversikt over tiltak som ville bidratt til å avverge hendelsen

MFA på eksterne DAAS

NRK hadde mest sannsynlig MFA på sin e-post løsning, men allikevel kom de kriminelle seg inn. FICO2, Windows Hello for Business eller sertifikat basert tilgang kunne avverget steget der de kriminelle får tak i brukerens sesjon.

Segmentering med Least Privilege

Dette skjer i SaaS, og segmentering i nettverk har ingen relevans

MFA på interne DAAS

Det er her ikke snakk om interne DAAS, da dette er en SaaS tjeneste

VG testen (Least Privilege)

VG testen har ingen relevans her, da dette skjedde i SaaS

Sentralisert logging med SOC

Her kunne man oppdaget aktiviteten. Dette står beskrevet i Microsoft artikkelen jeg refererer til i min blogg

Klienter ut av nettet med Always-On VPN

Phishing ble benyttet. Sosial manipulasjon er skummelt. Ved å flytte klienter ut av nettverket, og sikre Always-On VPN sikres det at alle kommunikasjon fra PC alltid går via sentrale sikkerhetsmekanismer uansett når og hvor. Dette bidrar til å redusere risiko med linkbaserte phishing e-poster, men er ikke sikkerhet at det har noen relevans til angrepet mot NRK. Eksakt hvordan selve angrepet foregikk vet jeg ikke, men dette er uansett et viktig tiltak for å skape flere lag med sikkerhet mot phishing som jeg vet at fungerer, både for PC’er og mobltelefoner.

Konklusjon

Bloggartikkelen min forklarer mer utdypende, samt viser til en meget bra Microsoft artikkel. Denne svindelen kunne vært avverget på flere måter.