Østre Toten kommune

9. januar 2021 oppdaget Østre Toten kommune at de var utsatt for en digital hendelse som forårsaket at alle datasystemer var utilgjengelige. Dette inkluderer tap av informasjon som kunne vist hvordan de kriminelle utførte sine handlinger, som som gjør at denne artikkelen baserer seg på en del antagelser.

Her er diverse artikler fra NRK

Østre Toten kommune ble utsatt for “PYSA/Mespinoza Ransomware”. Se her en uttalelse fra Nasjonal sikkerhetsmyndighet.

Her ser man i detalj hvordan denne kampanjen teknisk sett fungerer, noe som danner grunnlag for anbefalinger og råd om hvordan denne kunne vært unngått. Rapporten sier ikke noe om hvordan de kriminelle faktisk kunne starte sitt angrep, om det startet med en phishing kampanje, eller om det var misbruk av en sårbarhet. Moralen er at man må anta at noen er lurt, man må anta at brukernavn og passord er på avveie, man må anta at systemer er sårbare, og man må derfor man anta at uvedkommende kommer seg inn.

Hva kunne avverget eller vanskeliggjort hendelsen? Alle foretak har teknologi. Mange har mye og fantastisk teknologi. Alle har endepunktsikkerhet. Alle har e-postsikkerhet. Allikevel skjer suksessfulle hendelser. Alle suksessfulle hendelser skjer i tillatt trafikk, så det er derfor viktig å fokusere på hva man tillater for på den måten å redusere angrepsflaten maksimalt.

Poenget med denne artikkelen er å synliggjøre de menneskelige, proaktive og preventive tiltakene som er mer statiske og som vil bidra til å gjøre en stor forskjell

Først litt informasjon om hva som er viktig å beskytte. Nemlig DAAS.

DAAS

DAAS er et akronym som står for Data, Applications, Assets og Services, som definerer de sensitive ressursene. DAAS-elementer inkluderer:

Data – Dette er sensitive data som kan få en organisasjon i trøbbel hvis blir eksfiltrert eller misbrukt. Eksempler på sensitive data inkluderer betalingskortinformasjon (PCI), beskyttet helseinformasjon (PHI), personlig identifiserbar informasjon (PII) og intellektuell eiendom (IP)

Applikasjoner – Vanligvis er dette applikasjoner som bruker sensitive data eller kontrollerer kritiske eiendeler.

Eiendeler – Eiendeler kan inkludere IT (informasjonsteknologi), OT (operativ teknologi) eller IIoT (Internet of Things) enheter som for eksempel terminaler for salg, SCADA-kontroller, produksjonssystemer og medisinsk utstyr i nettverk.

Tjenester – Dette er sensitive tjenester som er svært skjøre som virksomheten din er avhengig av. De vanligste tjenestene som bør beskyttes på en Zero Trust-måte inkluderer DNS, DHCP, Active Directory og NTP.

Her er en oversikt over tiltak som ville bidratt til å avverge hendelsen

MFA på eksterne DAAS

Basert på rapporten om PYSA/Mespinoza ble muligens RDP misbrukt direkte fra internett. Dette var nok mulig som en følge av manglende MFA for innlogging gjerne for tilganger med administrative rettigheter.

Det er viktig å sikre at MFA er aktivert for tilgangskontroll til alle tjenester som er tilgjengelige fra internett. Anta at brukernavn og passord er på avveie.

Segmentering med Least Privilege

Basert på rapporten on PYSA/Mespinoza ble det gjort portscanninger, og deretter beveget aktørene seg internt mellom enheter med RDP.

Spørsmålet er om bevegelse og kommunikasjonen fra de kriminelle var i tråd med tjenestemessige behov, i form av at Østre Toten kommune trengte de åpninger og tilganger for å gjøre daglige oppgaver. Ofte er ikke dette tilfellet, derfor er det en sterk anbefaling å segmentere nettverket i tråd med risikovurdering.

Kritiske tjenester som domenekontrollere, databaser, og andre DAAS med høy kritikalitet bør segmenteres ut for bedre visibilitet, tilgangskontroll og dermed sikkerhet.

Least Privilege betyr at man kun tillater det som er nødvendig for at tjenesten fungerer

MFA på interne DAAS

Basert på rapporten om PYSA/Mespinoza ble nok RDP benyttet for å nå interne tjenester. Dette var nok mulig som en følge av manglende MFA for innlogging gjerne for tilganger med administrative rettigheter.

  • FIDO2 basert autentisering på administrative tilganger anbefales
  • Administratorer burde være definert i et eget brukerregister skilt fra det for brukere med vanlige rettigheter

Ved å samle administratorer i et eget system, som f.eks JumpCloud, og benytte FIDO2 for alle tilganger, vil man skape en bedre struktur for eleverte tilganger og heve sikkerheten til et mye høyere nivå. JumpCloud som eksempel er gratis for inntil 10 brukere/administratorer. 

Aktivering av MFA for interne tjenester er som oftest ekstremt enkelt, og mange ganger faller dette på plass i selve autentiseringstjenesten via RADIUS, TACACS eller tilsvarende, og krever mange ganger ingenting på selve utstyret eller tjenesten.

VG testen (Least Privilege)

Basert på rapporten om PYSA/Mespinoza ble det hos Østre Toten kommune mest sannsynlig åpnet bakdører på domenekontroller, backupserver og kanskje flere servere. Data fra kommunen kom beviselig på avveie, noe som mest sannsynlig skjedde via disse kanalene. Dette burde ikke være mulig, da denne type kommunikasjon ikke har noe med nødvendig kommunikasjon i daglig virke å gjøre.

Det er  viktig å sjekke om man kan surfe på VG fra serveren/DAAS. Kan man nå VG, er sikkerheten for dårlig, og man må etablere Least Privilege for hva DAAS trenger av kommunikasjon mot internett. Når dette er på plass skal det være nærmest umulig å etablere Command & Control fra DAAS

Sentralisert logging med SOC

En suksessfull hendelse skjer gjerne over tid ved å gjøre flere aktiviteter. Mange av disse aktivitetene er unormal adferd, og vil i mange tilfeller trigge alarmer. Det er viktig å samle alle disse loggene og alarmene på et sentralisert og trygt sted for ivaretagelse ved en eventuell hendelse, samt at noen (SOC) følger med og reagerer ved behov. Dette kan bidra til å identifisere og avverge.

Østre Toten kommune uttalte at de ikke viste hvor lenge aktørene hadde vært inne i systemet, men antok uker.

Klienter ut av nettet med Always-On VPN

Basert på rapporten om PYSA/Mespinoza ser man ikke noe som tyder på misbruk av klienter. Men om phishing var den initielle vektoren, kunne dette tiltaket kanskje bidratt til å hindre hendelsen ved sikkerhetsfunksjoner i en Next Generation Firewall som DSN og URL sikkerhet når en bruker klikker på en link for å gi fra seg brukernavn og passord.

Konklusjon

Basert på informasjon om konsekvensene og kampanjen ser man at nevnte elementer kunne bidratt til å hindre eller vanskeliggjøre en suksessfull hendelse for de kriminelle