Datasikkerhet: Vet du om virksomheten din har vært utsatt for dataangrep?

Av Anders Kringstad 27. mar. 2018

shutterstock_218372422-617255-editedKampen mot datakriminalitet er kampen mot en usynlig fiende. Ingen har truet virksomheten, ingen har tilkjennegitt kapasitet til å skade, og ingen har triumfert etter et vellykket angrep. For å kunne beskytte oss mot dataangrep må vi skjønne hvordan skurkene tenker.

Aller først vil jeg avklare hva jeg sikter til med begrepet dataangrep. I denne artikkelen snakker jeg om såkalt spear phishing - Målrettede angrep mot ansatte i en bedrift med den hensikt å skaffe seg verdifull informasjon.

Digitale ran

Spear phishing, industrispionasje eller kirurgiske dataangrep dreier seg om å få tilgang til verdifull informasjon hos en bedrift. Alle bransjer og virksomheter har digital informasjon, men verdien av denne stiger med graden av samfunnsmessig nytte og økonomisk størrelse.

Tradisjonelt har dette vært et område dominert av fremmede makter. Med framveksten av et illegalt marked - der man kan bestille et angrep eller kjøpe allerede ulovlig tilegnet informasjon  - har i større grad konkurrenter og lykkejegere funnet sin nisje. Din informasjon er i dag noen andres handelsvare. 

Flere metoder

En inntrenger på jakt etter informasjon kan gå fram på flere måter. Hovedsaken er at han klarer å eksponere en sårbarhet hos offeret. Da starter man med den lavest hengende frukten, nemlig de ansatte. Kan man få en ansatt til å åpne en tilgang i den tro at man gjør bedriften en tjeneste sparer man seg for mye arbeid.

Hvem kunne vite at den hyggelige damen som utga seg for å gjøre en markedsundersøkelse egentlig hentet ut opplysninger hun kunne bruke i en infokampanje?

Tidligere ansatte som ikke har fått sine tilganger blokkert er en annen vanlig sårbarhet. Vi har mange eksempler på at man sitter i ny stilling hos en konkurrent og leverer anbud som med forbløffende presisjon slår konkurrentens.

En tredje utbredt variant er å sende epost til noen i selskapet. Denne inneholder skjult programvare som installerer fjerntilgang (en trojansk hest).

Hva om bedriften er godt sikret?

Mange bedrifter har en solid kultur for datasikkerhet; bevisste medarbeidere og rutiner sikrer at menneskelig svikt ikke gir uvedkommende tilgang til bedriftens IT-systemer. Er man da trygg? Dessverre ikke. Skurkene går da i gang med en omfattende kartlegging av virksomhetens tjenesteleverandører.

Man sjekker domenenavn, standardpekere, IP-adresser tilknyttet de ulike tjenestene, nettverksleverandører tilknyttet de ulike adressene og får slik en oversikt over hvem som eier fiberkabler og hvem som eier IP-adresser og rutere.

Slik går skurkene fram

Gitt er en liten bedrift med 16 IP-adresser der 14 er synlige. Bandittene skanner disse hver for seg og får opp alle tjenester som svarer ut mot den store verden. Muligheten for at minst en av disse er en VPN-ruter er stor. Da fortsetter man slik: 

  1. Dryppangrep er en teknikk der man angriper f.eks. fjernpålogging eller VPN. Angriperne bruker standard brukernavn og passord basert på selskapets ansatt-oversikt fra websidene og en ordliste for vanlige passord, for å se om man kan trenge seg inn. Dryppangrepet pågår ved å sende et fåtall forespørsler over svært lang tid, kanskje måneder, og er dermed ikke merkbart på selskapets overvåkning.
  2. Hvis man vet bedriftens domenenavn, kan man jo jobbe seg fram til og sjekke om det finnenes en peker for ekstranett, intranett eller vpn.bedriftsnavn.no. Der finnes det ofte info som hjelper ansatte og partnere som har rotet bort programvaren sin, slik at de ikke trenger å plage IT. Da har man kommet langt for å komme seg inn på systemet.
  3. Så prøver man seg med Passord123, Sommer2016 og andre ekstremt vanlige norske varianter. Slike som ofte henger igjen etter en ekstern konsulent som var leid inn for flere år siden. Siden han var leid inn på regnskap, hadde han administrativ tilgang, altså tilgang til alle datasystemer.

Med kreativitet, god etterretning og litt flaks kan man treffe med denne metoden. Hvis ikke, går man hardere til verks:

  1. Angripe en sårbarhet i programvaren. De fleste programvarer tilkjennegir hvilken versjon de er. Kombinert med databaser over versjonshistorikk og bug-fix kan man se hvilke sårbarheter man skal gå etter.
  2. Skanneren gjør jobben for deg og gir deg en liste over sårbarhetene
  3. Med denne lista for hånden kan bandittene installere kode på serveren og, for eksempel, få ut personopplysningene til alle kredittkortbrukere i USA (Equifax eller Ashley Madison). 

Den dårlige nyheten i denne sammenhengen er at om du har informasjon av samfunnsnyttig verdi eller store økonomiske gevinster, vil du alltid være attraktiv for dataskurkene. Og før eller siden kommer de seg inn i et hvilket som helst system. Spørsmålet er om de blir oppdaget eller ei.

Den gode nyheten er at det går an å beskytte seg. Det skal jeg snakke om i neste blogginnlegg.

 

Guide til Risikovurdering ebok_CTA

 

Temaer: Datasikkerhet, Cyberkriminalitet


Anders Kringstad's photo

Av: Anders Kringstad

Anders er løsningsarkitekt i ITsjefen AS og har vært med på å bygge opp bedriften fra tre ansatte og et bord med datamaskiner til en bedrift med mer enn 1000m2 datarom og et fibernett med 5000+ nettverkspunkter. Anders har arbeidet innen design, leveranse og drift av serverparker samt puslet med prosjekter knyttet til informasjonssikkerhet siden 90-tallet i regi av organisasjonen Underworld.

Epost

Kommentarer

Søk i bloggen

One Voice AS

One Voice er en teknologibedrift, etablert i 2006, med hovedkontor i Trondheim. Vi leverer programvareløsninger innen blant annet risiko- og sårbarhetsanalyser, beredskapsplanlegging og hendelse- og krisehåndtering. Vårt hovedprodukt CIM® er verdensledende innen krisehåndtering, og omtales som det nasjonale beredskapssystemet.

Besøk onevoice.no

Guide til risikovurdering

Siste innlegg