Månedens Udvalgte: Ransomware – sådan beskytter du dig

24. februar 2021 - Som opfølgning på Månedens Udvalgte i november vil Jacob Herbst i denne måned igen stille skarpt på enorme cybertrussel, Ransomware udgør og samtidig komme med nogle konkrete bud på, hvad man som virksomhed eller organisation kan gøre, for at mindske risikoen fra ransomware.

I månedens udvalgte tilbage i november satte vi fokus på udviklingen af ransomware siden de første spæde forsøg distribueret på floppydisks helt tilbage i 1989, og til i dag hvor ransomware, for at citere Søren Nielsen, topchef i Demant fra Børsens ledelsestillæg den 29. oktober 2020, er: ”Den største realtrussel nu om dage for et samlet kollaps af en global virksomhed.” Denne udtalelse kom efter, at Demant i 2019 gennemlevede et ransomware-angreb, der krypterede alle deres data og lammede virksomheden i flere uger, hvilket medførte et tab på flere hundrede millioner kroner. Du kan genlæse november måneds udvalgte her.

Er du bedre beskyttet end naboen?

Der findes desværre ikke nogen enkle snuptagsløsninger, når en virksomhed gerne vil beskytte sig mod ransomware, men der er derimod en lang række forskellige ting, man som virksomhed bør gøre, for at opnå et passende niveau af modstandsdygtighed og robusthed. Samtidig er det også vigtigt at huske, at løsningen på ransomware-problematikken skal findes på tværs af organisationen og kræver involvering på alle niveauer. Og videre er det vigtigt at erkende at uanset hvor dygtig, man er til at beskytte sig, kan man stadig risikere at blive ramt af ransomware, da der er utallige ting, der kan gå galt, mens de kriminelle kun skal bruge en enkelt fejlkonfiguration eller sårbarhed til at trænge ind.

Det betyder også at modstandsdygtighed mod ransomware-angreb er nødt til at være en kombination på tværs af en række forskellige tiltag, fra risikostyring og opdaterede sikkerhedskontroller til ens evne til at opdage og reagere i forhold til et ransomware-angreb samt beredskabet til hurtigt og effektive at komme tilbage, skulle man blive alvorlig ramt.

Når alt det så er nævnt, er det imidlertid også vigtigt at huske på, at de kriminelle er oppertunistiske forretningsfolk, der forsøger at tjene deres penge lettest og hurtigst muligt, og meget ofte gælder det, at hvis blot man er bedre beskyttet end naboen, vil man ofte undgå at blive angrebet.

Ledelsens rolle

Det allerførste skridt i at beskytte sig mod ransomware-angreb, er at virksomhedens ledelse forstår og erkender problemstillingen og forstår, at alle virksomheder kan være mål for de kriminelle – uanset hvor ukendt eller uinteressant virksomheden i øvrigt mener, den er. De kriminelle er ret ligeglade med, om de angriber et hospital eller en maskinfabrik – for dem gælder det om at få en fortjeneste, og derfor er alle virksomheder, uanset størrelse eller branche, potentielle ofre. Når ledelsen har opnået denne erkendelse, har den et godt udgangspunkt for at adressere udfordringen på en seriøs måde.

Til en start er det først og fremmest ledelsens ansvar at fastlægge virksomhedens risikoappetit – altså den proces hvor ledelsen vurderer, hvor stor en risiko virksomheden ønsker at løbe. Dette har, udover input til beslutningen om omkostninger til it-sikkerhed, også betydning for hvad det kræver for virksomheden at være agil på it-området og hvilke typer løsninger, som virksomheden kan tilbyde medarbejdere, kunder og partnere. Samtidig er det også ledelsens ansvar at sikre de rette rammer og den rette kultur omkring sikkerhedsarbejdet, altså sikre at der er tilstrækkeligt med ressourcer, den rette opbakning til gennemførelsen af sikkerhedstiltag og en ordentlig opfølgning.

Optimalt sker dette ved at ledelsen implementerer et ledelsessystem som eksempelvis ISO27000, men mindre og simplere løsninger kan også gøre det, blot man kommer i gang med en struktureret proces for sikkerhedsarbejdet.

Samtidig har ledelsen også et særligt ansvar såfremt virksomheden skulle blive ramt og havne i en situation, hvor beredskabet aktiveres. I netop denne situation er det vigtigt, at ledelsen bevarer roen og giver organisationen klare retningslinjer til at kunne navigere gennem en sådan situation. Et godt udgangspunkt for at kunne gøre dette, er netop en ordentlig beredskabsplan således, at både ledelsen og organisationen ved, hvordan de skal forholde sig.

Basal it-hygiejne og sikkerhedskontroller

I forhold til den grundlæggende it-sikkerhed er der ofte en tendens til at glemme den helt basale it-hygiejne, da det i realiteten blot er at have styr på grundlæggende it-discipliner som overblik over udstyr og enheder, styr på brugere og rettigheder, løbende sikkerhedsopdateringer, styr på opdateringer m.m.

Det sker desværre alt for ofte, at de kriminelle har alt for let spil på grund af helt basale svagheder i it-infrastrukturen. Bedre styr på disse områder ville i mange situationer måske ikke fuldstændigt have forhindret et angreb, men ville ofte gøre angribernes aktiviteter væsentlig mere besværlige og dermed have forsinket dem, ligesom de typisk ville have “støjet” væsentlig mere og dermed givet bedre muligheder for at opdage og inddæmme angrebet i tide.

Man kan komme langt ved at have styr på den basale it-hygiejne, men i praksis er det nødvendigt at bygge et yderligere lag i form af yderligere sikkerhedskontroller for at gøre it-infrastrukturen tilstækkelig robust og håndtere de svagheder, der altid vil være. Dette omfatter opsætning af firewalls, antivirus-løsninger, proxy-servere, mailscanning m.m. Alle disse teknologier hjælper med at øge den generelle robusthed, men det kræver – ligesom med den basale it-hygiejne – at der er fokus på, at løsningerne er konfigureret korrekt og løbende opdateres.

Alt for ofte ser vi desværre eksempler på firewalls, hvor der er lavet åbninger til interne servere, som herefter kompromitteres af kriminelle. Dette på trods af at firewallen er et topprodukt med masser af avancerede funktioner og i øvrigt tilbyder en glimrende VPN-løsning, som nemt kunne være blevet brugt til at etablere samme funktionalitet på en væsentlig mere sikker måde.

På samme måde ser man stadig alt for ofte, at man ikke udnytter, eksempelvis, de muligheder for to-faktor-brugervalidering som i dag tilbydes sammen med rigtig mange forskellige løsninger. Faktisk er det således, at vi, i stort set alle ransomware-sager, som Dubex har været involveret i, oplever, at de kriminelle misbruger helt basale svagheder, der kunne have været afhjulpet med simple konfigurationsændringer eller opdateringer med sikkerhedsrettelser.

Test af it-sikkerhed

Da det i praksis har vist sig at være ganske svært at have styr på alle basale kontroller som nævnt ovenfor, anbefales det, at man med jævne mellemrum tester it-sikkerheden, da dette har vist sig som en effektiv metode til at sætte fokus på virksomhedens faktiske sikkerhedsniveau. Sikkerhedstesten vil ofte finde forskellige sårbarheder, men den vil også sætte fokus på udfordringen med manglende basal sikkerhed og dermed være med til at hæve den generelle awareness og opmærksomhedsniveauet i hele organisationen omkring cybersikkerhed.

Overvågning

En anden effektiv metode til at undgå og forebygge cyberangreb er, at man rent faktisk holder øje med, hvad der foregår i infrastrukturen. Mens de kriminelle forsøger at trænge ind i virksomhedens systemer, vil de forsøge at finde svagheder og sikkerhedshuller. Med passende overvågning vil disse forsøg generere en masse alarmer, som man med passende overvågning vil kunne opdage.

Ved de avancerede ransomware-angreb, som virksomhederne i dag bliver udsat for, går der typisk flere dage, fra de kriminelle lykkes med at trænge ind i virksomhedens sikkerhedssystemer til, at de rent faktisk går i gang med at kryptere virksomhedens data. I denne periode vil de typisk prøve at skaffe sig yderligere rettigheder, bevæge sig rundt mellem virksomhedens it-systemer samt stjæle virksomhedens data. Med blot en nogenlunde effektiv sikkerhedsovervågning vil det være muligt at opdage disse aktiviteter og dermed reagere før skaden for alvor er sket.

Reaktion

Opdages et angreb under opsejling, er det vigtigt at kunne reagere hurtigt og effekivt, således at angrebet kan inddæmmes, før det forvolder alvorlig skade. I praksis vil man ofte kun have ganske kort tid til at reagere, ligesom de kriminelle konstant holder øje med tegn på, at de er blevet opdaget. Fornemmer de,

at de er blevet opdaget, vil det meget ofte kunne få dem til at fremskynde deres angreb, hvilket understreger vigtigheden af hurtig og effektiv reaktion. I praksis kræver dette, at virksomheden allerede på forhånd har en reaktionsplan klar, ligesom der bør være en aftale om at kunne få hjælp fra eksterne eksperter, da incident-håndtering er en dybt specialiseret ekspertise.

Udover den initiale brandslukning er et andet vigtigt punkt i forbindelse med en incident response-proces at opklare, hvordan angrebet er foregået, således at man kan få lukket de huller, som de kriminelle har brugt til at komme ind og få fjernet alle de bagdøre, som de kriminelle har efterladt i systemerne.

Erfaringen viser, at de kriminelle vil gøre ganske meget for at tilbageerobre deres adgang, og meget ofte oplever vi meget voldsomme cyberangreb, mens vi er i gang med at hjælpe en virksomhed med incident response.

Gendannelse

Hvis alle forgående foranstaltninger skulle fejle, og man alligevel ender som offer for et ransomware-angreb, er den sidste redningskrans som regel den backup, som man har af sine data. Databackup lyder nemt, men desværre er det nemt at fejle omkring etablering af en ordentlig og effektiv backupløsning.

I forhold til særligt ransomware er der en række forhold, som man skal være opmærksom på. Blandt andet skal man sikre, at backuppen er adskilt fra virksomhedens infrastruktur, så den ikke også bliver ramt af ransomware-angrebet. Meget ofte er man i en situation, hvor en hel infrastruktur skal gendannes fra bunden. Mange virksomheder overser også, hvor lang tid det egentlig tager at lave restore af mange servere, hvorfor der bør ligge en plan klar for rækkefølgen, systemerne skal gendannes i.

Endelig er det omkring backup vigtigt at huske det gamle mantra om, at: “En backup, der ikke er testet, er ingen backup.” Det har desværre lidt for ofte vist sig, at man ikke helt havde den backup, som man troede.

Afrunding med mine anbefalinger

Ovenstående meget overordnede gennemgang af forholdsregler mod ransomware er bygget op omkring NIST Cybersecurity Framework (CSF). Det er en af de metoder, Dubex anvender til at strukture sikkerhedsarbejdet. NIST CSF er blot et af mange værktøjer, og det væsentligste er ikke præcis hvilken standard eller værktøj, som man anvender, men at man har en systematisk proces som sikrer, at man kommer hele vejen rundt. Naturligvis kan man udvikle sin egen fremgangsmåde, men erfaringen er, at de veletablerede frameworks fungerer rigtig godt i mange sammenhænge.

Denne artikel indeholder en lang række anbefalinger, der alle er på et relativt højt niveau, og dermed vil det i de fleste organisationer kræve et større stykke arbejde, før de kan implementeres. Lad os derfor slutte denne måneds artikel med seks anbefalinger, som er baseret på nogle af de hændelser, Dubex har været involveret igennem den seneste tid, og som er helt håndgribelige og rimelige at gå til:

  • Aktuelt sker rigtig mange ransomware-angreb ved, at de kriminelle bryder ind i virksomheden via fjernadgangsløsninger, dvs. sårbare VPN-løsninger eller maskiner, som tillader login fra internettet typisk via Windows Remote Desktop. Derfor er det vigtigt at sikre, at VPN-løsningen er opdateret, og at man ikke har maskiner på netværket, der tillader direkte remote desktop login. Ofte har vi set, at virksomhederne ikke ved de har, f.eks. Windows Remote Desktop tilladt, fordi det er etableret uden om it-afdelingen, hvorfor det anbefales at gøre som de kriminelle og lede efter disse huller ved at lave en sårbarhedsscanning af alle virksomhedens eksterne IP-adresser.
  • Vi ser også, at mange angreb sker ved, at de kriminelle får fat i login-information enten via phishing eller simpelthen kan gætte brugernes login og password, f.eks. via password-spraying. Derfor anbefaler vi, at man bruger en eller anden form for to-faktor-login til alle former for fjernadgang – og eksterne services som Office 365 i øvrigt. Der findes mange former for 2FA-løsninger, men selv den mest ringe 2FA-løsning, baseret på en simple SMS, er stadig markant bedre end blot at bruge simple passwords.
  • Noget af det først de kriminelle gør, når de er trængt ind i en virksomhed, er at forsøge at få administrative rettigheder typisk ved at kompromittere virksomhedens Active Directory. Ofte sker det via kompromittering af en privilegeret bruger eller et service-login. Vi anbefaler derfor på det kraftigste, at man får gennemgået sikkerheden omkring ens Active Directory og særligt sikkerheden omkring de priviligerede brugere og fjeret alle de overflødige administrative rettigheder, der meget ofte er tildelt.
  • I mange sager oplever vi, at de kriminelle har været inde i virksomhedens systemer i mange dage, før de bliver opdaget, hvilket typisk først sker, når de begynder at kryptere virksomhedens data. Havde der blot været en basal sikkerhedsovervågning på plads, ville rigtig mange angreb være blevet opdaget langt tidligere. Vi anbefaler derfor på det kraftigste, at man etablerer noget sikkerhedsovervågning, så man kan opdage mulige angreb i tide. Da overvågningen bør ske døgnet rundt, bør man overveje at købe det som en service, da de færreste virksomheder selv har ressourcer til at drive en døgnovervågning.
  • Mange virksomheder reagerer alt for langsomt ved et angreb, da de ikke ved, hvordan de skal håndtere situationen, når de bliver angrebet. Derfor anbefales det, at der etableres et beredskab, og at det løbende bliver testet. Sørg også for at have adgang til de rette kompetencer og ressourcer til at kunne lave incident response og forensics-arbejde, da det kræver særlige kompetencer, indsigt og erfaring.
  • Endelig vil de kriminelle altid forsøge at ødelægge virksomehedens backup som del af deres angreb. Er backuppen placeret online internt i virksomheden, er der en rigtig god sandsynlighed for, at det vil lykkes. Derfor er det vigtigt at have en offline eller offsite backup, som de kriminelle ikke kan ødelægge – dette kan være backupbånd i et pengeskab eller hos en ekstern udbyder. Dette vil være den sidste redning, hvis alt andet svigter.

Håndtering af truslen fra ransomware er en ganske kompleks udfordring, men der er heldigvis mange ting, vi rent faktisk kan gøre for at blive mere modstandsdygtige. Vi har i denne artikel fremhævet nogle af de vigtigste aspekter, men det er vigtigt at huske på, at ransomware-truslen og angrebsmetoderne konstant ændrer sig, og at vi derfor løbende også er nødt til at justere vores forsvar for at være foran de kriminelle. For intet tyder på, at truslen fra ransomware forsvinder lige med det samme.

Læs mere fra Jacob

Månedens udvalgte: Ransomware… Fortid, nutid og fremtid

Fortællingen om ransomware går helt tilbage til 1989, og forventnigen er, at den vil fortsætte langt ud i fremtiden. Teknologien, metoderne og angriberne udvikler sig hele tiden, og det er for de fleste et spørgsmål om tid, før de oplever et ransomware-angreb. Jacob Herbst gennemgår historien.

Jacob Herbst udnævnt til det nye Virksomhedsforum for Digital Sikkerhed

Regeringen har udnævnt Jacob Herbst, CTO i Dubex, som virksomhedsrepræsentant og fagekspert i det nye Virksomhedsforum for Digital Sikkerhed. Forummet skal arbejde med at højne den digitale sikkerhed blandt danske virksomheder særligt med fokus på SMV’erne.

Månedens udvalgte: Læren fra SolarWinds supply chain-angrebet

Supply chain-angreb kan have store konsekvenser for virksomheder og stater rundt om i verden. Det seneste angreb på SolarWinds er et godt eksempel på, hvor galt det kan gå. I månedens udvalgte fortæller Jacob Herbst om angrebet, og hvordan man som virksomhed kan ruste sig mod lignende angreb.

Tak for din henvendelse. Du hører fra os hurtigst muligt.