Pas på fejlkonfigurerede netværk og sikkerhedsløsninger

19. november 2019 - Dubex Incident Response Team (DIRT) rykker jævnligt ud til kunder, der er ramt af sikkerhedshændelser. Her kan du læse om nogle af de sager, som vi oplevede i tredje kvartal af 2019, og få et indblik i, hvilke forhold der gik igen hos de ramte organisationer.

Når man bliver ramt af en sikkerhedshændelse, er det oftest flere ting, der går galt på samme tid. I denne rapport deler vi forløbene op i mindre elementer, så vi kan give et generelt billede af, hvad der gik igen i en række hændelser, der fandt sted i danske organisationer fra juli til september 2019.

Dubex Incident Response Team (DIRT) er det hold, som bliver sat i arbejde, når Dubex bliver bedt om at hjælpe organisationer med akutte sikkerhedshændelser. Du kan læse mere om DIRT her.

Der var et fællestræk i en række af DIRT-sagerne fra 3. kvartal, nemlig at hændelsen grundlæggende skyldtes en fejlkonfiguration.

Der var hændelser, hvor man havde konfigureret netværket på en uhensigtsmæssig måde og fejlkonfigureret de sikkerhedsprodukter, der ellers skulle have beskyttet organisationen. Fejlkonfigurationerne resulterede i simple sårbarheder, der gjorde det muligt at angribe og få adgang til en enkelt eller få maskiner. Derfra havde angriberne adgang til at bevæge sig upåagtet rundt i netværket.

Konfiguration og vedligeholdelse af anti-virus

Stort set alle virksomheder har installeret firewalls og antivirus. Men det er ikke alle, der er konsekvente i den løbende konfiguration og vedligeholdelse, efterhånden som behov, i takt med den digitale udvikling i organisationen, ændres og udvides.

I en af sikkerhedshændelserne, som DIRT var involveret i, havde organisationen investeret i et antivirus-produkt. Løsningen var dog kun sat til at logge hændelser og ikke til aktiv enforcement.

Ofte nøjes man med at logge hændelser i en kort periode efter implementeringen for at sikre, at løsningen er sat korrekt op, inden man begynder at blokere trafik.

I dette tilfælde er det vores antagelse, at antivirus-løsningen ikke var blevet omkonfigureret efterfølgende, så den bremsede i realiteten ingenting. Den var kun i detect mode, da angrebet ramte. Man fik måske en alarm fra detektionen, men nåede ikke at reagere, inden malwaren havde spredt sig.

Ransomware skulle ødelægge beviser for industrispionage

I et andet hændelsesforløb var firewall-politikken ikke stram nok, hvilket resulterede i, at servere var åbne for indgående forbindelser fra internettet via Windows Remote Desktop Protokollen (RDP).

Serverne var sårbare, fordi de ikke var patchet for ældre kendte sårbarheder i RDP. Da man ikke systematisk overvågede hændelser på systemet, blev angrebet ikke opdaget, mens det stod på. Dette, kombineret med en uhensigtsmæssig password-politik, resulterede i et alvorligt angreb via organisationens servere, der blev brugt som springbræt.

Angrebet blev opdaget, da de ondsindede aktører aktiverede ransomware i kundens systemer. DIRT-teamets efterfølgende forensic-undersøgelse viste imidlertid, at der i en længere periode have været ondsindede aktører inde på netværket. Konklusionen var, at ransomware formentlig ikke var selve formålet med angrebet, men “bomben” der skulle ødelægge beviser for fx industrispionage.

Foruden selve angrebet på virksomheden, havde den meget åbne firewall-politik også medvirket til, at netværket var blevet brugt til at angribe andre virksomheder.

Microsoft patchede i august 2019 to kritiske sårbarheder (CVE-2019-1181/1182) i Remote Desktop Services. Disse to sårbarheder var meget lignende den tidligere rettede BlueKeep-sårbarhed (CVE-2019-0708). Hvis I ikke har fået patchet endnu, vil vi kraftigt anbefale, at dette prioriteres højt. Ikke-opdaterede systemer er i forhøjet risiko for at kunne blive udnyttet og fulgt op af hackeren med en ormelignende spredningsform.

Sådanne ting sker i kampens hede

I et andet hændelsesforløb var der etableret et DMZ-netværk (demilitarized zone), men der var åbnet op for direkte forbindelser til det interne netværk. Trafikken kunne passere firewallen på trods af, at netværket netop var tænkt til at være segmenteret.

Denne type fejl opstår typisk, når noget drift bare skal virke, hvorfor man får åbnet for meget op uden at stramme op på konfigurationen igen.

Altså endnu en hændelse, der var affødt af fejlkonfiguration.

Nogle organisationer har slet ikke tænkt segmentering ind i deres netværksdesign med det resultat, at når man bliver angrebet, går det meget hurtigere og meget mere galt, end det egentlig burde. Når designet ikke er baseret på best-practice inden for segmentering og netværkskonfiguration, er konsekvenserne, at angrebet bliver større, end det burde være.

Mistænkelig kontolockouts af guest-account

DIRT-teamet blev også aktiveret i en sag, der involverede mistænkelige kontolockouts fra en “guest”-account. Her vanskeliggjorde det incident response-arbejdet, at man ikke have logs og overvågning.

Det viste sig til sidst at være en fejlkonfiguration i Windows-miljøet, og sagen blev overdraget til Microsoft Support.

Når vi tager i betragtning mængden af hændelser, der bunder i fejlkonfigureringer, kan mange med fordel overveje, om de interne ressourcer bør suppleres med en ekstern sikkerhedskonsulent, der kan gennemse og rydde op i konfigurationerne over en periode.

Dubex Incident Response & Forensics Services

Tiden er afgørende, når et cyberangreb sætter din virksomhed ud af spillet. En hurtig indsats kan minimere skaderne. Dubex’ specialister rykker ud med de rette værktøjer og viden til hurtigt at identificere problemet, afværge angrebet og få din virksomhed op at køre igen i løbet af få timer

Katastrofe- og beredskabsplan

Med en katastrofe- og beredskabsplan bliver din virksomhed i stand til at reagere på alvorlige driftsforstyrrelser på en struktureret og konstruktiv måde, så nedetiden minimeres.

Threat Alert

Nye sårbarheder og trusler dukker konstant op, og det kan være tæt på umuligt at holde øje med, hvad der sker. Med Dubex Trusselsvarslingsservice overlader du den opgave til et dedikeret team, der hele tiden har fingeren på IT-trusselsbilledet