Mange dataangrep mot virksomheter lykkes. Når angrepet først blir oppdaget, er det vesentlig at virksomheten allerede er forberedt på at et angrep kan skje, slik at skaden kan minimaliseres. Dette fortalte sikkerhetseksperten Christoph Fischer under ISFs høstkonferanse denne uken. (Foto: IMAGO/ All Over Press)

– Det tar uker å bli kvitt dataspioner

Men det hjelper mye å være forberedt på angrep, forteller tysk sikkerhetsekspert.

STRÖMSTAD (digi.no): Alle som lagrer digital informasjon som kan være verdifull for andre, må regne med at uvedkommende vil forsøke å få tak i den. Slik digital spionasje, eller Advanced Persistent Threats (APT) som det også ofte kalles, rammer stadig flere virksomheter. Senest i forrige uke meldte Nasjonal sikkerhetsmyndighet om det største angrepet etaten har sett i Norge til nå. Det dreide seg om et spearphishing-angrep rettet mot selskaper i olje- og energibransjen. Blant de angrepne var Statoil, som ifølge DN ble angrepet over tre dager.

Forsøk på angrep er nå én ting. Hva når skaden først har skjedd?

Christoph Fischer leder det tyske selskapet BFK edv-consulting GmbH, som blant annet tilbyr bedrifter hjelp med etterforskning og gjenoppretting etter APT-episoder. Selskapet har vært involvert i 27 saker knyttet til ATP-angrep, hvorav ni har vært ledet av selskapet.

I et foredrag under høstkonferansen til Norsk informasjonssikkerhetsforum (ISF) denne uken, fortalte Fischer om noen av selskapets erfaringer på dette området. Han hadde i grunnen lite trøst å komme med.

Christoph Fischer har jobbet med IT-sikkerhet siden 1985. I 1987 etablerte han  MicroBIT Virus Center ved Universitetet i Karlsruhe, som var det Tysklands første CERT. I 1990 grunnla han BFK edv-consulting GmbH, som han fortsatt leder.
Christoph Fischer har jobbet med IT-sikkerhet siden 1985. I 1987 etablerte han MicroBIT Virus Center ved Universitetet i Karlsruhe, som var det Tysklands første CERT. I 1990 grunnla han BFK edv-consulting GmbH, som han fortsatt leder. Bilde: Harald Brombach

Lang tid

Som også andre har understreket, tar det ofte lang lang tid før angrepene oppdages. Ifølge Fischer har det i gjennomsnitt tatt mellom 300 og 500 dager før spionasjeangrepene på bedriftene har blitt oppdaget, men det finnes også tilfeller hvor det har gått 700 til 800 dager. I bare sju av de 27 sakene BFK har vært involvert i, har kundene selv oppdaget spionasjen. I de andre tilfellene har dette blitt gjort av tredjeparter.

Fischer fortalte at det ofte krever to til tre forsøk på å rense opp. Dels fordi angriperne ikke gir seg så lett, men i en del av sakene til BFK har ikke kundene med en gang vært villige til å betale det for som må til å løse problemene. De har dog innsett dette etter hvert.

Fischer fortalte om to av tilfellene.

Det ene var et selskap i bilindustrien til Tyskland. Selskapet oppdaget angrepet selv, ved at det ble varslet av selskapets antivirus-system, som fant mistenkelige filer på domenekontrolleren i det interne nettverket. Ifølge Fischer er det svært vanlig at angripere går etter Active Directory og på ulike måter tilgang til administratorkontoer for mange eller samtlige maskiner i det lokale nettverket. I dette tilfellet opprettet angriperne også en VPN-forbindelse som gikk via et annet sted i Tyskland og deretter ut av landet. Via denne forbindelsen ble det antagelig kopiert 400 til 500 gigabyte med forskning- og utviklingsdata. Fordi angriperne etter det initielle angrepet kun brukte interne Windows-verktøy og en VPN-forbindelse som tilsynelatende bare var i bruk av en ekstra ivrig ansatt i, var angrepet vanskelig å oppdage.

Ifølge Fischer etterlot angriperne spor som pekte mot Kina, noe han mener kan bety at oppfinnelser bilselskapet har gjort, kan dukke opp i kinesiske biler i ettertid.

– Men ikke alt som ser kinesisk ut, er kinesisk. Mye er trolig andre som seiler med falsk flagg, understreket han.

Fem år

Det andre tilfellet Fischer fortalte om, dreide seg om en stor forskningsinstitusjon. Angrepet ble oppdaget av en ekstern aktør, men institusjonen trodde først ikke at rapporten kunne stemme. Først etter noen måneder innså den at noe var i gjære. Problemet skal ha vært knyttet til en ekstern outsourcing-leverandør. Fordi institusjonen har mange avdelinger og laboratorier på mange ulike steder, regner man med at det vil ta fem år før det hele er ryddet opp i, fortalte Fischer, noe som han betegner som en katastrofe for forskningsinstitusjonen.

Vanligvis tar det riktignok ikke så lang tid. Men før selve rensingen kan skje, må man få oversikt.

– Det tar minst to-tre uker, ofte betydelig lenger, å samle informasjon om hvordan angriperne jobber. Deretter er det tid for utkastelsen, som typisk tar en uke, fortalte Fischer. Han la til at når man har funnet ut hvor angriperne holder til, kan det være smart å legge utkastelsen til en dag eller en periode hvor de sannsynligvis har fri – for eksempel lokale helligdager. Da vil det tar lenger tid før de oppdager at de blir motarbeidet.

Før utkastelsen må den berørte virksomhet lage en prioritert liste over alt som må fikses. Denne må også inkludere alt som burde har blitt fikset tidligere, blant annet det som kan ha åpnet for angrepet.

– Kundene må gjøre opprenskningen selv, slik at de lærer av det. For det er dem som skal vedlikeholde systemene i framtiden.

Tiltak

Ifølge Fischer er det mye som kan gjøres av bedrifter for å forhindre angrep, oppdage angrep tidligere, samt redusere skadeomfanget og tiden det tar å rydde opp.

– Man kan bruke de tiltakene man allerede iverksatt har på bedre måter. For eksempel må man sørge for at systemene vedlikeholdes, sa Fischer. Han trakk spesielt fram IDS (Intrusion Detection System), som i han mener at i mange tilfeller bare er installert for at noen skal kunne si at det er på plass, men som ofte bare er sløsing av energi fordi det ikke brukes riktig.

Andre komponenter må beskyttes bedre.

– Domenekontrolleren skal aldri brukes i direkte kontakt med internett, sa Fischer og la på spøk til at de som bruker den til å besøke eksterne nettsteder, bør skytes.

Fischer sa at det er en rekke områder hvor det vil være en fordel at virksomhetene er forberedt på et angrep. Dette inkluderer juridiske spørsmål, som personvern og avtaler om hemmelighold, og tekniske tiltak som logging av porter og aggregering av logger.

Dessuten må man ha det organisatoriske klart for seg, med klare roller og med en plan for hvem som har ansvar for hva. I tillegg må logistikken være forberedt. Dette inkluderer reservesystemer og tilgang til egnede lokaler hvor etterforskningsarbeidet kan foregå døgnet rundt.

– Dessuten inntreffer problemene ofte i ferier og på helligdager, når folk har reist bort, sa Fischer.

– Tiden har betydning. Vit hvem som kan fikse ulike ting, sa han, og sammenlignet det med å kunne telefonnummeret til brannvesenet.

Tre land

Under foredraget trakk Fischer først og fremst fram Kina, Russland og Iran som landene som står bak mange av angrepene, selv om angrep også kan stamme fra andre land.

De kinesiske angrepene er ifølge Fischer ofte velorganiserte og utført av eller tolerert av myndighetene. De er rettet mot en rekke områder – som finans, myndigheter og industri, både i forbindelse med industrispionasje og i jakten på politiske dissidenter.

Om de russiske angrepene, sa Fischer at disse ofte holder høyere kvalitet enn de kinesiske, og at de vanligvis har forbindelser til etterretningsorganisasjoner. Angrepene er ofte rettet mot forsvar, energi, IT og forskning.

De iranske angrepene er derimot ikke så gode, ifølge Fischer. Informasjon om kjernekraft er blant målene for disse angrepene.

På spørsmål fra salen om eventuelle amerikanske angrep, sa Fischer at det har vært tilfeller hvor man har hatt mistanke om at andre enn de nevnte landene har vært involvert. Men i disse tilfellene har alle konkrete spor blitt fjernet før etterforskningen har startet.

– Britene er minst like ille som NSA, men de slipper ofte unna fordi navnet deres [GCHQ, journ. anm.] er mye vanskeligere å uttale, avsluttet Fischer.

    Les også:

Til toppen