Slik kunne «VG-testen» stoppet Solarwinds-angrepene

Fellesnevneren mellom Østre Toten kommune og Solarwinds-hendelsene ligger i noe som er enkelt å adressere.

Slik kunne «VG-testen» stoppet Solarwinds-angrepene
Gøran Tømte er CSO i Data Equipment og forkjemper for Zero Trust-tankegang. Foto: Thomas B Eckhoff

Hva hadde VG med Solarwinds-hendelsen å gjøre? Naturligvis ingenting. Så hva skal jeg frem til? Du må gjøre VG-testen. Jeg kommer tilbake til den lenger ned.

Hva skjedde?

Flere store foretak med Solarwinds ble målrettet angrepet i 2020. Angrepene var ikke skadelige fra et operasjonelt ståsted, da ting ikke ble tatt ned, men var innbrudd for å komme inn i sensitive og kritiske systemer for å hente ut informasjon, så lenge som mulig, naturligvis helst uten å bli oppdaget.

Innbruddet ble oppdaget av Fireeye i desember 2020, 9 måneder etter distribusjonen av skadelig kode startet.

Denne rapporten fra Mandiant forklarer i detalj hvordan angrepet foregikk, og ble en motivator for meg til å skrive dette innlegget:

Les også

Var det umulig å forhindre dette?

Så klart ikke. Det var flere som hadde Solarwinds Orion som ikke ble rammet. Én ting er at mange ikke var et mål for de krminelle, og derfor ikke ble rammet. Andre hadde tiltak som stoppet forsøkene før de ble skadelige. Les et par eksempler her og her.

Hva måtte til for at de kriminelle skulle gjøre suksess?

Første del av angrepet, eller innbruddet, gikk under radaren hos de aller fleste ved at de lastet ned en oppdatering av programvaren som inneholdt kode som skulle slippe de kriminelle inn. Deretter gjorde denne koden mange forsiktige avsjekker, som gikk under radaren for mange, for å sjekke om alt var klart for neste steg i innbruddet. Om alt var OK, fortsatte teknikkene for å komme videre. Et av stegene var å åpne en bakdør.

Hva er Command & Control, C2, Phone home, bakdør?

Er dette noe du trenger å tenke på? Ja, det er det.

Dette er en kommunikasjonskanal de kriminelle benytter for å gjøre store operasjoner, via ikke typisk overvåkede forbindelser. Det er derfor viktig å være klar over denne vektoren, og innføre tiltak som reduserer sannsynligheten for at denne kan misbrukes. Dette er essensen i denne artikkelen

Kan du surfe på VG fra serveren din, er sikkerheten for dårlig

Hva menes med dette? Er VG farlig? Neppe. Men. Kan du surfe på VG fra domenekontrollerne dine, backupserverne dine, Solarwinds Orion  eller tilsvarende servere, kan du mest sannsynlig også kommunisere ut til de kriminelles nettverk. Dette er de veldig ofte avhengig av for å lykkes i et alvorlig angrep. De kriminelle er avhengig av en liberal policy i nettverket ditt for å ha suksess med slike angrep.

Suksessfulle hendelser skjer i tillatt trafikk. Redusér angrepsflaten

Du må ta kontroll på hva dine servere kan gjøre mot internett. Tillat kun det som er nødvendig for produksjon.

RDP misbrukes veldig ofte internt

Får du opp RDP innloggingsbilde på dine servere fra kontoret? Fra hjemmekontor/VPN? Fra en server mot en annen server? Er dette nødvendig for produksjonen?

Har du MFA som tilgangskontrollkrav i forbindelse med RDP på alle dine servere? Om ikke, hvorfor har du valgt å ikke gjøre det? Er det basert på en risikovurdering?

Hva er felles for Solarwinds Orion og Østre Toten kommune hendelsene?

Phone home. Command and Control. Bakdør. De kriminelle trengte en forbindelse tilbake til seg selv for å gjøre suksess. Dette er et element i en kjede av hendelser de kriminelle må gjennomføre for å nå sitt mål.

Detaljer om de forskjellige angrepene er beskrevet i Mandiant-artikkelen og The Defir Report.

Lockheed Martin sin «The Cyber Kill Chain» viser de forskjellige stegene de kriminelle ofte må gjennomføre for å oppnå suksess. Lockheed Martin illustrerer dette i en animasjonsfilm på sine websider. Som nevnt over, var #6, Command & Control (C2) sentralt i begge eksemplene. Brytes denne kjeden, stoppes også angrepet.

Les også

Zero Trust. Never trust, always verify.

Å anta er farlig. Å anta at serverne ikke kan kommunisere mot internett er skummelt. Verifiser det. Gjør VG-testen. Som oftest er dette dessverre mulig.

Teknologi er en skummel «fiende». Å legge tilliten til at teknologien redder oss, bevises som uheldig stadig vekk. Alle har teknologi. Mange har fantastisk teknologi. Uten god og riktig oppmerksomhet, blir det fort falsk trygghet.

Det er vi mennesker som avgjør utfallet. Det er vi mennesker som risikovurderer. Det er vi mennesker som finner tiltak. Det er vi mennesker som bestemmer policy. Det er vi mennesker som konfigurerer policy. Det er vi mennesker som vedlikeholder policy. Det er vi mennesker som MÅ gjøre forskjellen. Teknologi vil hjelpe til, men først etter at vi mennesker har gjort vår jobb på whiteboards.

Redusér angrepsflaten

Suksessfulle hendelser skjer i tillatt trafikk. Lag en internettregel per server, og definér hva hver enkelt har lov til etter risikovurdering. En regel for din domenekontroller, eller domenekontrollere. En regel for dine backupservere. En regel for SolarWinds Orion, eller tilsvarende server, og så videre.

Bruk source IP. Destination IP om mulig. Type applikasjon. Spesifikk URL om dette er involvert. Inspisér all tillatt trafikk for å kunne stoppe kjente hendelser. SSL dekryptér den for full kontroll. Logg alt. Alarmér ved mistenkelig adferd. Følg med. Integrer sikkerhetsløsninger i alarmsystemer. Integrer dem i sakshåndteringssystemer, slik at kritiske alarmer oppretter en sak i systemer for oppmerksomhet, og sørg for dokumentasjon slik at noen kan ta tak i det.

Dette er en del av standardanbefalingene inkludert i NSM sine Grunnprinsipper for IKT-sikkerhet.  Med disse tiltakene ville hendelsene i både Østre Toten kommune og Solarwinds Orion-hendelsen vært avverget

Hva med skyen? Hva hvis jeg har tjenesteutsatt drift av mine servere?

Akkurat det samme gjelder. Kan du surfe på VG fra de mest kritiske serverne dine?  Da er du vidåpen for angrep.

Denne artikkelen ble skrevet før Log4J sårbarheten CVE-2021-44228 ble kjent.
Les også

;