«Cyber Kill Chain»

Mange IT-angrep består av sju trinn. Det er mulig å forsvare seg mot hvert av dem

Dette forteller Vanja Svajcer, teknisk sjef hos Cisco Talos.

Vanja Svajcer er teknisk sjef i Cisco Talos.
Vanja Svajcer er teknisk sjef i Cisco Talos. (Foto: Harald Brombach)
EKSTRA

Dette forteller Vanja Svajcer, teknisk sjef hos Cisco Talos.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

HELLERUDSLETTA, SKEDSMO (digi.no): Tidligere denne måneden besøkte Vanja Svajcer Norge. Han er teknisk sjef i Cisco-eide Talos, avdelingen som primært har til oppgave å beskytte kundene av Ciscos sikkerhetsprodukter. I forkant av Svajcer foredrag under arrangementet Cisco Connect, fikk digi.no en prat med ham.

«Cyber Kill Chain»

Hovedbudskapet til Svajcer handlet om begrepet «Cyber Kill Chain», et begrep som ifølge Svajcer nok er hentet fra militæret i USA, men som også har blitt tatt i bruk i IT-sikkerhetsverdenen. 

– Tanken bak er at angriperen, for å lykkes med å påvirke en virksomhet med et organisert angrep, vanligvis må gjennom sju trinn eller faser, fortalte Svajcer.

 – Dette er nyttig som en veldig høynivå-abstraksjon for hvordan angriperen tenker. Sett fra deteksjonssiden er det nyttig å vite hva angriperen må gjennom. Da blir du også klar over på hvilke faser i angrepet du kan forhindre angrepet, fortsatte han. 

Med organisert angrep mener han angrep hvor en opportunistisk aktør utfører et angrep og hvor det er en eller annen form for kontekst som er kjent for angriperen. Dette i motsetning til de fleste angrep hvor det benyttes utpressingsvare eller kryptosnylting, som vanligvis ikke er rettet mot noen spesielle. Disse angrepene er innenfor det Svajcer kaller for «a game of big numbers».

Trinn 1: Rekognosering

– Den første fasen er at angriperen har behov for å vite mer om målet. Hvordan får vi vite mer om målet? For eksempel gjennom LinkedIn for å finne ut hvem som er de sentrale personene, ved hjelp av skanning av målets nettverkinfrastruktur for å finne ut hvilke systemer som er eksponert på internett, hva slags programvare de bruker. Det handler om å samle inn informasjon, sa Svajcer. 

– Dette kalles for rekognoseringsfasen. Fra ditt ståsted som forsvarer handler dette mest om hvilken informasjon du eksponerer på internett. Du må være temmelig nøye med at du ikke lekker for mye informasjon om hva du gjør og hva slags programvare og maskinvare du bruker, slik at angriperen får vite minst mulig om deg. 

Trinn 2: Iscenesettelse

Så snart angriperen vet nok om målet og har konteksten, er vi over i neste fase, hvor det bestemmes hvordan den innledende delen av angrepet skal utføres. Det kan for eksempel være at angriperne oppdager og bestemmer seg for å angripe en programvare med en kjent sårbarhet. Deretter blir infrastrukturen og angrepsverktøyene bygget.

Ofte benytter angripere de samme internettleverandørene i flere angrep. Dersom disse er kjente, kan man forsvare seg allerede før angrepet starter ved å blokkere IP-områder og domener som har et dårlig rykte. 

Trinn 3: Igangsettelse

I den videre beskrivelsen av de sju trinnene, brukte Svajcer skadevaregruppen SamSam som eksempel. 

– Dette er en utpressingsvare som brukes i rettede angrep. Gruppen bak har vært aktiv i de siste 3-4 årene. Det ble først kjente for å angripe helsesektoren i USA. Den ene strategien de benytter er å angripe sårbarheter i webrammeverk, inkludert JBoss, sa Svajcer.

– Den andre strategien for å få et innledende fotfeste innenfor organisasjonen som er målet, er å utnytte svake passord på Remote Desk-tjenester. Det virker som at mange selskaper benytter seg av Remote Desktop Protocol og som tillater oppkobling mot denne porten. Så det angriperne gjør, er at de tar utgangspunkt i en ordliste og forsøker å utføre et ordlisteangrep med de vanligste passordene, fortsatte han. 

Generelt kan angrep også settes i gang ved for eksempel å sende en ondsinnet epost eller et ondsinnet dokument, for å opprette den første kontakten med én eller flere brukere hos målet.

Trinn 4: Utnyttelse

Den ondsinnede nyttelasten brukes til å utnytte én eller flere sårbarheter. Disse kan for eksempel skyldes programmeringsfeil, konfigurasjonsfeil eller manglende årvåkenhet hos ansatte ved målet.

Så snart angriperne har fått fotfeste, skanner angriperne det interne nettverket. 

– Dette for å identifisere den, etter deres mening, mest verdifulle verten. Dette kan typisk være databaseservere, applikasjonsservere eller Active Directory-kontrollere. Dette er sannsynligvis også de viktigste serverne innen en virksomhet. 

Trinn 5: Installasjon

– Angriperne vil deretter forsøke å sette i gang noen verktøy som kan stjele passord på det første systemet de har greid å infisere, i håp om at administratorpassordet vil bli avslørt og er det samme også på de andre systemene. Er det gjenbrukt, har de tilgang og spillet er slutt, sa Svajcer. 

Det er i denne fasen utpressingsvaren i SamSam-kampanjen blir kjørt. Svajcer mener gruppen til nå ha vært veldig suksessfulle og er i stand til å utnytte nye sårbarheter etter hvert som de dukker opp. 

– De lærer seg konteksten og benytter seg av muligheten til å utnytte informasjonen de får tilgang til. Dette er blant de mer seriøse aktørene der ute, sa Svajcer.

Trinn 6: Kommunikasjon

– Så snart skadevaren er installert på flere systemer, må angriperen på en eller annen måte kommunisere tilbake til angriperen, noe som – igjen hentet fra militæret – kalles for kommando- og kontroll-tjenester, fortsatte Svajcer. 

Trinn 7: Opprettholdelse

Mens for eksempel utpressingspressingsvare ofte settes i gang så snart angriperen har tilgang til mange nok systemer, er det i andre tilfeller viktig for angriperen å kunne opprettholde tilgangen over lang tid. 

– Angriperne ønsker å være til stede i virksomheten din så lenge som mulig, for eksempel for å stjele informasjon eller gjøre skade, sa Svajcer. 

Mottiltak

– Som forsvarer kan du se på de sju trinnene og tenke over hvilke systemer som potensielt kan være berørt av hvert av disse trinnene, samt hvilke sikkerhetstiltak du kan sette inn for hvert av disse, sa Svajcer. 

– I virkeligheten er du bare bekymret over at det siste trinnet ikke skal skje. Det er dette som er det viktigste, men ved hvert av disse trinnene, dersom du er i stand til å avbryte angrepet, er det du som seirer. Derfor bør du ha en beskyttelsesmekanisme som har noe som adresserer hvert av disse trinnene, mener Svajcer. 

Stopper milliarder

Cisco oppgir i visse sammenhenger at selskapets IT-sikkerhetstjenester stopper 19,7 milliarder potensielle angrep og trusler mot kundene hver dag. Dette inkluderer alt fra besøk på upålitelige nettsteder, falske DNS-kall og svært mye epost. Ifølge Svajcer er Cisco i ferd med å gå vekk fra å bruke dette tallet, siden det bare er et stort tall som egentlig ikke forteller så mye.

Les også

Talos, som har rundt 300 ansatte fordelt på flere steder i verden, kommer ifølge Svajcer i berøring av i gjennomsnitt 1,5 millioner nye, ondsinnede filer hver dag. Det aller meste av dette behandles av automatiserte systemer, men enkelte må tas hånd om manuelt. 

– Filen tas med inn i et kontrollert miljø og testes. Dette tar minst 30 minutter å gjøre manuelt. Denne andelen er heldigvis lav. Ellers ville vi måttet ha 100 tusenvis av ansatte. Slik er det nok for alle sikkerhetsselskapene. Mangelen på IT-sikkerhetspersonell gjør at stadig flere har begynt å tilby SOC-er (Security Operation Center) som en tjeneste, slik at du ikke behøver å ansette noen sikkerhetsfolk selv. Det er bare de store og rike selskapene som har råd til å ha sitt eget SOC, sa Svajcer.

Bedre programvare …

På spørsmål om i hvilken retning den generelle sårbarhetssituasjonen beveger seg, sa Svajcer at programvare generelt har blitt mye bedre når det gjelder sikkerhet og sårbarheter, enn det som var tidligere.

Han nevner blant annet Conficker som et eksempel på at det var mye verre angrep før enn det som er tilfellet nå. En annen forskjell er kanskje at skadevare og IT-angrep nå får mer plass i allmennpressen enn det som var tilfellet da ormen Conficker begynte sine herjinger for drøyt ti år siden.

– Det er færre sårbarheter som kan utnyttes av ormer, altså selvspredende skadevare, fortalte han. 

Heldigvis flytter folk over til Windows 10.

Vanja Svajcer

Noen unntak finnes det selvfølgelig, inkludert den relativt nye BlueKeep-sårbarheten i eldre Windows-utgaver, som kan utnyttes av ormer, men hvor det så langt ikke har kommet noen slik orm.

– Alle sikkerhetsleverandørene har fortet seg med å beskytte seg mot BlueKeep. Men vi holder pusten, sa Svajcer.

– Heldigvis flytter folk over til Windows 10, som ikke er berørt. 

Han la likevel til at han er sikker på at alle virksomheter med flinke sikkerhetsfolk tilgjengelig, har installert sikkerhetsoppdateringene.

På spørsmål om BlueKeep kan legge til rette for en ny WannaCry-episode, svarte Svajcer at det nok var flere maskiner som kunne påvirkes av WannaCry. 

– Utnyttelse av BlueKeep innebærer en uvanlig bruk av Remote Desktop-protokollen, noe som kan oppdages av sikkerhetsverktøy, sa han. 

… og flere sårbarheter

Svajcer mener det ikke er noen motsetning mellom det at programvare blir stadig bedre, og nylige rapporter om at det stadig oppdages flere sårbarheter. 

Les også

– Dette kan skyldes for eksempel mer IoT, hvor funksjonalitet fortsatt ofte prioriteres foran sikkerhet. Men de fleste blir flinkere. Tallene kan også ha sammenheng med hvordan avslørte sårbarheter telles. De endret hvordan CVE-ene (Common Vulnerabilities and Exposures, journ. anm.) ble nummerert for ett eller to år siden, sa Svajcer.

Kommentarer (1)

Kommentarer (1)
Til toppen