Varslingssystem for digital infrastruktur (VDI)

Vil avmystifisere Norges overvåking av trafikk på internett

Systemet med røtter fra 1990-tallet rustes opp for en halv milliard. Nå forteller NSM hva pengene faktisk går til.

Bente Hoff er avdelingsdirektør med ansvar for Nasjonalt cybersikkerhetssenter i NSM.
Bente Hoff er avdelingsdirektør med ansvar for Nasjonalt cybersikkerhetssenter i NSM. (Foto: Marius Jørgenrud)

Systemet med røtter fra 1990-tallet rustes opp for en halv milliard. Nå forteller NSM hva pengene faktisk går til.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 235,- i måneden.
Bli Ekstra-abonnent »

I desember 2000 kunne digi.no avsløre at etterretningstjenestene og Forsvaret i all hemmelighet hadde satt opp et system for overvåkning av trafikk på internett i samarbeid med et utvalg norske bedrifter.

«Varslingssystem for digital infrastruktur» (VDI) var etablert uten Stortingets kjennskap. Få timer senere, samme dag, kom justisdepartementet med en formell bekreftelse av dets eksistens.

Etter en tid ble prøveprosjektet gjort permanent. Kort fortalt er tiltaket en «digital innbruddsalarm» for å beskytte kritisk infrastruktur.

VDI har installert overvåkingsutstyr i et ukjent antall virksomheters datarom, særlig utenfor brannmuren. Sensorene registrerer forsøk på angrep og sender automatisk beskjed til en sentral, som i dag ligger hos det nyåpnede Nasjonalt cybersikkerhetssenter (NCSC) i Oslo havnelager.

Når alarmen går, varsler operatørene der om uønskede cyberhendelser mot norske interesser. Det inkluderer sabotasje, målrettede og koordinerte angrep utført av kriminelle eller statlige og såkalte statssponsede hackere.

I alle år har det ligget et hemmelighetens slør over VDI. Men nå vil Nasjonal sikkerhetsmyndighet (NSM) bidra til å avmystifisere løsningen.

Det skjer samtidig som det nasjonale sensornettverket, som bare kan oppdage og varsle om (ikke stanse) cyberangrep, rustes opp for store beløp.

– Vi kan si en god del, men så kommer det til noen punkter der vi ikke kan si mer. Det handler blant annet om kapasiteter, sier NSMs avdelingsdirektør ved Nasjonalt cybersikkerhetssenter Bente Hoff.

Har røtter til 1997

Lasse Rosenvinge er seksjonssjef avdeling for deteksjon i Nasjonal sikkerhetsmyndighet (NSM).
Lasse Rosenvinge er seksjonssjef i NSM. Foto: Marius Jørgenrud

Sensornettverket er eldre enn det som tidligere har vært rapportert.

– Prosjektet har røtter helt tilbake til 1997. Egentlig har VDI 20-årsjubileum. Det ble operativt i slutten av 1999. Året etter hadde vi åtte deltakere eller kunder. Halvparten private og halvparten statlige virksomheter. 

Det forteller seksjonssjef Lasse Rosenvinge i Nasjonal sikkerhetsmyndighet (NSM), seksjon for deteksjon. Han virker stolt når han legger til at syv av de åtte opprinnelige deltakerne fortsatt er med i ordningen.

Internasjonalt kan Norge høste anerkjennelse for å ha vært svært tidlig ute med alarmsystem mot alvorlig hacking, samt at vi er pionerer på samarbeidsmodellen.

– Vi var det første landet i verden med et slikt privat-offentlig samarbeid. Selv i dag er det ikke mange som har det, fastslår Rosenvinge.

Kopi av trafikken

Listen over hvem eller det nøyaktige antall virksomheter som får inn- og utgående datatrafikk overvåket med VDI, har aldri vært røpet. Det er kontraktfestet at hvert enkelt medlem selv må avgjøre om de vil fortelle det. Overfor Dagens Næringsliv har NSM imidlertid sagt at antallet deltakere nå er tresifret.

Forsvaret og andre viktige samfunnsfunksjoner, for eksempel departementene er selvskrevne kandidater. NRK, Equinor, Telenor og Hydro har tidligere vært åpne om sin deltakelse.

Sensorene står utenfor brannmuren mot det åpne internettet. Faksimile: NSM

Det hele er basert på frivillighet, men etter ny sikkerhetslov av 2019, så har NSM også hjemmel til å pålegge norske virksomheter som er underlagt sikkerhetsloven.

– Grunnleggende nasjonale funksjoner er et begrep i den nye sikkerhetsloven, men det er kritikaliteten vi går på. Mange sivile aktører har også kritiske funksjoner. VDI er viktig for å se helheten, ikke bare et fragmentert bilde, sier Rosenvinge. 

Han bekrefter at de overvåker all internettrafikk ut og inn av virksomhetene. Som et minimum er sensor plassert utenfor brannmur.

– Vi får en kopi av trafikken. Så vi kan ikke stoppe eller forhindre angrep, vi kan kun varsle. Det er viktig å presisere at vi er til stede på virksomhetenes premisser. 

Enkelte kan ha et ønske om at VDI i tillegg skal overvåke det som går over en DMZ-sone, og da er sensor også plassert internt i nettverket, forklarer han.

80 prosent kryptert

75-80 prosent av all trafikk på internett går i dag kryptert. Det fremgår her fra NCSC sitt eget dashboard.
75-80 prosent av all trafikk på internett går i dag kryptert. Det fremgår her fra NCSC sitt eget dashboard. Foto: Marius Jørgenrud

For syv år siden tok Rosenvinge ut en rapport, som viste at 20 prosent av all internettrafikk til en virksomhet var kryptert. Mesteparten av kommunikasjonen gikk således i klartekst.

I dag er bildet stikk motsatt. Det er viktig for å forstå utviklingen. Utbredt bruk av kryptert samband, inkludert webtrafikk over HTTPS, er den nye hverdagen.

– Cirka 80 prosent av trafikken er kryptert nå. Det samme bildet kan du se i transparency-rapportene til Google, Mozilla med flere, forteller deteksjonssjefen.

Sensitiv informasjon, som innhold i e-post og meldinger er i de fleste tilfeller kryptert, men det er heller ikke det VDI jakter etter. Slik informasjon er overskuddsmateriale som blir slettet, bedyrer Rosenvinge.

Metadata som IP-adressene til avsender og mottaker, domenenavn, tidspunkt for kommunikasjon, hvilken rute kommunikasjonen tar, er desto mer interessant. Det er også binære filer og sikkerhetssertifikater.

Dyp pakkeinspeksjon

Da er vi over på bruk av såkalt dyp pakkeinspeksjon, som VDI benytter seg av. Det er en type dataprosessering som i detalj inspiserer data sendt over et nettverk.

Lasse Rosenvinge knytter pakkeinspeksjonen til IDS-data, eller data for bruk i IDS-løsninger (intrusion detection system) og sier at dette er signaturbasert.

– Vi skriver signaturer for noe vi spesifikt jakter etter, og som da utløser alarmerte data. Trafikken går ikke via vårt datasenter, men via sensoren som inspiserer. Det blir som en antivirussignatur. Når systemet fanger opp et binært mønster så alarmeres det, sier han.

NCSC skriver egne signaturer for mønstergjenkjennelse i datastrømmene, for eksempel for å fange opp konkrete tilfeller av ondsinnet programvare. De henter også inn eksterne signaturer fra åpne kilder.

– Men det er vi som deployerer signaturene. Det skjer ikke med automatikk. Alle signaturene går gjennom noe du kan kalle en ansvarlig redaktør. Slik tas beslutninger om hvorvidt signaturene er innenfor vårt mandat og det vi skal se etter, fastholder seksjonssjefen.

Manuell behandling

På samme måte blir også alle alarmer håndtert manuelt av mennesker. Det er ingen maskinell behandling.

– Vi har ikke kapasitet til, og det er ikke i vårt mandat, å stoppe all generisk skadevare. Det skal egentlig stoppes i en brannmurløsning, klientsikkerhet som antivirus og diverse. Vi skal ikke gå næringa i tæringa. Vårt mandat er å stoppe de avanserte aktørene og der vil ikke en kommersiell løsning være like bra, for vi kartlegger aktørene og så lager vi signaturer utifra deres verktøybruk og operasjonsmetode. Derfor skriver vi signaturene manuelt, sier han.

Kartlegging av trusselaktører er kjent også fra de kommersielle sikkerhetsselskapene, som gjerne har egne navn på de ulike grupperingene de følger. 

APT er en forkortelse for Advanced Persistent Threat, altså en vedvarende avansert trussel, som brukes om slike. APT29 er for eksempel en aktør som knyttes til russisk etterretning. Avhengig av hvilket miljø du spør, så blir APT29 kalt også Cozy Bear, Cozy Duke eller Office Monkeys.

Det finnes utallige slike mystiske trusselaktører, som står bak cyberangrep og innbrudd mot datasystemer verden over. I et forsøk på å spore dem blir aktørene tildelt kallenavn, gjerne hentet fra dyreriket med bjørn som russisk og panda som kinesisk opphav. 

Slike aktørgrupper blir kartlagt på bakgrunn av modus operandi, som bruk av verktøy, arbeidstid, tidssone og kanskje språk eller tegnsettet som inngår i skriftlige kommentarer. Det er notorisk vanskelig å slå fast med høy sannsynlighet hvem som står bak cyberangrep, men en mengde sikkerhetsmiljøer forsøker nettopp på det.

– Enkilde-informasjon holder ikke som bevis. Vi baserer oss på at det er en trusselgrupperings signatur vi ser. Men vi kan ikke attribuere om det stammer fra land A, B eller C. Det er etterretningstjenesten sitt mandat, sier Rosenvinge i NSM.

NCSC og VDI-nettverket kan se mønstre og kjenne igjen identifikatorer som knyttes til kjente grupperinger, men de kan ikke dra konklusjonen om hvem som egentlig står bak.

– Det krever flere kilder, som støtter opp under den første vurderingen. Og som forsterker det, sier Bente Hoff.

Ruster opp for halv milliard

VDI har over tid blitt fornyet. De første årene var løsningen imidlertid i stor grad basert på kommersiell hyllevare og maskinvare eller bokser fra Cisco. 

– Rundt 2011-2012 fant vi ut at det skalerte for dårlig. Da tok vi en beslutning om å gå over til åpen kildekode. VDI er basert på teknologi som er helt tilgjengelig for alle, og som kan lastes ned blant annet fra Github, forteller Rosenvinge.

Han snakker da om de programvarebaserte sensorene eller nodene i VDI-nettverket. De som typisk er plassert i deltakende virksomheters datarom, utenfor brannmuren.

– Bildet er et standardoppsett, men det hindrer oss ikke fra å ha sensorer også inne i et system, bak brannmuren. Det kan også skje i samarbeid med virksomhetene. For de som er underlagt sikkerhetsloven har NSM også myndighet til å gå inn selv.

De er likevel helt avhengig av å ha en god dialog med deltakerne i nettverket. Alle alarmer blir håndtert i samarbeid med virksomhetene, utdyper Rosenvinge.

I fjor besluttet regjeringen å gi en halv milliard kroner i ekstrabevilgning til NSM for å modernisere og gjennomføre en betydelig utvidelse av VDI. Hva går disse pengene egentlig til?

Tapet av en sans

Analysedelen til høyre i skissen utgjør det vesentligste av kjempeinvesteringen som skal gi i et mer moderne VDI. Faksimile: NSM

At mesteparten av kommunikasjonen de kikker på i dag går kryptert, innebærer at de må kompensere for tapet av en sans, kan man si. Derfor må man investere betydelig på analysekapasitet, forklarer Lasse Rosenvinge.

Han kan ikke gå nærmere inn på antall mennesker som jobber med dataanalyse, men vedgår at de er blitt mange flere enn før.

Det koster naturligvis. Maskinvaren er heller ikke billig, men det er likevel noe annet NCSC peker på, som kanskje er mer kostnadsdrivende. De økte investeringene går mest til materiell, og i mindre grad til flere lønninger.

– Når du ser dette med analysesenter, så ikke tenk så mye mennesker. Tenk kilder til analyse, sier Bente Hoff.

Rosenvinge utdyper at hver kommersiell trusselrapport de kjøper inn, kan ha en prislapp på mellom 500.000 til 2,5 millioner kroner i året for et abonnement.

– Det sier noe om hvor kostnadene kan ligge. Det å hente inn massive logger fra skytjenester for virksomheter, gjør også at du må skalere opp ganske mye i maskinvare som koster flere titalls millioner kroner. Vi har ganske stort datamottak. Men igjen, det er egentlig analysekapasiteten som står for mesteparten av investeringene, sier han.

Fjorårets halve milliard er dessuten bare en investering for å komme i gang. Videre må en også ha driftsmidler i etterkant.

– Det å videreutvikle VDI eller alarmsystemet, det er noe man vil måtte fortsette med. Verden rundt og trusselbildet forandrer seg. Det gjør også metodene og teknologien. Da må man videreutvikle og modernisere kontinuerlig, sier Bente Hoff.

Hva med selve produktutviklingen? Sensorene er og vil fortsatt være basert på åpen kildekode. Er det endringer der?

– Det skjer kontinuerlig. Det er ingen statisk leveranse. Du får en versjon og så vil vi patche og fornye hele tiden. Og det er grunnen til at vi gikk inn i egen utvikling for å ha friheten og muligheten til å "re-toole" oss selv fortløpende, fremfor å være bundet i et leveranseløp fra en leverandør. Vi har behov for å legge inn en kapasitet mye fortere enn en kommersiell leverandør vil kunne levere, sier Rosenvinge.

En sensor kan være fysisk, det kan være standard hyllevare fra HP eller Dell. Det er ingenting spesielt med dette. Det eneste vi krever er litt CPU-kraft, minne og naturligvis kapasitet på disk, utdyper han.

– Vi har tidligere fått høre at sensorene kjører som en virtuell instans på Vmware?

– Nja. Det spiller ingen rolle om det er hardware eller virtuelt. Mesteparten av serverne er egentlig dedikert til sensor. Men skal vi for eksempel inn i skytjenester, så må vi bruke den virtualiseringsteknologien som skytjenesten bruker. Så vi er ikke så opptatt av hvilken virtualiserings-hypervisor. Vi kjører på alle hypervisorer.

– Nå har vi fått kommersielle datasentre i såkalt hyperskala også på norsk jord. Er det aktuelt å lage egne skytjenester der for dere? Er det noe dere vurderer?

– Det er ikke vi som lager det i hvert fall. Vet at det er store diskusjoner både i sivil og militær sektor. Forsvaret er jo i en dialog nå for å finne ut hvor de skal legge sine data. Vi bare rådgir hva sikkerheten skal ligge på, svarer Rosenvinge.

Det er ifølge ham sammenstillingen av flere ulike informasjonskilder som utgjør selve moderniseringen av VDI.

– For eksempel at du får en domenegenererende algoritme som slår til med en skadevare som kommuniserer ut. Hvilken type trafikk kan vi se i tillegg? Hvilket AS-nummer eller eier av den nettverksinfrastrukturen er involvert? Noen trusselrapporter forteller mer om den infrastrukturen. La oss si at vi ser en rar IP-trafikk som går dit, som at det er første gang noen i verden besøker en gitt adresse og bare du har trafikk dit. Har den IP-adressen noen historie med tidligere misbruk? 

AS-nummer er for øvrig et tildelt nummer, som sier noe om hvor man befinner seg på internett. Forkortelsen er for autonomt system, og innebærer at det dreier seg om infrastruktur hos en internettleverandør eller tilknyttet virksomhet som har sin egen rutingpolicy.

Lagrer data lenge

Det han omtaler som «flow-data» eller datastrømmene de kartlegger, inn og ut av VDI-deltakernes datarom, blir lagret over tid. Hvor lenge dataene bevares vil han ikke røpe, men det er mer enn ett år.

– Flow-data lagres i X antall tid bakover. EOS-utvalget foretar hvert år inspeksjon av at vi er innenfor vårt mandat og avtalene vi har med virksomhetene, påpeker Rosenvinge.

– Det er ikke snakk om ubegrenset lagring?

– Nei, det blir slettet etter en viss tid. Men det er over ett år, kan jeg si. Lengre enn det også. 

Det nasjonale cybersikkerhetssenteret har også ansvar som Norges nasjonale CERT, kort for Computer Emergency Response Team. NorCERT var tidligere egen avdeling, men regnes nå som en funksjon i NCSC.

Her inngår et utstrakt samarbeid med andre lands tilsvarende funksjoner, samt andre sikkerhetsmiljøer. Rosenvinge drar fram et eksempel for å vise hvor viktig det er med historiske data fra VDI-sensorene, som gjør det mulig å søke tilbake i tid.

– La oss si et land i Europa i en etterforskning deler indikatorer med digitale spor fra 7. oktober, som viser at det var en kommunikasjon mellom Norge og en klient i utlandet. Da får vi for eksempel IP-adresse og tidspunktet. Kanskje har de attribuert den kommunikasjonen til APT X eller Y.

Ved å søke i databasene kan NSCS da finne igjen den samme trafikken, inkludert om trafikken kom fra virksomheten, eller ble sendt inn.

– Hvis trafikken går fra virksomheten, så er vi ganske sikre på at det er en kompromittering (virksomheten er hacket, red.anm.). Mange av sakene våre starter på den måten, sier Rosenvinge.

Slike tips kan komme fra et myndighetsapparat, men også private sikkerhetsselskaper eller andre CERT-miljøer.

Digital patologi

Historiske søk kan betraktes som en slags digital patologisk undersøkelse av typen «hva døde pasienten av. Hvilke sykdommer hadde pasienten i fjor», sier Rosenvinge.

– VDI-sensorene er bare én av flere informasjonskilder vi bruker, presiserer Bente Hoff. 

I tillegg kommer IDS (intrusion detection system) som virker i nåtid. Da kommer du mer inn på det akutte bildet. Der man kan stoppe og motvirke et pågående angrep.

Verktøykassen stopper ikke der. I tur og orden ramser NSM opp en rekke andre muligheter eller tjenester de tilbyr. Det omfatter blant annet bruk av passiv DNS, som kan gi svar på hvilken IP-adresse som var knyttet til et domenenavn i en gitt periode bakover i tid, for eksempel for nettstedet adobe.com.

– Hvis vi får tips om at et domene er misbrukt i en periode, så kan vi finne IP-adressen ved å slå det opp.

De har også en tilsvarende løsning for passiv TLS, altså digitale sertifikater, som også kan inngå i angrep eller en cyberhendelse.

– Det fungerer på samme måte. For digitale sertifikater som er under TLS versjon 1.2 eller eldre, det er kun TLS 1.3 som er kryptert, så er sertifikatet åpent. Det viser hvem som har signert en aktuell tunnel. Vi tar vare også på sertifikatene. Da kan vi si at «dette sertifikatet ble brukt i en kampanje». Det gir et unikt fingeravtrykk, som igjen kan brukes til å hente ut trafikkbildet for å finne ut om en virksomhet var rammet eller ikke.

Svartelisting av domener

NSM har også en rekursiv DNS-tjeneste som inneholder en sonefil over blokkerte domenenavn. Det er i første omgang en tjeneste de leverer til Forsvaret, senere alle VDI-deltakere og inviterte offentlige virksomheter.

– Her kan vi gjøre aktive blokkeringer mot for eksempel spearphishing-domener og diverse vi ønsker.

DNS-tjenesten har eksistert en stund, men da i mindre målestokk for et begrenset antall deltakere. Ifølge Rosenvinge skal de nå gå ut bredere.

Tilbudet inkluderer en hvitliste over domenenavn de ikke ønsker å blokkere uten videre. Listen skal ifølge ham bestå av rundt en million domenavn.

Varslet Microsoft

På et tidspunkt går intervjuet inn på såkalte nulldagssårbarheter, det vil si ukjente sårbarheter og feil i programvare og datasystemer, som det ennå ikke foreligger en feilfiks for.

NSM har tidligere uttalt at de knapt ser utnyttelse av såkalte 0-day sårbarheter i konkrete angrep mot norske virksomheter.

– Vi ser lite av det, men vi har faktisk rapportert nulldagssårbarheter til Microsoft fra vår egen hendelseshåndtering der vi gransker skadevare og hvilke sårbarheter den utnytter. Vi har funnet nulldagssårbarheter i Microsofts systemer, som vi har rapportert til Microsoft. Det gjorde vi i 2018, hvis jeg husker korrekt, sier Lasse Rosenvinge.

– Men vi står for det budskapet at det aller meste vi ser er kjente ting, medgir Hoff.

Det betyr at langt på vei det meste av hackerangrep forsøker å utnytte sårbarheter som er kjente, og som det allerede finnes feilfiks eller botemidler mot. Det er derfor det er så viktig å holde applikasjoner og datasystemer oppdatert.

– Det finnes et tidsvindu fra en sårbarhet blir kjent til at virksomheter får oppdatert systemene sine med tilgjengelig feilfiks, og den er ganske stor, advarer Rosenvinge.

Angripere flest går etter enklere mål, og de utnytter kjente hull og svakheter. Det er et økonomisk spørsmål. I dag kan ukjente, kritiske sikkerhetshull i løsninger fra Apple, Google og andre være verdt i størrelsesorden 1,5 millioner dollar eller mer. Leverandørenes dusør har vokst kraftig de siste årene, men det finnes også et marked for omsetning av slikt.

Feilslått logging

NCSC nevner et annet, kanskje litt forbigått poeng når vi treffer dem i Havnelageret. Virksomheter bør ha kontroll på loggfilene sine. Her synder flere.

Mange sier at de har logget eller slått på logging, men de ser ikke hva de egentlig bevarer

Hvis du ikke har synlighet for dine egne informasjonssystemer, da kan du heller ikke verifisere om du har tilgjengelighet, konfidensialitet og så videre. Det er viktig for å kunne gå tilbake og finne ut hva som skjedde for to måneder siden, mener Rosenvinge.

NCSC ser nemlig ikke bare på data fra VDI-alarmsystemet. Loggfiler fra virksomheten er også en vesentlig informasjonskilde, når hendelsen først har inntruffet. Dessverre skjer det stadig vekk at de loggene ikke er gode nok. 

Problemet er at mange benytter seg av standardvalg (default) for logging i løsningene sine, mener han.

– Velger du standardvalget for logger, så er det fint ingenting du får ut etterpå. Vi har opplevd at en større intern VPN-løsning hos en virksomhet bare logget vellykkede pålogginger, men ikke de mislykkede påloggingene – som viser forsøk på utnyttelse.

– Har du ikke satt opp dette i forkant, så er dataene tapt?

– Ja. Og mange sier at de har logget eller slått på logging, men de ser ikke hva de egentlig bevarer. Enkelte mangler også kompetanse eller de legger ikke nok energi i å ta vare på og forvalte loggfilene. De logger bare til en syslog-tjeneste som ikke koster noe. Og så har de ikke mulighet for å lete i det, for det er for mye. Det er ikke skalert for å klare det, eller mangler indeksering så man ikke kan finne tilbake. En annen mulighet er at tjenesten ikke har virket på et halvt år, fordi det er ingen som sjekker det.

NSM har laget veiledere som tar opp denne tematikken, minner de om.

Kommentarer (0)

Kommentarer (0)
Til toppen