Fagblogg | NetSecurity

Hvordan vet du om bedriftens IT-systemer er under angrep?

Skrevet av Torstein Mauseth | 26. september 2018 10:58:35 Z

Det enkle svaret er: IKT-miljøet ditt er alltid under angrep. Eller, du kan i hvert fall gå ut ifra det, og ha denne kjennsgjerningen som rettesnor for sikkerhetsstyringen i virksomheten.

De fleste angrep stoppes ved porten (brannmuren), og ved at systemer og komponenter er patchet og oppgradert. Men angripere blir stadig mer avanserte, bruker lengre tid og klarer som regel å navigere seg forbi tradisjonelle sikkerhetsløsninger.

 

Ingen bedrifter har full oversikt over egne sårbarheter

I likhet med alle virksomheter har også din sårbarheter. Før eller siden lykkes angripere med å utnytte sårbarheter og bryte seg inn i dine systemer. Spørsmålet er om angrepet blir oppdaget eller ei.

Anslag mot bedriftens IKT-systemer kommer nemlig gjerne i form av snikangrep. Målet for angriperen er å gå under radaren, slik at de får tid på seg til å posisjonere seg for å kunne slette/endre data og ta kontroll på maskiner, skaffe seg tilgang til sensitiv informasjon og dele/misbruke denne, eller forhindre/forstyrre autorisert tilgang til IT-systemer, slik at kritiske tjenester blir gjort utilgjengelige.

Ofte er en trusselaktørs mål kun å komme seg inn, for senere å kapitalisere på adgangen de har skaffet seg.

 

Analysér hendelsesloggene kontinuerlig

Mørketallsundersøkelsen 2018 fra Næringslivets Sikkerhetsråd (NSR) viser at 67 prosent av respondentene oppgir tilfeldigheter som årsak til at bedriften oppdager kompromittering.

Mange angrep oppdages ikke før i ettertid, når skaden allerede har skjedd. Statistikken viser at angrep gjerne varer i 150–200 dager uten at det merkes. I enkelte tilfeller blir ikke et sikkerhetsbrudd oppdaget før etter flere år.

En av hovedårsakene til at så mange bedrifter ikke selv oppdager at de er under angrep, er at de ikke logger trafikken. Da vet de ikke hva som skjer, og de kan ikke spore tilbake hva som er skjedd.Kontinuerlig innsamling, gjennomgang og analyse av hendelseslogger er den beste metoden for å etablere en oversikt over normaltilstand (baseline) og dernest oppdage aktivitet som avviker fra denne.

 

Typiske tegn på at virksomheten er under angrep

Noe som gjør målrettede angrep ekstra utfordrende å avdekke, er at mange angripere som finner en sårbarhet, faktisk patcher denne straks de har skaffet seg full kontroll på en server. Slik får de beholde systemet for seg selv.Får en angriper først fotfeste innenfor, vil det meste av trafikken internt i ditt eget nettverk maskeres som legitim.

Et vellykket angrep kan imidlertid ha noen kjennetegn som det er mulig å merke seg:

 

Trege forbindelser eller avbrudd i tjenester

Opplever dere treg internett-forbindelse? Eller at det oppstår avbrudd i tjenester? Dette kan være tegn på et pågående angrep – potensielt et denial-of-service-angrep (DoS) eller distribuert denial-of-service-angrep (DDos). Dos og DDos overbelaster et system med store datamengder, slik at det ikke lenger kan respondere og utføre jobben det er satt til.

 

Uønskede annonser, popup-vinduer eller omdirigeringer

Dette problemet kan oppstå som følge av nettleserkapring. En nettleserkaprer er en type skadevare som er laget for å endre nettleserens innstillinger. Du kan oppleve noe av følgende oppførsel:

  • Søket blir omdirigert til andre nettsteder
  • Nettsider lastes sent
  • Du ser flere verktøylinjer som du ikke installerte i nettleseren
  • Du får flere popup-meldinger for reklame

 

Plutselige endringer i rettigheter eller tilganger på filer/dokumenter/tjenester

Hvis ansatte gir uttrykk for at det oppstår plutselige endringer i rettigheter eller tilganger, bør dere se nærmere på problemet.

 

Unormale/mystiske e-poster

Hvis kunder, medarbeidere eller andre kontakter gir beskjed om at de får rare e-poster, meldinger eller innlegg i sosiale medier fra deg eller andre i virksomheten, kan det være et tegn på at noen har hacket seg inn i din bedrifts IKT-systemer.

 

Andre tegn på mulige angrep:

  • Ukjente programmer som kjører på datamaskinen
  • Plutselig endring i ytelsen på datamaskinen
  • Passord som plutselig ikke virker lenger

Kort sagt er plutselige endringer i oppførsel noe som kan være verdt å se nærmere på.

 

Oppsummert

Mange virksomheter har inntrengere eller skadevare/virus i sine systemer uten at de er klar over det. Ofte oppdager man ikke angrep mens de pågår. Men det finnes tegn du kan være ekstra obs på.

I et komplekst miljø hvor teknologien hele tiden utvikler seg og nye angrepsmetoder stadig dukker opp, bør bedrifter jevnlig teste egen forsvarsevne for å identifisere sårbarheter og vurdere egen beredskap/robusthet.

Angripere utnytter ofte gapet mellom god design og funksjonalitet og gjeldende implementasjon og vedlikehold.

Et vellykket forsvar mot cyberangrep krever at dere har på plass et omfattende program av tekniske sikkerhetstiltak, god styring og gode retningslinjer. Ikke minst er riktig adferd hos ansatte avgjørende.