Angrebsrespons

“At vinde handler om at få din fjende til at reagere som forventet” ― Toba Beta

 

 

En stor del af væksten i vores samfund skyldes nye digitale muligheder. I takt med, at vi bliver dygtigere til at benytte teknologi, vokser eksponeringen i forhold til IT-kriminalitet tilsvarende. Det er derfor en nødvendighed, at vi tænker mere holistisk og ikke behandler alle angreb ens.

Et angreb kan have mange facetter, metoderne kan være forskellige, og udførelsen kan variere i kompleksitet og professionalisme. Inden et angreb kan det være rigtig godt at have gjort sig nogle tanker om, hvilke typer angreb der kan gøre størst skade på din organisation, samt hvad dit beredskab skal være.

For at afdække truslerne vil det være hensigtsmæssigt at benytte sig af en model, der afdækker risici ved forskellige typer angreb. Nedenstående model viser, at sandsynlighed og konsekvens af et angreb udgør kritikaliteten for virksomheden:

Klassificering af angreb

For at finde ud af, hvilket kritikalitetsniveau et angreb har, skal man gøre sig følgende overvejelser:

  • Hvilken metode bliver anvendt (f.eks. ransomware, CEO Fraud eller Advanced Persistant Threat)
  • Hvor mange klienter er under angreb
  • Hvor mange servere er under angreb
  • Er angrebet målrettet, semi-målrettet eller målrettet mod vores organisation

Reaktionstid

Når du har vurderet ovenstående faktorer, kan du bedre bedømme, hvilken konsekvens angrebet kan have for din virksomhed. Dermed kan man have en procesbeskrivelse, der beskriver, hvor hurtigt du skal reagere på den hændelse, din virksomhed er udsat for. Det kunne f.eks. være som følgende model:

Ovenstående er ikke en komplet model med alle typer af angreb. Men afhængigt af virksomhedens risikoprofil vil vi udarbejde den komplette model.
Det er muligt, at disse mål for visse virksomheder er for ambitiøse, mens de for andre skal være mere ambitiøse. Det vil altid være op til en konkret vurdering for hver enkelt virksomhed, hvor hurtigt der skal reageres. En beredskabsplan skal dog i henhold til persondataforordningen være på plads. Der er også krav om, at man indenfor 72 timer underretter myndigheder og berørte personer, hvis ens virksomhed eller organisation lækker persondata.

Mitigering

En række producenter som f.eks. anti-virus vil hævde, at de automatisk fjerner truslerne. Desværre er der for mange eksempler på, at der kun bliver fjernet en del af malwaren, eller at malwaren er muteret og derfor ikke længere bliver detekteret.

Der er også mange eksempler på, at et angreb starter som en ting og udvikler sig til noget andet. Det kan f.eks. være, at det er et spredehaglsangreb, der er kommet indenfor hos en virksomhed, som har potentiale til mere. Derefter vil de kriminelle enten videresælge adgangen til andre kriminelle organisationer, der arbejder målrettet eller selv arbejde målrettet imod denne virksomhed.

Derfor er der en række virksomheder, der som en fast procedure geninstallerer computeren. Hvis vi sammenligner dette med en mordefterforskning, så vil det svare til, at politiet som det første sender et rengøringshold til mordstedet. I IT-verdenen betyder det, at den kriminelle kan have bevæget sig dybere ind i systemerne. Da beviserne er slettet, kan det være rigtig svært at finde den kriminelle, og en dybere analyse kommer til at blive meget bekostelig.

Derfor er det altid vores anbefaling, at der foregår bevissikring. Dette foregår via en forensic-analyse, hvor målet er at få svar på følgende:

  • Hvad er der sket?
  • Hvornår er det sket?
  • Hvordan er det sket?

Når man har disse svar, så kan konklusionen være, at man skal geninstallere computeren. Det kan også godt være, at man skal vente, så den kriminelle ikke bliver opmærksom på, at man har opdaget indbruddet. I stedet kan man så følge den kriminelles færden på ens netværk, inden man er helt sikker på, at man har fundet alle bagdøre og har fuldt ud styr på, hvad der er installeret hvor og hvordan, for så på én gang at lukke alle dørene. Dette kan eventuelt ske i samarbejde med politiet eller et privat it-sikkerhedsfirma.

I sidste instans kan det være, at man skal tilkalde et ”Incident Response Team”, som fysisk skal have adgang til din virksomhed.

Når vi har foretaget en risikovurdering af truslerne, defineret reaktionstiden og de mitigerende processer, så sikrer vi os, at selvom din virksomhed skulle blive ramt, så er vi i kontrol og kan nedbringe tiden markant, hvor de kriminelle er inde på dit netværk.