Cyberangrep skjer døgnet rundt, hele året. De fleste virksomheter og organisasjoner må forholde seg til og forberede seg på sikkerhetshendelser som hacking, datainnbrudd, distribuert tjenestenekt, løsepengevirus, virusutbrudd, ulike typer skadevare – listen er lang.
Når krisen først er et faktum, må den uønskede hendelsen håndteres så raskt og effektivt som mulig for å forhindre skade og begrense omfang. Hvordan gjøres dette?
Netsecurity Incident Response Team
Netsecurity innehar et robust og erfarent hendelseshåndteringsteam, Netsecurity Incident Response Team (NIRT). Kompetanse til å utrede, løse og konkludere hendelser er avgjørende. Det krever at man er faglig dyktig, og dessuten fullt oppdatert på IT-miljøer og løpende sikkerhetstrusler.
Din bedrift rammes av et angrep, og du trykker på knappen ‘Under angrep’. Hva skjer videre da? Vi går gjennom de ulike stegene i hendelseshåndteringen, og hva du kan forvente at en respons fra NIRT mot din bedrift vil innebære.
Hendelseshåndtering som tjeneste
Når bedriften står i brann, hvem er det man ønsker skal være på plass – vaktmesteren eller brannvesenet? Det er dette vi legger vår stolthet i å levere; en forutsigbar og forsvarlig respons på de cybertrusler som rammer bedriften din.
Gjennom avtaler kan du sikre deg ekspertise raskt tilgjengelig via tastaturet. Dette gjør at du raskere får ryddet opp i problemene og sikret at bedriften kommer tilbake til vanlig forretningsdrift så fort som mulig, med lavest mulig kostnader.
Netsecuritys hendelseshåndteringsteam (NIRT) agerer på to ulike måter:
- Hendelse oppdages og varsles av Netsecurity. Kunde bestemmer om NIRT skal aktiveres.
- Hendelse oppdages og varsles av Kunde. Netsecurity aktiverer NIRT hos Kunde.
Det er viktig å følge en forutsigbar og kvalitetsrik prosedyre ved hendelseshåndtering. Avvik og feil håndtering av hendelser kan føre til at store beløp går tapt, eller at bevismateriale blir gjort ubrukelig.
Netsecuritys grundige prosess er basert på NIST Special Publication 800–61. Vi har mange seniorteknikere i vårt hendelseshåndteringsteam, men kun noen nøye utvalgte primærhåndterere. Disse sørger for at prosess, bevishåndtering og annet blir utført på best mulig måte.
Når en avtale blir knyttet opp mot NIRT, vil vi samtidig være enig om en forventet responstid for når Netsecurity skal ha klar sin kompetanse hos deg som kunde. Dette defineres i en såkalt Service Level Agreement. Man skal da være sikker på at kompetansen og prosessen er raskt tilgjengelig og klar for å utføre «brannslukkende» arbeid.
Prosess
Netsecuritys hendelseshåndteringsteam følger en prosess som er delt inn i seks domener, nærmere forklart nedenfor. NIRT kan styre, bistå eller iverksette hvilket som helst steg, ut ifra hva du ønsker.
1. Forberede
Forberedelsesfasen består i å gjøre klar teamet til å håndtere hendelser. Dette kan omfatte, men er ikke begrenset til:
- Sikre at NIRT har nødvendig tilgang og tillatelser til tjenester vi skal respondere på.
- Ha de nødvendige verktøy lett tilgjengelig.
- Sikre kommunikasjonskanaler.
- Korrespondanse med respektive forretningsenheter.
- Kommunikasjonskanaler med politimyndigheter.
- Overvåking, skanning og penetrasjon av tjenester.
- Rapportering.
- Definering av sjekklister og gjenoppbyggingsplaner for servere og tjenester.
- Sikre tilstrekkelig opplæring for de involverte.
- Bistå med å lære opp ansatte i hendelseshåndtering.
- Bistå med å lære opp stab til å motstå cyberangrep, f. eks. spearphishing eller misbruk av programvare, så som sårbarheter og virus.
- Hjelpe til med å rulle ut tilstrekkelig med advarselsbannere på systemer.
- Definere retningslinjer for håndtering av hendelser.
2. Identifisere
Netsecurity bistår eller leder laget som identifiserer hendelser og omfanget av disse. Dette kan omfatte, men er ikke begrenset til:
- Finne ut om plattformen som er angrepet, utgjør en større angrepsflate som må dekkes inn i identifikasjonsfasen.
- Identifisere hvor mange maskiner og brukere som er involvert.
- Bestemme effekt og potensielle konsekvenser av sikkerhetshendelsen.
- Avgjøre om det finnes en offentlig sårbarhet tilgjengelig online.
- Hvis programvare ble utnyttet, finne ut hvilke andre maskiner som kan ha blitt infisert.
- Bruke indikatorer (Indicators Of Compromise – IOC) for å finne ut omfanget og spredning av hendelsen.
- Identifisere mulige gjerningsmenn.
- Opplyse om relevant trusselinformasjon og etterretning rundt angrep og cybertrusler.
- Identifisere trusler på ulike nivåer i organisasjonen:
- Nettverksgrenser
- Grenser for maskiner og servere
- Systemnivå
- Programnivå
- Konkludere uvanlige hendelser og hjelpe til med å identifisere hendelser og trusler.
- Bestemme falske positiver mot ekte positiver. Mange hendelser oppstår som følge av f. eks. administrator- eller brukerfeil.
- Vurdere og sikre bevis.
- Beholde situasjonsforståelsen og identifisere andre viktige faktorer for hendelsen.
3. Begrense
Hovedmålet med begrensningsfasen er å hindre fremtidige skader i systemet; å stoppe blødningen. Dette kan omfatte, men er ikke begrenset til:
- Sikre at bevis blir forsvarlig og trygt sikkerhetskopiert.
- Identifisere konkret anbefaling for og løsning på hovedproblemet som har forårsaket hendelsen.
- Identifisere og ta i bruk kortsiktige begrensningstiltak, som f. eks.:
- Opprette et privat-VLAN for den kompromitterte tjenesten
- Endre DNS-pekere
- Bruke filtre på rutere eller brannmurer
- Installere innebygde DDOS beskyttelsestjenester
- Identifisere og ta i bruk langsiktige planer for begrensning, som f. eks.:
- Oppdatere og patche systemer
- Installere funksjonalitet for Intrusion Prevention System mellom tjeneste og nettverk
- Bruke null-ruter for å hindre angripers kommunikasjon mot våre nettverk
- Kaste angriper ut av systemer
- Overvåke angriper for å avdekke mål og motiv
- Bruke avanserte teknikker for å identifisere hvem angriper er, og hvor aktøren kommer fra.
- Etablere og opprettholde kommunikasjon med Internett-leverandøren, skyleverandøren og Content Delivery Network-leverandøren for mer effektiv begrensing av skadeomfang
4. Opprydding
Målet med oppryddingsfasen er permanent å bli kvitt angriperne og deres verktøy fra systemene. Dette kan omfatte, men er ikke begrenset til:
- Gjenoppbygge systemer.
- Ved e-postbaserte angrep, fjerne e-poster som ligger i e-postkøen.
- Håndtere rootkit-trusler.
- Fjerne malware satt inn av angripere.
- Bedre forsvar, f. eks. lansere sårbarhetsskanning eller penetrasjonstesting for å forsterke patche-innsatsen.
5. Gjenoppretting
Denne fasen har som mål å gjenopprette virksomheten til normal forretningsdrift. Dette kan omfatte, men er ikke begrenset til:
- Gjenopprette systemer i IT Operations, f. eks. fra sikkerhetskopier.
- Validere systemer basert på testplaner eller annen dokumentasjon.
- Overvåke systemer i tilfelle angriperne kommer tilbake.
- Installere og drifte inntrengingssystemer og lignende systemer, f. eks. brannmurer, webapplikasjonsbrannmurer, DDOS-forebygging eller Intrusion Prevention-tjenester.
6. Erfaring
Vi bør ta lærdom av enhver hendelse vi håndterer, først og fremst for å styrke våre forsvar og redusere kostnader til neste gang. Dette kan omfatte, men er ikke begrenset til:
- Identifisere viktige forbedringspunkter, f. eks. bedre teknologi, prosess eller evne til hendelseshåndtering.
- Utarbeide en detaljert rapport om hvordan vi kan bli bedre
- Gjennomføre tiltakene anbefalt i rapporten.
Referanser
Netsecurity håndterer en rekke sikkerhetshendelser i løpet av året. Noen av disse er ytterst forretningskritiske og innebærer betydelige kostnader dersom de ikke blir løst på riktig måte. Spør oss gjerne dersom du ønsker referanser.