Fellesnevneren mellom Østre Toten kommune- og SolarWinds Orion-angrepene ligger i noe som er enkelt å adressere.
Hva hadde VG med Solarwinds-hendelsen å gjøre? Naturligvis ingenting. Så hva skal jeg frem til? Du må gjøre VG-testen. Jeg kommer tilbake til den lenger ned.
Flere store foretak med Solarwinds ble målrettet angrepet i 2020. Angrepene var ikke skadelige fra et operasjonelt ståsted, da ting ikke ble tatt ned, men var innbrudd for å komme inn i sensitive og kritiske systemer for å hente ut informasjon, så lenge som mulig og naturligvis helst uten å bli oppdaget.
Innbruddet ble oppdaget av Fireeye i desember 2020, 9 måneder etter distribusjonen av skadelig kode startet. Denne rapporten fra Mandiant forklarer i detalj hvordan angrepet foregikk, og ble en motivator for meg til å skrive dette innlegget.
Så klart ikke. Det var flere som hadde Solarwinds Orion som ikke ble rammet. Én ting er at mange ikke var et mål for de kriminelle, og derfor ikke ble rammet. Andre hadde tiltak som stoppet forsøkene før de ble skadelige. Les et par eksempler her og her.
Første del av angrepet, eller innbruddet, gikk under radaren hos de aller fleste ved at de lastet ned en oppdatering av software, som inneholdt kode som skulle slippe de kriminelle inn. Deretter gjorde denne koden mange forsiktige avsjekker, som gikk under radaren for alarmering, for å sjekke om alt var klart for videre steg i innbruddet. Om alt var OK, fortsatte teknikkene for å komme videre. Et av stegene var å åpne en bakdør.
Er dette noe du trenger å tenke på? Ja, det er det og er hele essensen i denne artikkelen. Dette er en kommunikasjonskanal de kriminelle benytter for å gjøre store operasjoner, via ikke typisk overvåkede forbindelser. Det er derfor viktig å være klar over denne vektoren, og innføre tiltak som reduserer sannsynligheten for at denne kan misbrukes.
Hva menes med dette? Er VG farlig? Neppe, men kan du surfe på VG fra domenekontrollerne dine, backupserverne dine, Solarwinds Orion, eller tilsvarende servere, kan du mest sannsynlig også kommunisere ut til de kriminelles nettverk. Dette er de veldig ofte avhengig av for å lykkes i et alvorlig angrep. De kriminelle er avhengig av en liberal policy i nettverket ditt for å ha suksess med slike angrep.
Du må ta kontroll på hva dine servere kan gjøre mot internett. Tillat kun det som er nødvendig for produksjon.
Se video: Gøran Tømte viser hvordan man adresserer VG-testen
Får du opp RDP innloggingsbilde på dine servere fra kontoret? Fra hjemmekontor/VPN? Fra en server mot en annen server? Er dette nødvendig for produksjon?
Har du MFA som tilgangskontrollkrav i forbindelse med RDP på alle dine servere? Om ikke, hvorfor har du valgt å ikke gjøre det? Er det basert på en risikovurdering?
Phone home. Command and Control. Bakdør. De kriminelle trengte en forbindelse tilbake til seg selv for å gjøre suksess. Dette er et element i en kjede av hendelser de kriminelle må gjennomføre for å nå sitt mål. Brytes denne kjeden, stoppes også angrepet.
Detaljer om de forskjellige angrepene er beskrevet i Mandiant artikkelen og The Defir Report:
Lockheed Martin, The Cyber Kill Chain. Lockheed Martin sin «The Cyber Kill Chain» viser de forskjellige stegene de kriminelle ofte må gjennomføre for å oppnå suksess. Lockheed Martin illustrerer dette i en animasjonsfilm. Som nevnt over, var #6, Command & Control (C2) sentralt i begge eksemplene.
Å anta er farlig. Å anta at serverne ikke kan kommunisere mot internett er skummelt. Verifiser det. Gjør VG testen. Som oftest er dette dessverre mulig.
Teknologi er en skummel «fiende». Å legge tilliten til at teknologien redder oss, bevises som uheldig stadig vekk. Alle har teknologi. Mange har fantastisk teknologi. Uten god og riktig oppmerksomhet, blir det fort falsk trygghet.
Det er vi mennesker som avgjør utfallet. Det er vi mennesker som risikovurderer, som finner tiltak, som bestemmer policy, som konfigurerer policy og som vedlikeholder policy. Det er vi mennesker som MÅ gjøre forskjellen. Teknologi vil hjelpe til, men først etter at vi mennesker har gjort vår jobb på whiteboards.
Lag en internett-regel per server, og definer hva hver enkelt har lov til etter risikovurdering. En regel for din domenekontroller, eller domenekontrollere. En regel for dine backup servere. En regel for SolarWinds Orion, eller tilsvarende server. Osv.
Dette er en del av standard anbefalinger, inkludert i NSM sine Grunnprinsipper for IKT-sikkerhet. Følg med. Integrer sikkerhetsløsninger i alarmsystemer. Integrer dem i sakshåndteringssystemer, slik at kritiske alarmer oppretter en sak i systemer, for oppmerksomhet, dokumentasjon og for at noen kan ta tak i det.
Akkurat det samme gjelder. Kan dine servere surfe på VG? Sjekk. Ikke anta. Verifiser. Zero Trust.
Kan du surfe på VG fra de mest kritiske serverne dine? Da er du vidåpen for angrep.