Slik kunne «VG-testen» stoppet Østre Toten kommune-angrepet
Fellesnevneren mellom Østre Toten kommune- og SolarWinds Orion-angrepene ligger i noe som er enkelt å adressere.
Hva hadde VG med Solarwinds-hendelsen å gjøre? Naturligvis ingenting. Så hva skal jeg frem til? Du må gjøre VG-testen. Jeg kommer tilbake til den lenger ned.
Hva skjedde?
Flere store foretak med Solarwinds ble målrettet angrepet i 2020. Angrepene var ikke skadelige fra et operasjonelt ståsted, da ting ikke ble tatt ned, men var innbrudd for å komme inn i sensitive og kritiske systemer for å hente ut informasjon, så lenge som mulig og naturligvis helst uten å bli oppdaget.
Innbruddet ble oppdaget av Fireeye i desember 2020, 9 måneder etter distribusjonen av skadelig kode startet. Denne rapporten fra Mandiant forklarer i detalj hvordan angrepet foregikk, og ble en motivator for meg til å skrive dette innlegget.
Var det umulig å hindre dette fra å skje?
Så klart ikke. Det var flere som hadde Solarwinds Orion som ikke ble rammet. Én ting er at mange ikke var et mål for de kriminelle, og derfor ikke ble rammet. Andre hadde tiltak som stoppet forsøkene før de ble skadelige. Les et par eksempler her og her.
Hva måtte til for at de kriminelle skulle gjøre suksess?
Første del av angrepet, eller innbruddet, gikk under radaren hos de aller fleste ved at de lastet ned en oppdatering av software, som inneholdt kode som skulle slippe de kriminelle inn. Deretter gjorde denne koden mange forsiktige avsjekker, som gikk under radaren for alarmering, for å sjekke om alt var klart for videre steg i innbruddet. Om alt var OK, fortsatte teknikkene for å komme videre. Et av stegene var å åpne en bakdør.
Hva er Command & Control, C2, Phone home, bakdør
Er dette noe du trenger å tenke på? Ja, det er det og er hele essensen i denne artikkelen. Dette er en kommunikasjonskanal de kriminelle benytter for å gjøre store operasjoner, via ikke typisk overvåkede forbindelser. Det er derfor viktig å være klar over denne vektoren, og innføre tiltak som reduserer sannsynligheten for at denne kan misbrukes.
Kan du surfe på VG fra serveren din, er sikkerheten for dårlig
Hva menes med dette? Er VG farlig? Neppe, men kan du surfe på VG fra domenekontrollerne dine, backupserverne dine, Solarwinds Orion, eller tilsvarende servere, kan du mest sannsynlig også kommunisere ut til de kriminelles nettverk. Dette er de veldig ofte avhengig av for å lykkes i et alvorlig angrep. De kriminelle er avhengig av en liberal policy i nettverket ditt for å ha suksess med slike angrep.
«Suksessfulle hendelser skjer i tillatt trafikk. Reduser angrepsflaten»
Du må ta kontroll på hva dine servere kan gjøre mot internett. Tillat kun det som er nødvendig for produksjon.
Se video: Gøran Tømte viser hvordan man adresserer VG-testen
RDP misbrukes veldig ofte internt
Får du opp RDP innloggingsbilde på dine servere fra kontoret? Fra hjemmekontor/VPN? Fra en server mot en annen server? Er dette nødvendig for produksjon?
Har du MFA som tilgangskontrollkrav i forbindelse med RDP på alle dine servere? Om ikke, hvorfor har du valgt å ikke gjøre det? Er det basert på en risikovurdering?
Hva er felles for Solarwinds Orion og Østre Toten kommune hendelsene?
Phone home. Command and Control. Bakdør. De kriminelle trengte en forbindelse tilbake til seg selv for å gjøre suksess. Dette er et element i en kjede av hendelser de kriminelle må gjennomføre for å nå sitt mål. Brytes denne kjeden, stoppes også angrepet.
Detaljer om de forskjellige angrepene er beskrevet i Mandiant artikkelen og The Defir Report:
Lockheed Martin, The Cyber Kill Chain. Lockheed Martin sin «The Cyber Kill Chain» viser de forskjellige stegene de kriminelle ofte må gjennomføre for å oppnå suksess. Lockheed Martin illustrerer dette i en animasjonsfilm. Som nevnt over, var #6, Command & Control (C2) sentralt i begge eksemplene.
Zero Trust. Never trust, always verify
Å anta er farlig. Å anta at serverne ikke kan kommunisere mot internett er skummelt. Verifiser det. Gjør VG testen. Som oftest er dette dessverre mulig.
Teknologi er en skummel «fiende». Å legge tilliten til at teknologien redder oss, bevises som uheldig stadig vekk. Alle har teknologi. Mange har fantastisk teknologi. Uten god og riktig oppmerksomhet, blir det fort falsk trygghet.
Det er vi mennesker som avgjør utfallet. Det er vi mennesker som risikovurderer, som finner tiltak, som bestemmer policy, som konfigurerer policy og som vedlikeholder policy. Det er vi mennesker som MÅ gjøre forskjellen. Teknologi vil hjelpe til, men først etter at vi mennesker har gjort vår jobb på whiteboards.
Suksessfulle hendelser skjer i tillatt trafikk. Reduser angrepsflaten
Lag en internett-regel per server, og definer hva hver enkelt har lov til etter risikovurdering. En regel for din domenekontroller, eller domenekontrollere. En regel for dine backup servere. En regel for SolarWinds Orion, eller tilsvarende server. Osv.
- Source IP. Destination IP om mulig. Type applikasjon. Spesifikk URL om dette er involvert. Inspiser all tillatt trafikk for å kunne stoppe kjente hendelser. SSL dekrypter den for full kontroll.
- Da ville SolarWinds Orion hendelsen vært avverget
- Da ville Østre Toten kommune hendelsen vært avverget
Logg alt. Alarmér ved mistenkelig adferd.
Dette er en del av standard anbefalinger, inkludert i NSM sine Grunnprinsipper for IKT-sikkerhet. Følg med. Integrer sikkerhetsløsninger i alarmsystemer. Integrer dem i sakshåndteringssystemer, slik at kritiske alarmer oppretter en sak i systemer, for oppmerksomhet, dokumentasjon og for at noen kan ta tak i det.
Hva med skyen? Hva når jeg har tjenesteutsatt drift av mine servere?
Akkurat det samme gjelder. Kan dine servere surfe på VG? Sjekk. Ikke anta. Verifiser. Zero Trust.
Konklusjon
Kan du surfe på VG fra de mest kritiske serverne dine? Da er du vidåpen for angrep.