This article is also available in english.

​Sammendrag

Denne artikkelen presenterer tiltak for å håndtere digital utpressing og andre angrep. Tiltakene er i hovedsak hentet fra «NSMs Grunnprinsipper for IKT-sikkerhet», men det er foretatt enkelte tilpasninger eller tillegg for tilpasse tiltakene til formålet. Formålet med denne artikkelen er å knytte tiltakene til et bestemt scenario, spesielt digital utpressing.

Tiltakene vil 1) reduserer sannsynligheten for å bli rammet av slike angrep, 2) redusere spredningen av ondartet programvare og 3) redusere konsekvensene hvis virksomheten blir rammet.

Det finnes ikke ett enkelt tiltak som stopper digital utpressing. En virksomhet må ha et bredt sett av sikkerhetstiltak for å stoppe slike angrep.

Mange av disse tiltakene går ut på å fjerne sårbarheter. Det gjelder for eksempel:

  • Sårbarheter med hensyn til konfigurasjon og rutiner for styring av rettigheter og tilganger.

  • Sårbarheter i arkitekturen (for eksempel med hensyn til nettverk og med hensyn til sikkerhetskopiering).

  • Programvarebaserte sårbarheter (for eksempel manglende sikkerhetsoppdatering).

Artikkelen viser til grunnprinsippene for ytterlig informasjon.

​Åtte tiltaksgrupper

Artikkelen beskriver 44 sikkerhetstiltak, fordelt på 8 tiltaksgrupper:

Tiltaksgruppe 1: Planlegg for å hindre (redusere konsekvens) og håndtere dataangrep med skadevare. Virksomhetsledelsen må ta initiativ til etablering av beredskapsplaner og iverksette tiltak slik at virksomheten er best mulig forberedt på dataangrep.

Tiltaksgruppe 2: Etabler gode rutiner for sikkerhetskopiering og gjenoppretting. Dersom virksomheten utsettes for løsepengevirus bør man ha gjort de nødvendige forberedelsene slik at virksomheten raskest mulig kan komme tilbake til normaltilstanden.

Tiltaksgruppe 3: Hindre at angriper kommer inn og sprer seg i virksomhetens systemer. Det er viktig å begrense hvor stor del av virksomhetens systemer som blir berørt av skadevaren.

Tiltaksgruppe 4: Beskytt virksomhetens tjenester som er tilgjengelig fra eksterne lokasjoner. Tjenester som er eksternt tilgjengelig (for eksempel e-post-servere) er ofte svakt beskyttet og dette utnytter angriperne.

Tiltaksgruppe 5: Hindre kjøring av angripers programvare. Disse tiltakene er viktig for å hindre/vanskeliggjøre at angriper kan få utført alle ønskede handlinger i virksomhetens system.

Tiltaksgruppe 6: Vanskeliggjør uthenting av virksomhetsdata. Ett av hovedmålene for en angriper er ofte å hente ut virksomhetsrelevante data. Det kan være for å kreve penger for at virksomhetens informasjon ikke skal offentliggjøres eller det kan være forbundet med stats- eller industri-spionasje.

Tiltaksgruppe 7: Håndter hendelser med skadevare. Når man oppdager at man er under angrep må man hurtig ta grep for å stoppe angriperen og så gjenopprette systemer så hurtig som mulig.

Tiltaksgruppe 8: Produktspesifikke råd. De fleste av anbefalingene er produktnøytrale, men enkelte av anbefalingene peker på spesifikke produkter og er derfor samlet i denne tiltaksgruppen.


 

​Målgruppe

Denne artikkelen er beregnet på IT-ledere, IT-arkitekter, IT-driftspersonell og sikkerhetseksperter i offentlig og privat sektor. Det er en fordel om leseren allerede er kjent med «NSMs grunnprinsipper for IKT-sikkerhet».

​Avgrensinger

Artikkelen er rettet mot virksomheter og beskriver teknologiske og organisatoriske sikkerhetstiltak. Nasjonale og internasjonale tiltak på samfunnsnivå er ikke dekket i denne artikkelen. For andre tiltak se for eksempel «Ransomware Task Force report”.


 

​Prioritering av sikkerhetstiltak

Dataangrep med skadevare kan få store konsekvenser for virksomheten. En lang rekke tiltak må til for å sikre seg best mulig mot slike angrep. En kort liste av tiltak ville ikke være dekkende for slike dataangrep. Formålet med denne artikkelen er først og fremst å bidra til kompetanseoverføring til fagfolk. NSM ser likevel behov for å peke på hva man kan starte med av tiltak. Man kan vurdere å starte med følgene åtte tiltak (tiltaksnummer i parentes):

Reduser sårbarhetsflaten i forbindelse med epost-fisking og ondartet kode-eksekvering ved å:

  1. fjerne sluttbrukers administrator-rettigheter (23),

  2. ha automatisk sikkerhetsoppdatering av alle klienter (29),

  3. og stopp ondartet kode i dokumenter (25 og 44).

Tjenester som skal være tilgjengelig utenfor virksomhetens nettverk bør minimum beskyttes med:

  1. flerfaktor autentisering (14) og fjerning av standard-passord (31),

  2. nettverkstiltak som for eksempel VPN (17-19),

  3. og ha automatisk sikkerhetsoppdatering av alle servere (operativsystem og applikasjon) som kjører standard hyllevare-programvare som e-post-servere, terminalservere, osv. (29).

Generelt bør:

  1. alle eldre IT-produkter som ikke lenger støttes med oppdateringer og nyere sikkerhetsfunksjonalitet fases ut (27),

  2. og utfør regelmessig sikkerhetskopiering samt ha god evne til å raskest mulig kunne gjenopprette systemene (7-13).

​Hva er skadevare og løsepengevirus?

Skadevare (engelsk: malware) er ondartet programvare som benyttes av en angriper som har til hensikt å skade eller misbruke virksomhetens IT-systemer for egne hensikter. Motivasjonen vil variere, det kan dreie seg om spionasje, hærverk, kriminalitet, politisk aktivisme og mer.

Løsepengevirus (engelsk: ransomware) er en variant av skadevare som benyttes av en angriper med et bestemt formål. Angripers formål er å hindre virksomheten i å bruke sitt eget IT-system, slik at virksomheten presses til å betale angriperen for å komme seg ut av situasjonen. Det gjøres ved å enten låse/kryptere tilgangen til virksomhetens filer eller ved å låse/sperre pålogging til en bestemt maskin eller tjeneste. Det kan også komme trusler om å publisere virksomhetens sensitive dokumenter og annen data hvis ikke virksomheten betaler. Merk at løsepengevirus sjeldent er virus-basert, på tross av begrepet.

Denne artikkelen du leser nå beskriver teknologiske og organisatoriske tiltak som er nødvendig for å beskytte seg mot både skadevare generelt og løsepengevirus. Tiltakene er stort sett sammenfallende i begge tilfeller.

En viktig forskjell på generell skadevare og underkategorien løsepengevirus er at en angriper som bruker løsepengevirus før eller senere ønsker å informere virksomheten om sin tilstedeværelse i virksomheten system. Annen skadevare (for eksempel i forbindelse med spionasje) vil kunne ligge uoppdaget i virksomheten system i årevis. Det er da verdt å merke seg at sikkerhetstiltak mot løsepengevirus også motvirker industrispionasje (og motsatt).

I hovedsak vil artikkelen heretter kun benytte det generelle begrepet «skadevare». Hvis tiltaket kun er relevant for løsepengevirus, vil det angis spesifikt.

​De vanligste veiene inn i virksomheten med skadevare

Skadevare kommer ofte til virksomhetene via e-poster som forsøker å lure mottageren til å aktivere ondartet innhold i vedlegg, dokumenter eller web-lenker.

Den andre hovedveien inn i en virksomhet med skadevare er at angriper logger seg inn i virksomhetens systemer med en gyldig brukerkonto. Dette er mulig fordi:

  1. Mange virksomheter lar tjenestene sine være åpent tilgjengelig fra internett, altså uten nettverksbeskyttelse, for eksempel uten bruk av VPN for å aksessere tjenesten.

  2. Dette kombineres dessverre ofte med en annen sårbarhet, nemlig at det er for lett å gjette passordet til en gyldig brukerkonto, kanskje til og med en brukerkonto som benyttes til drift av systemet.

  3. I tillegg er passord på avveie et stort problem. Brukere har kanskje benyttet samme passord i virksomheten og på flere nettsteder, og et av disse nettstedene (som er utenfor virksomhetens kontroll) har blitt utsatt for datainnbrudd hvor brukernavn og passord har kommet på avveie. Lister med innloggingsdetaljer kjøpes og selges av kriminelle på undergrunnsfora.

Generelt kan man beskrive slike angrep med følgende trekk:

  • Angriper får på et eller annet vis en innledende tilgang til virksomhetens systemer (for eksempel en av de to hovedveiene nevnt over).

  • Angriper kommer seg videre inn, og klarer å «bevege» seg rundt i virksomhetens systemer.

  • Angriper klarer å øke sine rettigheter og tilganger.

  • Angriper utfører sitt egentlige mål. Det kan eksempelvis være å tilrane seg virksomhetens sensitive dokumenter/data, og/eller sabotere/kapre systemet slik at virksomhetens ikke kan benytte sitt eget system (for eksempel ved å kryptere data).

Se MITRE angreps-rammeverket for mer informasjon om metoder som trusselaktører som oftest benytter.

Det er svært krevende, og ofte umulig, å sikre seg helt mot angrep med skadevare. Det er ikke nok med ett enkelt sikkerhetstiltak. Man må ha flere lag med sikkerhetstiltak for å vanskeliggjøre punktene over for angriperne. Da øker virksomheten sin egen motstandsevne og robusthet, og man hindrer eller reduserer konsekvensene av slike angrep.

​Tiltaksgruppe 1: Planlegg for å hindre (redusere konsekvens) og håndtere dataangrep med skadevare

Hvorfor er dette viktig? Virksomhetsledelsen må ta initiativ til at beredskapsplaner er etablert og tiltak iverksatt slik at virksomheten er best mulig forberedt på slike dataangrep.

Tiltak:

1. Ha en plan for teknologiske tiltak. Det vil si å ha en plan for å følge opp tiltak som omtales i blant annet denne artikkelen.

2. Ha en plan for sikkerhetskultur. Det antas her at virksomheten allerede har en plan for utvikling av egen sikkerhetskompetanse og sikkerhetskultur.

Planen for sikkerhetskultur bør inkludere tiltak for å gjøre sluttbrukere, ledere og IT-medarbeidere bevisste på hvilket ansvar de har for å ivareta sikkerheten. For sluttbrukere kan det eksempelvis gjelde å være bevisst på a) hva man klikker på og åpner av vedlegg og lenker og b) valg av bedre passord (eller enda bedre: å akseptere innføring av flerfaktor autentisering). For ledere kan det eksempelvis gjelde c) å være et godt forbilde innen sikkerhet i praksis, å d) fremheve at sikkerhet er like viktig som andre virksomhetsmål og e) gi IT-medarbeidere støtte til å gjennomføre så godt som mulig de tekniske tiltakene som er omtalt i denne artikkelen.

Det er viktig at alle ansatte forstår grunnen til at de selv ikke kan gjøre hva som helst med datamaskinen, dvs. hvorfor maskinen deres sikkerhetsherdes og driftes sentralt. Det vil si at det er en grunn til at de ikke kan installere og kjøre hva som helst av programvare. Forklar at noe av hensikten er å ikke la den enkelte ansatte få ansvaret for sikkerheten (redusere skyld). Påpek også at private aktiviteter skal utføres på privat utstyr, alternativt på tjenestemobiler som tillater bruk som ikke er tjenesterelatert.

Sikkerhetskultur er ellers utenfor rammene til denne artikkelen. Les gjerne mer om sikkerhetskultur på våre nettsider samt Digitaliseringsdirektoratets veiledning.

3. Identifiser virksomhetens viktigste verdier og tjenester. Det er viktig at virksomheten er forberedt på hva man skal gjøre før man blir utsatt for en uønsket hendelse/krise. Hva er de viktigste verdier og tjenester som virksomheten bør prioritere? Tenk igjennom og ta stilling til hva virksomheten må gjøre ved følgende scenario: a) at man ikke lenger kan stole på egne data og tjenester (tap av integritet), b) at konfidensielle data kommer på avveie og c) at man ikke lenger har adgang til egne data og tjenester (tap av tilgjengelighet). Se grunnprinsipp om å «Kartlegg styringsstrukturer, leveranser og understøttende systemer».

4. Forbered virksomheten på et dataangrep. a) Forbered det forretningsmessige, med hensyn til leverandører og kunder (leveransesvikt), og hvilke tjenester som er mest kritisk, se og tiltak 3. b) Ha en kommunikasjonsplan for hendelsene. c) Vurder på forhånd juridiske forhold. d) En hendelse kan foregå hele døgnet i uker og måneder. Planlegg hvordan personell skal kunne byttes ut, ellers risikerer man at kritisk personell blir utbrent. e) Øv på slike hendelser og evnen til å gjenopprette virksomheten.

5. Ta på forhånd stilling til juridiske, økonomiske, sikkerhetsmessige, beslutningsmessige, etiske og omdømmemessige sider av å betale løsepenger. Man må være forberedt på krav om a) løsepenger for å kunne låse opp krypterte filer og b) løsepenger for å unngå at virksomhetens konfidensielle filer ikke vil bli offentliggjort. c) Vurder også hva slags forhandlingsstrategi man vil ha med angriperne, ikke nødvendigvis for å betale, men for å kjøpe seg tid. d) Noen virksomheter kan også av ulike grunner føle seg tvunget til å betale og må da forstå hvordan man går til anskaffelse av kryptovaluta (og forstå mulige juridiske barrierer for det).

NSM anbefaler at man IKKE betaler løsepenger. Dette fordi i) det er ingen garanti for at angriper ikke gjennomfører trussel etter betaling, eller ii) at data likevel blir solgt videre. Ved eventuell betaling vil man signalisere betalingsvillighet og dermed iii) øke sannsynligheten for å bli angrepet igjen på et senere tidspunkt. Selv etter betaling iv) vil dine datamaskin(er) fortsatt være infisert med angripers skadevare. Så man vil fortsette å ikke kunne stole på eget IT-utstyr. Sist, men ikke minst, v) hvis man betaler bidrar man til kriminalitet og finansiering av kriminell virksomhet.

6. Rutiner for alternative kommunikasjonskanaler for hendelseshåndtering bør forberedes. a) Disse kanaler bør være helt separert fra organisasjonens egen infrastruktur (inkludert også separat fra de viktigste IT-leverandørene, i tilfellet det er disse som er blitt kapret), i tilfelle disse ikke er tilgjengelig eller kan forventes være avlyttet av angriper. b) I tillegg bør kontaktinformasjon og beredskapsinformasjon være tilgjengelig «offline» eller på papir. Denne informasjonen må være raskt tilgjengelig i en krise, og ikke være utelukkende på system som kan ha blitt kapret.

​Tiltaksgruppe 2: Etabler gode rutiner for sikkerhetskopiering og gjenoppretting

Hvorfor er dette viktig? Hvis virksomheten utsettes for skadevare av typen løsepengevirus, så bør man på forhånd ha sikret seg slik at man raskest mulig kan komme tilbake til normaltilstanden. Da må man ha oppdaterte og tiltrodde sikkerhetskopier av data og systemer, samt gode og mest mulig ikke-manuelle metoder for å kunne gjenopprette raskest mulig. Man bør og ha en god formening om hvor lang tid man bruker på å gjenopprette sine systemer. Det betyr at man bør øve på gjenoppretting av sitt system, mange blir overrasket over hvor mye tid som går med til gjenoppretting når man faktisk har opplevd et dataangrep.

Tiltak:

7. Ha kontinuerlig oversikt over systemer som virksomheten må kunne gjenopprette i en krise. Juster beredskapsplaner deretter. Husk at alt kritisk bør kunne gjenopprettes raskest mulig, enten det kjører/lagres hos en skyleverandør eller lokalt. a) Alle virtuelle og fysiske klienter og servere må kunne gjenopprettes med minst mulig av manuelle operasjoner. Det betyr å ha kopieringsevne og gjenopprettingsevne mest mulig automatiseringsvennlig (skriptbart), for eksempel et sett av maskiner bør kunne kopieres eller gjenopprettes i samme operasjon. Det inkluderer b) master-images og maler til virtuelle maskiner, disse må for øvrig kontinuerlig holdes oppdatert. Videre må c) all konfigurasjon til operativsystemer, applikasjoner og databaser holdes oppdatert og være automatiseringsvennlig. All d) installasjons-programvare skal være raskt tilgjengelig, og skrivebeskyttet mot de fleste konti. Dette kan gjelde operativsystemer, applikasjonsprogramvare på klienter og applikasjonsprogramvare for servere.

8. Oppretthold evne til å beskytte og gjenopprette sentral IKT-infrastruktur. En rekke IKT-systemer for drift er helt avgjørende for at øvrige IKT-systemet skal fungere. Hvis disse sentrale IKT-systemene blir kapret eller sabotert medfører dette ekstra alvorlig konsekvenser: a) Domene-kontrollere må beskyttes (se grunnprinsippene) og må kunne gjenopprettes raskt, inkludert eventuelle PKI-servere. Videre gjelder dette blant annet, b) System for drift av den virtuelle infrastrukturen (egen og leverandørens), c) system for drift av klienter og servere (MDM og lignede), d) systemer for sentral sikkerhetsoppdatering og e) systemer for sikkerhetsovervåkning.

9. Oppretthold evne til å gjenopprette informasjon. Dette inkluderer filer og dokumenter på klienter, filservere, skylager samt innholdet i databaser. Unngå at filer er unikt lagret på klienter.

10. Ta sikkerhetskopi så ofte som virksomhetens behov tilsier. Virksomheten må kunne gjenopprette tapte eller endrede virksomhetsdata, programvare og systemkonfigurasjoner.

11. Bestem hvor sikkerhetskopiene skrives til og lagres, og beskytt kopiene mot kapring. Alle sikkerhetskopier må sikres mot overskriving/kryptering, manipulering og kopiering av angriper. Dette er blitt stadig mer viktig fordi løsepengevirus-forfatterne nå i større grad krypterer selve sikkerhetskopiene før de krypterer produksjons-filene. Som minimum bør a) sikkerhetskopieringen og «produksjon» ha egnet sikkerhetskille (nettverksmessig, domenemessig, rettighetsmessig) med begrenset adgang mellom disse to. b) Ha flere sikkerhetskopier med ulike kopieringsløsninger og ulike lagringslokasjoner (husk også risiko for brann og innbrudd). Det å ha kun en «monolittisk» løsning for sikkerhetskopiering bør unngås. Videre, så kan også kopier i kommersielle skyer feile/kapres, enten på grunn av kundens feil-konfigurering, eller fordi leverandøren gjør feil eller kapres. Derfor bør man vurdere å ha mer enn en kopieringsløsning. c) Tidligere/ferdige kopier bør skrivebeskyttes, alternativt bruk WORM-løsninger. Ut i fra virksomhetens størrelse og behov kan d) sikkerhetskopier lagres på tape, sky(er), USB-disker, NAS, adskilte SAN. For å få mangfold i løsningene kan man variere blant disse. e) Virksomheter må vurdere om sikkerhetskopier kan være lagret i utlandet og om tjenester som tilbyr sikkerhetskopiering helt eller delvis er driftet fra utlandet. Se og «Offline backups in an online world” (NCSC-UK).

12. Sikker drift av sikkerhetskopieringen. Drift i forbindelse med sikkerhetskopiering bør utføres med dedikerte driftskontoer (som ikke benyttes til annet) og dedikerte arbeidsstasjoner («Privileged Access Workstations (PAW)») som er plassert bak dedikerte brannmur som kun tillater aksess fra godkjente IP-adresser. Drift bør kun aksesseres via flerfaktor autentisering (pass på at denne ikke kan kapres).

13. Forbered virksomheten på evnen til å gjenopprette raskt. a) Legg til rette så godt som mulig for tiltakene 7-12. b) Øv og mål på hvor mye tid og arbeid det er med gjenoppretting. Erfaringsmessig tar gjenoppretting mye lengre tid enn mange regner med på forhånd. Eksempelvis øv på i) gjenoppretting av en domene-kontroller og ii) retanking av et større antall klienter. Normalt vil man da få noen overraskelser. Dette betyr at gjenoppretting bør testes periodisk (og beredskapsplaner justeres deretter). Formålet er å verifisere at informasjon og systemer kan gjenopprettes etter vedtatt plan. c) Identifiser om det er avhengigheter som gjør at rekkefølge på hva som gjenopprettes er avgjørende. d) Legg inn i planene at raske nyinnkjøp av datautstyr forutsetter gode avtaler og en forutsigbar global leveransesituasjon uten pandemier og geopolitiske kriser.

​Tiltaksgruppe 3: Hindre at angriper kommer inn og sprer seg i virksomhetens systemer

Hvorfor er dette viktig? Det er viktig å hindre eller begrense skadevare i å komme inn i virksomheten og å spre seg i virksomhetens systemer. Jo færre delsystemer som er berørt, jo lettere kan det være å håndtere hendelsen og begrense skaden.

Tiltak:

14. Tilgang til tjenester (og operativsystemet) bør ikke være ved bruk av enkle passord. Før eller senere gjettes passord (sluttbrukerens og tjenestens drift-passord). Bruke gode og sterke passord og ta i bruk flerfaktor autentisering. Dette er spesielt viktig for brukere med forhøyede rettigheter til drift. Pass på å deaktivere alle utdaterte påloggingsmuligheter etter innføring av flerfaktor autentisering, slik at det ikke er mulig å omgå flerfaktor.

Dette tiltaket er viktig og i svært mange tilfeller nødvendig fordi brukere enten i) velger passord som er vanlige og lette for angriperen å gjette eller ii) fordi mange brukere gjenbruker samme passord på jobb og privat. Passord som blir benyttet i en rekke tjenester på internett har blitt og blir stadig kompromittert. Lister med slike kompromitterte passord sirkulerer blant kriminelle eller blir offentliggjort for alle. Slike lister omfatter i dag mange millioner passord med tilknyttet navn og e-postadresse på brukeren, og inkluderer også svært mange norske brukere.

Dette tiltaket bør man derfor ha på flest mulig enheter/tjenester i virksomheten.

15. Ta i bruk web- og e-post-filtrering slik at vedlegg og data som har kjent skadelig innhold (og uønsket innhold dvs. «spam») blir sperret. Eksempler på slikt innhold kan være: programvare, shell-kode, programvare plassert i dokumenter (dokumentmakroer), kjent skadevare, kjente tvilsomme IP-adresser og domener, med mer.

16. Sikkerhetsherde virksomhetens tjenester (inkludert operativsystemet til serveren den kjører på). Med en applikasjon følger det ofte med en guide for hvordan applikasjonen kan låses ned, bruk i så fall slike anbefalinger. Tilsvarende gjelder ved kjøp av en applikasjons-tjeneste (SaaS). Hovedpoenget her er å skru av all funksjonalitet man ikke trenger/bruker. Dette kan være funksjonalitet en angriper kan misbruke.

17. Ikke la tjenester være direkte tilgjengelig via internett, men kun gi tilgang til tjenesten via VPN eller kanskje andre mer moderne nettverkstiltak som blant annet teknikkene nevnt i tiltak 18. Tilgang til for eksempel VPN bør ikke være med enkle passord, se tiltak 14.

18. Etabler tilgangskontroll på flest mulige nettverksporter i virksomhetens nettverk. Dette kan utføres med ulike teknikker. Noen stikkord man kan søke på er «micro segmentation», «zero trust network architecture», «Software Defined Perimeter – SDP», «Software Defined Networking – SDN». (Alle disse teknologiene er ikke nødvendigvis direkte knyttet til sikkerhet, men NSM erfarer at alt som reduserer manuell konfigurasjon bidrar til mindre feil og bedre nettverkssikkerhet.) Også klassisk VLAN-basert soneinndeling (også omtalt som «makrosegmentering») kan være et alternativ hvis man er dyktig i å segmentere og konfigurere en god dataflyt mellom segmentene. Man også vurdere en kombinasjon av makrosegmentering (VLAN-basert) og mikrosegmentering.

19. Etabler kontrollert dataflyt i virksomhetens nettverk. Ha kontroll på informasjonsflyten mellom de ulike delene av virksomhetens nettverk. Se og tiltak 18.

20. Sperr all direkte-trafikk mellom klienter. Det vil hindre at en infisert klient sprer skadevare direkte til andre klienter. Dette er ekstra relevant der ulike klienter har ulik tilgang til ulike systemer som kan resultere i rask spredning av skadevare til virksomhetens ulike systemer. Se og tiltak 18.

21. Regelmessig kartlegg og fjern «glemte» maskiner, tjenester og brukerkontoer. Alt som ikke er reelt sett i bruk (og i praksis glemt) gir erfaringsmessig økt sårbarhetsflate og er ofte en enkel vei inn for en angriper.

22. Etabler hensiktsmessig systemovervåkning i nettverk og på klienter og servere. Følg spesielt med på a) unormal aktivitet med kontoer som har administrator-rettigheter eller drifts-kontoer. Uventet bruk av sensitive kontoer med «domain admin»-rettigheter er spesielt viktig. Varsle om b) større uventede datastrømmer som kan tyde på forsøk på eksfiltrering. c) Følg med på uventet bruk av driftsverktøy som for eksempel psexec, WMI, Powershell, cmd, ssh, etc.

MITRE angreps-rammeverket gir mange andre av angripers aktiviteter man bør vurdere for å oppdage aktivitet tilknyttet skadevare.

Det er en vanlig utfordring at angriper kan ha vært etablert i virksomhetens system i uker og måneder før virksomheten oppdager dette. Jo bedre systemovervåkningen er, jo raskere kan man komme i gang med å redusere skaden.

Se også grunnprinsippene om arkitektur, beskytte nettverk, kontrollert dataflyt, konfigurasjon, sikkerhetsovervåkning samt det å ha kontroll på identiteter og tilganger.

​Tiltaksgruppe 4: Beskytt virksomhetens tjenester som er tilgjengelig fra eksterne lokasjoner

Hvorfor er dette viktig? Noen tjenester/servere skal være tilgjengelig fra utsiden av virksomhetenes nettverk. Eksempel på slike tjenester er e-post-servere (for eksempel «Exchange») og fjernaksessløsninger (RDP-tjenester). Slike tjenester har ofte dessverre svak beskyttelse, dette misbrukes i svært stor grad av trusselaktører.

Det gjelder også SaaS-tjenester som ikke er tilstrekkelig sikkerhetskonfigurert av kunden.

Ved dårlig passord-hygiene kan det være enkelt for angriper å gjette (svake) passord for deretter å få tilgang. Hvis kontoen som kompromitteres har drifts-rettigheter blir jobben enklere for angriper. Hvis serveren/tjenesten ikke er oppdatert øker sårbarheten og risiko for kompromittering.

Tiltak:

Tilgang til tjenesten (og operativsystemet) bør ikke være ved bruk av enkle passord. Se tiltak 14.

Ikke la tjenester være direkte tilgjengelig via internett, se tiltak 17.

Ha gode rutiner for raskest mulig oppdatering av programvaren (applikasjonen og operativsystemet til serveren). Se tiltak 29.

​Tiltaksgruppe 5: Hindre kjøring av angripers programvare

I dette avsnittet har skadevaren, på tross av tidligere oppgitte tiltak, kommet inn på i virksomhetens IKT-systemer. Da gjelder det å hindre at angripers programvare kan starte opp og eksekvere. Avsnittet fokuserer på å redusere angriper handlingsrom til å utføre skade på virksomhetens IKT-systemer.

Hvorfor er dette viktig? Hindre kjøring (eksekvering) av angripers kode er viktig fordi det gjør det vanskelig/umulig for angriper å 1) få et initielt fotfeste i systemet, 2) kartlegge virksomhetens IKT-systemer, 3) kryptere virksomhetens data, 4) hente ned ytterlig skadevare 5) slette spor etter seg selv og 6) eksfiltrere virksomhetens data.


 

Tiltak for å hindre eksekvering av ukjent kode på klienter:

23. Ikke gi brukere administrator-rettigheter på klienten. Hvis brukeren har slike forhøyede rettigheter får angriperen de samme rettighetene. Reduserte rettigheter kan bidra til at angriper ikke får låst tilgangen til maskinen(e) (en variant av løsepengevirus). Det bør være høy terskel knyttet til tjenstlige behov for unntak om å ha slike rettigheter for vanlige brukere.

24. Vurder hvilke typer brukere som må kunne eksekvere alt av programvare. De fleste virksomheter lar alle brukere som standard kunne eksekvere all mulig programvare («default execute» alt som finnes). Alle brukere bør ikke ha mulighet til å kjøre programvare som ikke er inkludert i en a) applikasjonsbutikk, b) virksomhetens løsning for «Mobile Device Management» eller c) en godkjent liste av eksekverbar programvarekode som sjekkes ved forsøk på kjøring. I tillegg bør virksomheter som har verktøy for det d) sperre for at sluttbrukere kan starte skriptmotorer som for eksempel powershell*.exe. Det er ikke tilstrekkelig å kun sperre ukjente skripts.

25. Hindre at programvare i dokumenter blir eksekvert. Dette gjelder makroer i Office-dokumenter og javascript-kode i PDF-dokumenter. a) Hindre at dokument-kode kan kalle andre prosesser, se tiltak 44. b) Sperr slike dokumenter hvis de kommer utenfra, i e-post- eller web-filter ref. tiltak 15. c) Tillat kun at virksomhetsgodkjente makroer kan eksekvere.


 

Tilleggstiltak for å hindre eksekvering av ukjent kode både på klienter og servere:

26. Alle klienter og servere bør driftes av virksomheten med et sentralisert driftsverktøy (som et domene-medlem, med «Mobile Device Management» eller lignende). Husk at også mobiltelefoner er klienter, ref. definisjon i grunnprinsippene.

27. Fas ut eldre programvare (operativsystem og applikasjoner) og maskinvare som ikke lengre støttes av leverandør. Eldre utgaver av IT-produkter har som regel flere sårbarheter og mindre tidsriktig sikkerhetsfunksjonalitet (støtter kanskje for eksempel kun en-faktor autentisering) sammenlignet med nyere utgaver.

28. Fjern/deaktiver ubrukt programvarefunksjonalitet som det ikke er tjenstlige behov for. a) Installer kun applikasjoner som er nødvendig for virksomhetens tjenstlige behov og b) avinstaller/ deaktiver programvare/applikasjoner som ikke er i bruk, inkludert programvare som følger med operativsystemet. c) Aksepter kun virksomhetsgodkjente applikasjons-plugins. d) Deaktiver funksjonalitet i nettlesere, PDF-lesere og Office som ikke er nødvendig. e) Deaktiver lite/ikke brukte protokoller som kan misbrukes, eksempelvis IMAP, IMAPS, POP og POPS. Deaktiver også støtten for eldre utgavene av SMB-protokollen. f) Lås ned i klientens og serveren brannmur trafikk til å følge kun vedtatt dataflyt (tiltak 19) og sperr gjerne eksplisitt TOR-trafikk (misbrukes for eksfiltrering). g) Sperr eller kontroller bruk av «applikasjonsbutikk» som kan følge med SaaS-tjenester (ekstra vei inn for ukjent programvare).

29. Etabler mest mulig automatisert sikkerhetsoppdatering av programvare. Programvare-sårbarheter i operativsystem og applikasjoner bør fjernes raskest mulig før angriperne forsøker å utnytte disse. NSM registrer at automatisert oppdatering av programvare på en server møter mer skepsis enn det å automatisk oppdatere klienter. NSM oppfordrer til automatisk oppdatering av servere, som minimum i de tilfeller hvor det kun benyttes standard hyllevare programvare som for eksempel e-post-tjenere, fjernpåloggingstjenere, mm. Erfaringer viser at det er særlig disse servere med standard programvare som angripere overtar før virksomhetene rekker å manuelt oppdatere disse. Alternativt bør man kompensere med for eksempel flerfaktor autentisering (tiltak 14) eller god nettverksbeskyttelse (tiltak 17-18), men automatisk oppdatering i tillegg er anbefalt.

Sikkerhetsoppdatering er meget viktig, men NSM ser behov for at flere virksomheter forstår at det er urealistisk å anta at den viktigste sikkerhetsbarriere er «feilfri» programvare. Noe slikt eksisterer ikke, hverken før eller etter at en sikkerhetsoppdatering er gjennomført. Det å være god på å fjerne programvare-sårbarheter betyr ikke at man er godt nok beskyttet mot angrep. Man må også fjerne andre sårbarheter med hensyn til arkitektur, rettigheter og konfigurasjon, ref. alle tiltakene ellers nevnt i denne artikkelen.

30. Benytt skadevare-skanning (antivirus/antimalware) for å oppdage kjent skadevare. Slike produkter kombineres ofte med en form for «anti-phishing», som er bra. Noen virksomheter lar skadevare-skanning være det eneste tiltak mot eksekvering av ondartet kode, men antivirus/antimalware er ikke nok for å hindre eksekvering av ondartet programvare. Skadevare, inkludert løsepengevirus, lykkes gang på gang selv om nesten alle i over 20 år har kjøpt slike sikkerhetstjenester. Flere virksomheter må forstå at slike sikkerhetstjenester i liten grad fjerner sårbarheter (se definisjon i grunnprinsippene) uten videre. Merk at noen av disse produktene/tjenestene har innebygget funksjoner som kan bidra til å fjerne sårbarheter ved å hindre eksekvering av fremmed kode, ta i så fall disse funksjonene i bruk, se eksempler i tiltak 44. I hovedsak fokuserer likevel de fleste av slike produkter primært på kjente trusler. Sikkerhetsarbeid må derfor i tillegg fokusere på å fjerne flest mulig sårbarheter ved å implementere de øvrige tiltak som er nevnt i denne artikkelen samt tiltakene i grunnprinsippene. Forsøk finne en balanse på innsatsen og investeringene mellom håndtering av sårbarheter og trusler.


 

Følgende tiltak gjelder ikke eksekvering av skadevare spesielt, men er sikkerhetstiltak som er relevant for mange ulike enheter i virksomhetens system:

31. Endre alle standardpassord på IKT-produktene før produksjonssetting. a) Dette inkluderer applikasjoner og operativsystemer på klienter og servere b) Også på rutere, brannmurer, skrivere og aksesspunkter må dette huskes.

32. Vurder om alle brukere må ha skriverett til alle fellesfiler. Det bør vurderes om alle ansatte trenger å ha skriverettigheter til alle felles mapper og dokumenter, i noen tilfeller er det tilstrekkelig med leserrettigheter. Dette kan redusere muligheten for at løsepengevirus ikke får kryptert filer.

33. Aktiver sikkerhetsfunksjonalitet som er innebygget i produkter og tjenester. Ofte vil leverandører av ulike produkter eller tjenester ha innebygget funksjonalitet som kan være effektive tiltak mot skadevare, ta disse i bruk både for klienter (se eksempel i tiltak 44) og for servere og tjenester.

Se også grunnprinsippene om arkitektur og konfigurasjon.

​Tiltaksgruppe 6: Vanskeliggjør uthenting av virksomhetsdata

Hvorfor er dette viktig? Både generell skadevare og løsepengevirus vil ofte ønske å føre virksomhetens data ut av virksomheten, dette omtales gjerne som «eksfiltrering». I noen tilfeller kan det dreie seg om ulike varianter av spionasje. For enkelte varianter av løsepengevirus dreier det seg om at angriper truer med å offentliggjøre virksomhetens dokumenter hvis man ikke betaler utpressingsbeløpet. Det er også eksempler på at stjålet data auksjoneres bort i kriminelle miljøer. Vær oppmerksom på at eksfiltrering av for eksempel kundedata kan utløse varslingsplikt overfor kundene.

Tiltak:

Hindre/vanskeliggjør eksekvering av programvare for eksfilteringen. For at eksfiltrering skal kunne utføres må angriperens programvarekode kunne eksekvere, alternativt at angriper må klare å eksekvere/misbruke programvare inkludert i operativsystemet. Se tiltakene 23-30 for å hindre/vanskeliggjøre eksekvering.

Kontrollert dataflyt kan hindre data å bli overført. Se tiltak 18-20.

Systemovervåkning må konfigureres til å detektere ukjente datastrømmer. Se tiltak 22.

​Tiltaksgruppe 7: Håndtere hendelser med skadevare

Hvorfor er dette viktig? Når man oppdager at man er under skadevare-angrep må man ta grep for å stoppe angriperen og så gjenopprette så raskt som mulig.

Det antas her at virksomheten allerede har generelle prosesser for hendelseshåndtering, ref. «kategori 4» i grunnprinsippene. Tiltakene under er for det meste spesielt med hensyn til skadevare.

Tiltak:

34. Informer alle berørte internt og eksternt, i tråd med ferdig planlagt kommunikasjonsstrategi. Det er viktig at alle berørte får rett informasjon raskt. NSM anmoder a) om at kompromittering med aktiv utnyttelse rapporteres inn til operasjonssenteret til NCSC på [email protected] eller telefon 02497 (+47 2331 0750). Dette for at NCSC bedre kan vedlikeholde et nasjonalt situasjonsbilde og eventuelt bistå i hendelseshåndteringen. Informer også raskt relevant sektor-CERT der det finnes. Kompromittering med aktiv utnyttelse bør også b) anmeldes eller tipses til politiet. c) Følg regelverk som forplikter at eksterne (for eksempel kunder) blir informert. d) Slike angrep rammer sjelden kun én virksomhet. Koordiner med andre virksomheter i samme situasjon. Det er en fordel å være åpen om hendelsen, som minimum innen ulike samarbeid-fora eller egen sektor (over betrodde kanaler).

35. Koble fra datamaskiner som er mistenkt infisert. Dette kan for eksempel gjelde stasjonære klienter, bærbare, mobiler, servere og virtuelle servere i en sky. E-post-servere og RDP-servere er ofte gjengangere i så henseende.

36. Vurder utkobling av deler av nettverk. Avhengig av hvor kritisk situasjonen er bør man vurdere å koble ut internettforbindelsen, trådløse nett, deler av det kablede nett, svitsjer eller virtuelle nett. Det kan være de mest sensitive delsystemene som midlertidig bør kobles fra. Det krever at man på forhånd forstår konsekvensene av hva man gjør og har beredskapsplaner klare for en slik handling. Delsystemer som allerede er rammet bør frakobles helt fra andre delsystemer.

37. Vurdere passordbytte på alle kontoer på serverne og tjenester som er kompromittert. Det er da godt mulig at alle passord er helt eller delvis kompromittert. a) Som minimum bør dette utføres for alle drifts-kontoer av applikasjoner og operativsystem på IKT-systemene som er kompromittert. Dette kan være tidkrevende, så man bør sjekke for kompromittering først. Hvis det er tegn på at en domene-kontroller er kompromittert, så er det et klart behov for passordbytte. b) Hvis kontoer for drift av en kompromittert server også har domene-admin rettigheter (ikke god praksis), kan også domene kontroller(e) være kompromittert. Slike rettigheter bør fjernes omgående, samt at passord raskt byttes. (Vurder å gjenopprett domene-kontroller fra grunnen av.) Dette for å sikre virksomhetens øvrige IKT-infrastruktur, ikke bare en enkel server. c) Man må passe på at man ikke låser seg selv ute av sitt system ved en feiltagelse når passord endres.

38. På infiserte enheter bør man reinstallere all programvare. Dette gjelder operativsystem, applikasjoner, applikasjons-plugins og systemkonfigurasjon. Er en enhet kompromittert så er det vanskelig å kunne stole på den før alt er reinstallert. For data må man gjenopprette fra siste tiltrodde sikkerhetskopi.

39. Sjekk om fastvare er berørt. (Dette er et avansert tiltak og i de fleste tilfeller et svært krevende tiltak.) Fastvare («firmware») omfatter UEFI/BIOS og annen fastvare i i ulike maskinvare-komponenter. Hvis fastvaren er manipulert av skadevare (sjeldent) vil det i de fleste tilfeller være best å sanere maskinen (klient eller server) da man ikke lenger kan stole på maskinen (det hjelper ikke å reinstallere operativsystem og applikasjoner). Ønsker man likevel å ta risikoen anbefales en oppdatering av fastvaren og gå igjennom innstillingene for å se om de er fornuftige sikkerhetsmessig (krever mye arbeid og spisskompetanse).

40. Bruk kun sikkerhetskopier man er helt trygg på til gjenoppretting. Det kan være vanskelig å vite hvor lenge man har hatt skadevare i sin virksomhet. Det er derfor ikke sikkert man skal benytte de aller siste (mulige infiserte) sikkerhetskopiene. Som minimum bør man kjøre en oppdatert skadevare-skanner på den valgte sikkerhetskopien for å se om det kan være kjent skadevare i sikkerhetskopien (det forutsetter at man vet at oppdatert skanner kjenner godt den aktuelle skadevaren).

41. Gjenoppretting av enheter bør utføres på en del av nettverket man er trygg ikke er kompromittert. Gjenoppretting inkluderer her nedlasting, installasjon, oppdatering og konfigurasjon av programvare.

42. Gjenoppta systemovervåkning av gjenopprettede enheter. Dette for å forsikre seg om at skadevare er fullstendig fjernet. Hvis overvåkningen tyder på det motsatte så er det a) enheter man har oversett, b) gjenoppretting som ikke var tilstrekkelig på en eller flere enheter eller c) fastvare er infisert (sjeldent).

43. Lær av hendelsen. Når alt er tilbake til normalen bør man foreta en evaluering. Vurder hva man kan lære slik at det ikke blir like alvorlig neste gang.

​Tiltaksgruppe 8: Produktspesifikke råd

Alle overnevnte tiltak er teknologinøytrale, de angir ikke spesifikke produkter, tjenester eller leverandører.

NSM erfarer at det det største volumet av skadevare er tilpasset enheter med operativsystemet Windows. Det er derfor hensiktsmessig i det tilfellet å angi litt produktspesifikk informasjon.

Tiltak:

44. Bruk sikkerhetsfunksjonalitet som er innebygget i operativsystemet. Det er som regel smart å benytte sikkerhetsfunksjonalitet som er innebygget i IKT-produktet. I Windows anbefales det at man vurderer den innebyggede sikkerhetsfunksjonalitet som for eksempel “Attack Surface Reduction (ASR)” for blant annet å hindre kall på programvare fra dokument-makroer og PDF-makroer (Adobe Reader). Funksjonen «Controlled folder access» er en annen innebygget funksjon som lar kun programvare godkjent av virksomheten overskrive dokumenter i angitte filmapper. Dette kan hindre skadevare som krypterer. Se «Grunnleggende tiltak for beskyttelse mot løsepengevirus i Windows 10» for leverandørens anbefalinger. Vær oppmerksom på at slike funksjoner kan kreve bruk av leverandørens antiskadevare-løsning. Undersøk derfor om tilsvarende funksjonalitet også tilbys med andre antiskadevare-løsninger fra andre leverandører.


 

​Tilbakemeldinger

NSM inviterer til tilbakemeldinger fra norske virksomheter i offentlig og privat sektor. Tilbakemeldinger til denne artikkelen kan sendes til [email protected]. Ha i emnefeltet «råd mot skadevare» eller lignende.

​Mer informasjon

NSMs «NSMs Grunnprinsipper for IKT-sikkerhet» har mange råd som blant annet hjelper mot skadevare. Denne artikkelen er i stor grad gjenbruk av sikkerhetstiltaket som er beskrevet i grunnprinsippene.

Sikkerhetstiltakene listet opp i denne artikkelen er også tilgjengelig i tabellform som et regnerark.

Artikkelen er delvis inspirert av artikkel utgitt av britiske myndigheter, se «Mitigating malware and ransomware attacks».

​Endringslogg

2021-11-10: Overskrifter til tiltak nr 28 og 33 bedre presisert.

2021-06-30: Publisert