Den stora luckan i de flesta företags inställning till säkerhet – och hur man stänger den

I cybervärlden är det inte så att avsaknaden av bevis är bevis för att inget har hänt. Här diskuterar vi dilemmat bakom att upptäcka incidenter.

Författare: F-Secure Business Security Insider
Datum: 07.12.2016
Lästid: 10 Minuter

Det här är del två av fyra i en serie inlägg om EU:s kommande General Data Protection Regulation (GDPR) – och hur den kommer att tvinga Europeiska företag till att utveckla sina processer för att upptäcka incidenter och hantera dem. I mitt tidigare inlägg slog jag hål på ”10 vanliga myter om GDPR”.

Det har varit mycket diskussion på sistone om hur lång tid det tar att upptäcka ett intrång. Olika aktörer kommer med olika svar, från optimistiska 10 timmar (McAfee) hela vägen till 205 dagar (FireEye). Tidigare i år rapporterade FireEye att tiden innan ett intrång upptäcks minskar. Om vi antar att de här siffrorna utgör något slags uppskattning av hur det ser ut ute på organisationerna. Vad säger det oss egentligen?

Jag anser att de här uppgifterna inte visar upp någon trend värd att uppmärksamma, utan snarare visar att förmågan att upptäcka intrång är långt från tillräckligt god. Det spelar ingen roll hur många dagar man kan kapa bort från det första intrånget till upptäckt – det finns fortfarande en ”long tail” som är på tok för lång. Det finns gott om exempel på intrång som gått oupptäckta i mer än ett år (OPMDNCFinska utrikesdepartementet), längre än tre år (JetBlue), längre än fem år (Gemalto) och till och med sådana som fått härja utan upptäckt i mer än tio år (Nortel).

Det finns plågsamt tydliga brister när det gäller förmågan att upptäcka intrång. Och erfarenheterna från dessa och andra exempel visar att de flesta intrång upptäcks antingen av ren slump eller genom att en vänlig utomstående tipsar om det, snarare än att upptäckten är ett resultat av organisationens eget säkerhetsarbete.

Mina damer och herrar, sätt igång tidtagningen!

Låt oss anta att du har haft ett intrång, och att du får reda på det av ren slump. Du står helt oförberedd. Efter den 25 maj 2018 kräver EU:s General Data Protection Regulation (GDPR) att ett intrång måste rapporteras till relevanta myndigheter – och de kunder som påverkas – inom 72 timmar efter upptäckt.

Det är tre hela dagar. Men det är tre dagar när klockan hela tiden tickar samtidigt som du ska ägna dig åt skadereglering, undersökning, problemlösning och samtidigt lägga upp en PR-plan som ska gå hand i hand med det officiella tillkännagivandet. Din prestation under de här tre dagarna kommer att bedömas av dina kunder, myndigheterna, bolagets styrelse, aktieägarna och inte minst av medierna. Du kommer att behöva klara av att se bra ut, även om du blir hårt granskad. Men vad händer om vd visar sig oförmögen att ge bra svar på ens så givna frågor som ”Vad hände”?

I cybervärlden är det särdeles lätt att vara efterklok

Det är vanligare att organisationer börjar bry sig om loggar och ägnar tid och resurser på att förbereda sig för en forensisk undersökning efter att de blivit offer för ett intrång än att de gör det innan. Det är som att upptäcka att du har linsskyddet på kameran efter att ditt barn precis passerat mållinjen. Om du lyckades fånga ögonblicket på bild så är det borta. För evigt. Du kanske kan bevisa att loppet faktiskt gick av stapeln, och du kommer säkert ihåg att ditt barn var med. Men du har inga bilder att dela med dig av till de stolta mor- och farföräldrarna.

Samma sak gäller när ett intrång passerat oupptäckt under lång tid, det kommer bara att finnas brottstycken av bevis kvar. Enligt Microsofts legendariska artikel ”10 Immutable Laws of Security” så kommer den data som finns kvar efter ett intrång alltid att vara ofullständig och svår att tyda – som bäst – och missvisande och icke tillförlitlig som värst. Det kommer att ha en direkt inverkan på din förmåga att ge de svar som GDPR kräver.

Om förövaren bakom attacken har varit på plats i systemet tillräckligt länge har de antagligen rensat bort spår av vad de gjort, kanske rentav planterat falska bevis. De har också fått en insyn i hur de ska göra för att undvika att dra igång larm eller lämna uppenbara spår av sin aktivitet i era loggar – de flyger i allt väsentligt under radarn.

Om du inte har vidtagit nödvändiga åtgärder för att aktivt säkra bevis innan en incident inträffar, så kommer dina undersökningar av incidenter alltid att bygga på isolerade brottstycken, på anekdotisk bevisföring och irrelevanta loggar. Det kommer att finnas tomma luckor i tidslinjen. Det kan till och med vara svårt att bekräfta exakt var intrånget skedde och i princip helt omöjligt att avgöra vad förövarna var ute efter – och om de lyckades få tag på det.

Att vända dövörat till, stoppa huvudet i sanden

Jag får fortfarande rysningar i kroppen när jag tänker på en sedelärande händelse från min tidiga karriär. En vd gav, utan att ha en aning om vad som skulle komma att ske, sin IT-säkerhetschef i uppdrag att få ner antalet incidenter. Jag kan bara hoppas att vd:n verkligen ville att det skulle tolkas som att säkerhetsarbetet behövde stärkas.

Men istället för att identifiera och åtgärda själva orsakerna till intrången hos organisationen så valde den sluge it-säkerhetschefen att se till att försvåra alla försök att rapportera intrång, ibland rentav stoppa dem. Samtidigt som personalen ute i organisationen kämpade mot skadlig kod, intrång på servrar och uppenbara brott mot företagets säkerhetspolicy så körde man med ”Jedi mind tricks” på alla som försökte höja ett varningens finger: ”Du vill inte rapportera en incident!”. Väldigt lite av det som faktiskt inträffade hamnade i de rapporter som skickades till ledningsgruppen och ingenting av värde gjordes för att förhindra säkerhetsluckorna. Vd:n gick antagligen i pension utan att ha en aning om att han blev lurad.

Sedan dess har jag påtalat – för varenda chef som orkat lyssna på mig – att man borde vara redo att antalet rapporterade incidenter antagligen kommer att öka när man inför nya, bättre, säkerhetsåtgärder. Jag säger till och med åt dem att vara misstänksamma om siffrorna ligger på en måttlig nivå. Då kanske du inte tittar tillräckligt noga? Hur ser organisationens incitament ut? Uppmanar du dem att upptäcka problem och rapportera dem, eller uppmuntrar du dem från att dölja dem. När det gäller intrång så är avsaknad av bevis inget bevis på avsaknad av incidenter!

Försvararens dilemma

Vi får lära oss att i cybervärlden så är hotet från förövare assymetriskt. Enligt ”the defender’s dilemma” så behöver den som står bakom attacken bara lyckas på en plats och kan själv välja när det ska ske. Den som försvarar behöver lyckas överallt, alltid. Om vi tar den tanken vidare så är det tydligt att oddsen är på förövarens sida och vi kommer att förlora spelet. Är det inte deprimerande? Varför ska man försvara något som motståndaren redan har vunnit?

Om vi baserar vårt svar på hur lång tid det tar för intrång att upptäckas (om de ens blir upptäckta) så verkar det närmast som att försvarande sidan redan gett upp. Som att de i tystnad valt att lämna arenan. Men det är inte rätt sätt att angripa problemet, inte rätt sätt att studera detta försvararens dilemma. Det är helt okej att erkänna att vi inte kan förhindra alla attacker, inte kan stoppa alla förövare från att nå sitt mål. Men för att kompensera för detta måste vi göra mer för att upptäcka intrång, och ta reda på hur och när de inträffade.

Att dra nytta av förövarens dilemma

En sak glöms ofta bort här; att förövaren tar sig framåt i steg och behöver följa en given väg innan de når fram till sitt mål. Under tiden så kommer de att passera olika punkter och lämna fotspår här och där. Med stor sannolikhet utgör de tecken på avvikande aktivitet som försvararna kan upptäcka. Vårt mål borde vara att utnyttja detta och göra det svårare för förövarna att fortsätta framåt utan att bli upptäckta.

Det betyder att vi måste göra våra system till en så fientlig miljö som möjligt för förövarna, så att de blir osäkra – osäkra på vad som kommer att loggas, vad som kommer att flaggas och vad som kommer att övervakas. Vi kan placera hinder genom att stärka upp systemen och dela upp dem i fristående silos för att på så sätt tvinga förövaren att ta till mer, ska vi säga högljudda, metoder. Och genom att samla in bevisen kan vi både upptäcka intrång snabbare och ha data som vi kan agera på när vi ska försöka minimera skadan och besvara intrånget.

När vi är väl förberedda så kommer vi att ha gott om chanser att upptäcka det som annars hade passerat utan upptäckt. Och när vi väl vet vad som gjorde intrånget möjligt så har vi chansen att åtgärda den nyligen upptäckta, eller åtminstone uppmärksammade, säkerhetsluckan.

Att upptäcka incidenter som ett proffs

Min erfarenhet är att organisationer som ständigt är under attack, som återkommande råkar ut för intrång, ofta är oerhört professionella i sitt säkerhetsarbete. Företag som är medvetna om den hotbild som finns bygger upp sin infrastruktur så att ett intrång alltid kan begränsas till en begränsad – och hanterbart liten – del av systemet. De ser till att loggar och information om händelser inte bara samlas in utan också hanteras på ett sätt som gör det möjligt att upptäcka avvikelser och ger stöd för att undersöka dem närmare. De håller falsklarm på en miniminivå, men missar samtidigt inte ens de mest subtila av tecken på att något har skett. De återhämtar sig snabbt efter en incident. De accepterar också det faktum att inget system är omöjligt att forcera, så de låter sig inte luras till att lägga alla ägg i en korg.

Det är ett tydligt exempel från verkligheten på Darwins tankar om att endast den starke överlever. Ta molnleverantörer som exempel – ingen seriös aktör kan överleva utan en säkerhetsorganisation av absolut topp-klass som står redo att svara mot attacker och klarar av att fullständigt mutera tjänsten för att stävja liknande angrepp i framtiden. Om du driver en stor och framgångsrik verksamhet i en högriskmiljö och samtidigt tar utvecklar, bygger och underhåller din egen infrastruktur så kommer du förr eller senare att bli expert på det här också.

Men för alla andra då? För alla de företag som inte har en egen infrastruktur för cybersäkerhet – något som tar år att bygga upp – så skulle jag föreslå att man vänder sig till en managed services-lösning. Det krävs en väldigt hög nivå av kunskap, erfarenhet, tillgängliga verktyg och möjlighet att hantera och analysera stora volymer av data. Det är goda anledningar till att lämna över uppgiften till professionella aktörer istället för att försöka omvandla sin egen, ofta krympande, it-avdelning till en grupp specialiserade på it-forensik.

Som jag nämnde i mitt förra inlägg så är inte syftet med GDPR att få dig att misslyckas, utan att hjälpa dig och ditt företag att bli bättre rustade för att hantera kommande intrång. Och om du är ett av de mindre lyckligt lottade företag som står handfallna inför den ovälkomna överraskning som ett intrång innebär så är det viktigt att veta att det finns hjälp att få. Få inte panik. Och för alla som inte vill låta kriminella hackare bli de första som testar ditt försvar, se till att anlita ett helt team av etiska hackare och låt dem upptäcka var luckan i ditt säkerhetsarbete finns.

I mitt nästa inlägg kommer jag att titta närmare på hur opportunistiska hackare, eller vanliga kriminella, beter sig när de är inne i ditt nätverk och jämföra med hur professionella förövare, med ett specifikt mål agerar – och beskriva hur de båda grupperna ibland rentav samarbetar.


Erka Koivunen var tidigare chef för CERT-FI, Finlands Computer Emergency Response Team. Sedan 2015 arbetar han på F-Secure, idag är han säkerhetsrådgivare på företaget. Företag, myndigheter och flera andra organisationer konsulterar Erka om allt från riskbedömning till incidenthantering, och han har vid flera tillfällen agerat expertvittne åt EU-parlamentet och myndigheter i bland annat Finland och Storbritannien.


Bild: Daniel Lobo, Flickr


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s