Tredjepartsproblemet: Vilken risk utgör dina partners?


En attack mot din organisation kan utföras genom externa tjänsteleverantörer, byråer och konsulter du samarbetar med. Men lyckligtvis finns det bra metoder för att minimera riskerna.

Cybersäkerhet, Senaste nytt, Tips & Råd // 09.03.2017

De flesta företag är beroende av externa partners, underentreprenörer och leverantörer för att få sin verksamhet att fungera. Och i takt med att med att affärsrelationerna utvecklas är det inte sällan så att system och processer integreras med varandra. Vi har sett många fall av att man förbisett säkerhetsarbetet hos samarbetspartners när man sätter den här integrationer på plats.

Det finns flera skäl till att det händer. Att kräva att en samarbetspartner ska skärpa sin säkerhet skulle med säkerhet sakta ner processen betydligt – om det ens är möjligt. De personer och de team som är ansvariga för affärssamarbeten är sällan fokuserade på just säkerhet. Och när IT-avdelningar väl får i uppdrag att genomföra integrationen handlar det ofta om att bara ”få allt på plats”, gärna så snart som möjligt – vilket gör att de tvingas ta genvägar för att möta sina mål.

Alla externa parter du samarbetar med är en potentiell förlängning av din attackvektor, av din exponering mot risker och hot. Det kan leda till opportunistiska attacker (om din partner drabbas och angriparen snubblar över en väg in i dina system) eller riktade attacker (angriparen undersöker företag du samarbetar med för att hitta en väg in på ditt nätverk).

Exakt hur den processen ser ut varierar mycket beroende på vilken typ av tredje part du samarbetar med. Det finns mycket utrymmer för kreativitet och fantasifulla lösningar när det handlar om den här typen av attacker – och det är extremt svårt att täcka in varje tänkbart scenario.

Nedan följer några exempel på attackvektorer som våra säkerhetskonsulter stötte på i det vilda under förra året.

Facility Services

Företag som levererar fastighetstjänster – sådant som sophämtning, underhåll, städning och fysisk säkerhet – har av naturliga skäl tillträde till sina kunders lokaler som en del av arbetet. Det kan inkludera ID-brickor, nyckelkort, koder och kartor över anläggningar.

Det faktum att cyberattacker ofta har sitt ursprung i en annan geografisk region än den måltavla de siktat in sig på är inte direkt någon hemlighet. Men om vi tittar närmare på metodiska, välplanerade och riktade attacker så kan angripare mycket väl gå så långt i sina ansträngningar att de infiltrerar den här typen av företag för att få tillträde till måltavlans lokaler. Och det är något som vårt team för incidenthantering upptäckte – i Europa, under året som gick.

Den här typen av företag är sällan särskilt tekniskt avancerade. Det hör till exempel inte till ovanligheten att de förvarar relevant information på en öppen nätverksmapp som medarbetarna kan gå in i för att ladda ner den information de behöver innan de ger sig ut till kund. Att deras säkerhetsrutiner håller så låg nivå gör att de är synnerligen lågt hängande frukt – om en angripare skulle bestämma sig för att ta till fysiskt intrång som en del av sin attack.

Våra CSS-konsulter är uppmärksamma på den här typen av attacker, att man siktar in sig på sitt mål via en tredje part och de vet från sina egna red-teaming-övningar att taktiker som att låtsas vara mattrengöringsföretaget med stor sannolikhet kommer att ge dem tillgång till fysiska lokaler.

Den typen av information som kan leda till att man får tillgång till kontorsbyggnaden eller hemmet kan i sig också vara av värde för brottslingar. Att cyberbrottslingen med stor sannolikhet befinner sig långt bort från sin måltavla kan lätt leda en att tro att det här inte utgör något större hot. Men betänk följande scenario: En hackare i New York tillskansar sig förmågan att öppna uppkopplade ”smarta” lås på distans. Men låsen han fått tillgång till finns i Europa. Att han personligen ska åka över Atlanten för att göra inbrott är kanske inte så troligt, men att han lägger ut informationen för försäljning, säg för 500 kronor per lås…det är inte en orimlig tanke. På så sätt kan lokala brottslingar köpa koderna och sköta själva inbrottsbiten.

Nätverksburna attackvektorer är också en del av den här hotbilden när företag, kanske framförallt inom Facility Management, får möjlighet att hantera sina kunders infrastruktur på distans. Mjukvaran för att kontrollera larmsystem, kameror, klimatanläggning och systemen för att hantera fysiskt tillträde är ofta mycket gammal och skriven utan att utvecklarna tänkt särskilt mycket på säkerhet. Det är inte ovanligt att den här typen av system nås via Telnet eller VNC – ibland till och med utan verifiering.

Att hitta den här typen av problematik kräver inte särskilt mycket tid framför Shodan.

Attacken mot Target år 2013 är ett numera klassiskt – och ofta omtalat – exempel på den här typen av attack. Angriparna tog sig in via ett system skapat för att övervaka och styra luftkonditioneringsystem. Maskinen låg öppen mot internet och var sammanlänkad med Targets övriga och mer affärskritiska nätverk. Att ta kontroll över luftkonditioneringen var enkelt, och från den positionen kunde angriparna ta sig vidare in i nätverket och till sist hela vägen fram till Targets kassasystem.

Externa byråer

Byråer inom marknadsföring, varumärkesarbete, webb, rekrytering och e-handel är en annan återkommande angreppspunkt för den här typen av attacker. De hanterar ofta tjänster som är direkt kopplade till kundernas företagsnätverk. Att få tillgång till byråns system kan ge en angripare en enkel väg in kundernas system.

En byrå har en server och på den ligger flera kunders sajter. En del av kunderna har maskiner som står i direktkontakt med den webbservern. Ett intrång där gör att samtliga sajter på den är sårbara, antingen på grund av felaktig konfigurering eller sårbara plugin. Och om en angripare får tillgång till webbservern så får de tillgång till andra anslutna system. Just den här typen av servrar – som står som ett slags spindel i ett nät av uppkopplade företagssystem – är hårdvaluta för cyberbrottslingar.

Rekryteringsfirmor är särskilt utsatta på grund av den typ av information de hanterar – de får mängder av PDF-filer och Word-dokument från ”okända” avsändare varje dag. Och den typen av dokument används ofta för den ursprungliga infektionen.

 

Dessutom har de ofta egna databaser över kandidater som deras kunder sedan kopplar upp sina egna system mot. En rekryterare som får ett skadligt CV kan – utan att de vet om det – ladda upp det på databasen och därmed oavsiktligt sprida den skadliga koden till samtliga kunder. Allt angriparen behöver göra är att ta sig förbi rekryteringsbyråns säkerhetslösning.

Skadliga dokument är inte den enda attackvektorn i det här scenariot. Det är fullt möjligt att ”sökande” bäddar in skadliga länkar i sina CV eller personliga brev. I ett exempel från verkligheten kunde vår avdelning för hotanalys se hur flera HR-avdelningar blev måltavlor för nätfisken i samband med en opportunistisk riktad ransomware-attack mot företag.

Hela rekryteringsprocessen är för övrigt fylld av olika riskmoment och sådant som går att utnyttja för nätfiske, riktat nätfiske och spridning av olika typer av skadlig kod.

Konsulter

Många företag tar in externa medarbetare, som konsulter och underentreprenörer. Företag som erbjuder konsult- och outsourcingtjänster har alla sina egna säkerhetsregler (gällande sådant som klientskydd, dokumenthantering och säkerhetsmedvetenhet) – och dessa kommer alltid att skilja sig från de policys och regelverk som finns ute hos deras kunder.

Flera högprofilerade fall de senaste åren har visat att externa medarbetare kan utgöra risker för organisationen de arbetar hos.

Konsulter får ofta antingen full eller begränsad tillgång till företagsnätverk och nätverksanslutna resurser, inte sällan via datorer som inte kommer från – och inte blivit konfigurerade av – företaget de jobbar hos. Många företag tar in konsulter för att sätta upp eller hantera finansiella och affärskritiska system. Mjukvaruutveckling läggs ofta ut på andra företag – och dessa utvecklare får ofta full tillgång till källkod och system för versionskontroll. Att noggrant övervaka varje liten sak som en inhyrd resurs gör är i princip omöjligt.

Angripare vänder sig ofta till ägare av botnet när de är på jakt efter en lämplig punkt på nätverket att ge sig på – inte sällan finns det infekterade maskiner som redan befinner sig på ”insidan”. Externa konsulter innebär en större sannolikhet att de får tag på en sådan dator. De innebär också att det finns ännu fler möjliga måltavlor för riktade nätfisken och social engineering.

Om din organisation ofta använder externa konsulter och underentreprenörer så kan hamnar dina fysiska lokaler också mer i riskzonen för intrång och social engineering. Ju fler okända ansikten som brukar komma och gå varje dag, desto enklare blir det att lura medarbetare och en angripare som utger sig för att vara konsult kan inte bara bli insläppt i byggnaden – hen kan få tillgång till skyddade delar av lokalerna också. Våra CSS-konsulter använder regelbundet den typen av taktik när de gör hot- och beredskapsanalyser hos sina kunder – och det lyckas ofta.

 

Några goda råd på vägen

När du arbetar med externa partners så finns det en del saker du kan göra för att minimera risken för att råka ut för den här typen av attacker. Var alltid försiktig när du ger externa enheter tillgång till ditt nätverk. Begränsa åtkomsten så mycket som möjligt. Var hård med att ge tillgång. Om möjligt, placera alla externa enheter på separata nätverk, med begränsad tillgång till övriga system. Utgå från att den aktuella enheten är skadlig och behandla den därefter.

I samband med att du tar in en partner så är det bra att ha för vana att titta närmare på deras säkerhetsrutiner och – om det är möjligt – arbeta tillsammans med dem för att förbättra svaga punkter. Men oavsett om det är genomförbart eller ej, se alltid till att ge dem tydliga riktlinjer för hur de ska göra. Och om det går – analysera deras system så långt det är möjligt.

När det gäller extern personal som arbetar hos din organisation är det bästa att förse dem med utrustning som du har kunnat installera och konfigurera själv. Ge dem bara tillgång till de system de måste ha tillgång till för att kunna göra sitt jobb och se till att dra tillbaka alla förmåner och all tillgång när de är klara. Se till att du har möjlighet att logga deras aktivitet, och se till att loggarna faktiskt granskas också.

Var särskilt vaksam när det gäller åldrade system, till exempel system som används för att hantera infrastruktur och maskiner. Det bästa är att hålla dem helt separerade från resten av nätverket. Om du ger externa aktörer tillgång till den här typen av system se till att det finns fungerande och beprövade system för autenticering och övervakning – och se särskilt till att det inte går att ansluta till dem från det öppna internet.

Håll ett öga på vem och vad som försöker ansluta till ditt företagsnätverk – och vilken information som efterfrågas. Det är särskilt viktigt om du har många externa parter som kommer och går. Gör regelbundna genomsökningar av dina system och ditt nätverk för att identifiera okända system och tjänster – och stäng ner dem om du hittar något.

Och sist, men inte minst – det är en bra idé att utbilda dina medarbetare om social engineering och hur det fungerar i praktiken. Använd berättelser från verkligheten! Använd anekdoter! Låt dem kolla på filmklassikern Sneakers med Robert Redford och River Phoenix från 1992 (eller ett par avsnitt av TV-serien Mr.Robot). Det är faktiskt kul att lära sig mer om de här sakerna och om det görs på rätt sätt så kommer dina medarbetare att engagera sig i arbetet.

 

Den här artikeln är ett smakprov från vår nya rapport ”The State of Cyber Security 2017”. För fler trender, mer information och insikter från våra experter – ladda ner den idag!

 

Foto: Speed Nut, flickr.com

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s