Slik håndterer du et digitalt bankran

Norden har opplevd 65 prosent økning av dataangrep de siste 12 månedene, men hva gjør man når man blir angrepet, skriver Håkon Fosshaug i VMware Carbon Black. 

FORVENT ANGREP: Virtuelle gisselaksjoner øker i omfang, og vi må utvikle måten vi responder mot de kriminelle kartellene, skriver Håkon Fosshaug. Foto: NTB
Debattinnlegg

Mange sikkerhetsselskaper publiserer årlig sine sikkerhetsanbefalinger, som stort sett er de samme hver gang. Enten det er å bruke tofaktor eller å beskytte deg i skyen. Men vi ønsker å gå ett hakk lenger, for hva gjør man når man faktisk blir angrepet?

Vi har analysert vår egen data med et spesifikt søkelys på finanssektoren, en industri som ofte rammes av de verste hackerangrepene de kriminelle kan by på

I dag møter finansinstitusjoner en bølge av skreddersydd skadevare i tillegg til filløse angrep. Denne typen skadevare brukes ofte i lengre, mer komplekse kampanjer der målet er å bruke innebygde systemverktøy til bli usynlige, eller få foten innenfor ett system, ofte hos en leverandør. Deretter bruker man dem til å hoppe videre inn hos et mer lukrativt mål, som en større bank.

Vi har analysert vår egen data med et spesifikt søkelys på finanssektoren, en bransje som ofte rammes av de verste hackerangrepene de kriminelle kan by på.

Så hvordan vet man at en blir utsatt for et moderne bankran? Vi har identifisert ni kjennetegn blant våre finansbrukere i hele verden, som opplyser at de driver hendelsesrespons over halvparten av tiden på følgende angrepsmetoder (se faktaboks).

Når slik virtuelle gisselaksjoner øker i omfang, må vi utvikle måten vi responder mot de kriminelle kartellene

Det mest gjenkjennelige er å bruke destruktive angrep for å ødelegge data og ta ned subnett. Det er verdt å merke seg at kriminelle i finanssektoren vanligvis bruker slike angrep for å slette bevis fra hendelsesresponsen som kan knytte dem til angrepet. Etterretningsorganisasjonen Intel471 har registrert at løsepengevirus og wipers brukes for å kryptere filer, ødelegge harddisker, terminere konnektivitet eller starte ondsinnet kode.

Når slike virtuelle gisselaksjoner øker i omfang, må vi utvikle måten vi responderer mot de kriminelle kartellene. 

Ni kjennetegn på et moderne bankbrudd

  1. Blokkering av informasjon om hendelser fra å nå sikkerhetsløsningene
  2. Deaktivering av skadevaredetekering, Antimalware Scan Interface (AMSI) og andre sikkerhetsløsninger
  3. Sletting av logger
  4. Manipulering av tidskoder
  5. Bruk av alternative autentiseringsmetoder, som passering hash/ticket
  6. Bruk av signerte binære proxyer (f.eks. LOLBins)
  7. Bruk av legitime filer for å iverksette ondsinnet kode
  8. Bruk av løsepengevirus lignende NotPetya
  9. Bruk av wipers

Sett alltid opp en sekundær kommunikasjonslinje. Dette er viktig for å diskutere den pågående hendelsen. Du må forvente at all intern kommunikasjon er kompromittert og kanskje til og med modifisert av den uvedkommende aktøren. Du må kunne kommunisere trygt med ledelsen og kolleger og sende filer utenfor bedriftens systemer.

Anta at de kriminelle har flere tilgangspunkter inn i miljøet. Å skru av ett tilgangspunkt vil sannsynligvis ikke fjerne dem fra bedriftens nettverk. Mer sannsynlig vil det gi helt motsatt effekt og varsle angriperne at du har oppdaget dem. Bruk i stedet anledningen til å observere og vente. Ikke start hendelsesresponsen med umiddelbar blokkering av skadevareaktivitet. Slå heller ikke av kommando- og kontrollsentersystemer.

Kriminelle karteller blir stadig mer sofistikerte, og finanssektoren er blitt et mål for disse og nasjonalstater. Derfor er situasjonsforståelse avgjørende

For å identifisere alle tilgangspunktene de bruker, må du overvåke situasjonen for å få oversikt over i hvilken skala innbruddet skjer, for å effektivt kunne igangsette tiltak som faktisk fjerner de uvedkommende fra miljøet.

Start sensorer hvis du må, kun i monitoreringsmodus. Hvis du begynner å blokkere uten fullstendig oversikt, vil de kriminelle endre taktikk og blinde deg for nye tilgangspunkter. Pass på at du døper om alle sensorene.

Deretter igangsetter du honey tokens eller deception grids på sårbare angrepsflater. De som ikke kan styrkes. Dette er smart fordi det lurer angriperne til å tro de lykkes, mens de egentlig går i en felle du har designet. Etter dette må du passe på at alle administratorfunksjoner gjøres kun i siste liten. Integrer nettverksdeteksjon og respons med endepunktsbeskyttelse, og sikre alle arbeidsprosesser for å gjøre videre drift av selskapet så trygt som mulig. Slik har noen av verdens største banker løst sine egne utfordringer og kommet seg gjennom angrep i global skala. Følg opp etterpå med ukentlig trusseldetektering.

Kriminelle karteller blir stadig mer sofistikerte, og finanssektoren er blitt et mål for disse og nasjonalstater. Derfor er situasjonsforståelse avgjørende. Spillet har endret seg, og pengesvindel er ikke lenger hovedmålet, men heller å holde kontoer og viktig informasjon som gisler.

Håkon Fosshaug

Europa-sjef for løsningsarkitekter i VMware Carbon Black