Fjórði leiðtogafundur í sögu Evrópuráðsins verður haldinn á Íslandi 16.-17. maí 2023 og fjöldi erlendra þjóðarleiðtoga hafa staðfest komu sína til landsins. Gera má ráð fyrir að auknar netárásir gætu átt sér stað dagana fyrir og á meðan á atburðinum stendur.

Ljóst er að óprúttnir aðilar gætu viljað nýta sér þennan fund til að valda usla með margs konar netárásum gegn íslenskum innviðum, stofnunum, og fyrirtækjum. Aukinn viðbúnaður og undirbúningur er æskilegur til að draga úr líkum á alvarlegum atvikum eða rekstrarstöðvun innlendra aðila.

Að mati Syndis eru umtalsverðar líkur á mikilli aukningu á álagsárásum (DDoS) með það að markmiði að valda rofi á þjónustu innlendra aðila og því nauðsynlegt að vera undirbúin undir slíka útkomu eða aukningu á slíkum árásum. Einnig er möguleiki á aukningu á gagnagíslatökuárásum þar sem heilu netkerfin er tekin yfir af óprúttnum aðilum og fyrirtæki og stofnanir verði óstarfhæf með öllu.

Mikilvægt er að íslensk fyrirtæki og stofnanir virki sín öryggisteymi og geri ráðstafanir til að efla öryggi sem og eftirlit með það að markmiði að draga úr líkum á hvers kyns netárásum og tryggja skjót viðbrögð eins og kostur er ef eitthvað kemur upp.

Syndis starfrækir öryggisteymi (SOC) sem sinnir vöktun 24/7/365. Vikuna fyrir heimsóknina mun Syndis auka mönnun til að geta brugðist hratt og örugglega við. Til viðbótar fylgist öryggisteymi Syndis grannt með vísbendingum um sérsniðnar árásir (Threat Intelligence) í gegnum alþjóðlegt tengslanet fyrirtækisins. Til að mæta þeim fyrirspurnum sem Syndis hefur fengið höfum við sett saman þessa síðu um þær almennu aðgerðir sem vert er að huga að til að draga úr líkum á alvarlegum atvikum eða auka öryggi sérstaklega fyrir þennan atburð.

Stjórnunarlegar ráðleggingar og stjórnkerfi upplýsingaöryggis

• Vera með öfluga áætlun um samfelldan rekstur sem tekur á helstu netárásum eins og álagsárásum og gagnagíslatöku. Mikilvægt er að prófa áætlunina til að lágmarka niðritíma og kostnað ef til atviks kæmi.

• Vinna með þjónustuaðilum og tryggja að kerfi og gögn séu afrituð og að afrit virki og geti staðist meinfýsna gagnagíslatöku árás þar sem öll gögn og netbúnaður hefur verið dulkóðaður og mögulega afritaður af meinfýsnum aðilum. Mikilvægt er að tryggja aðskilnað á afritum frá öðrum umhverfum svo ekki sé hægt að dulkóða afrit líka.

• Fara yfir og tryggja að varnir eða viðbragð sé til staðar sem hægt er að virkja til að stoppa álagsárás eða draga úr áhrifum hennar. Mikilvægt er að gera einhverskonar prófanir til að staðfesta að viðbragð eða varnir geta skilað tilætluðum árangri.

• Yfirfara aðgangsstýringar og lykilorðareglur tímanlega til að draga úr líkum á árásum sem nýta sér notendur með slök lykilorð eða eldri gagnaleka. Sérstaklega ber að yfirfara alla notendur sem eru með lykilorð sem renna ekki út auk þeirra sem hafa mikil réttindi eins og kerfisstjóra og þjónustuaðila með aukin réttindi. Það er algengt hjá þjónustuaðilum í rekstrarþjónustu að starfsmenn þeirra samnýti lykilorð milli viðskiptavina og mögulega gætu þau verið þekkt af meinfýsnum aðilum.

• Tryggja að tveggja þátta auðkenning sé virk (og skilyrt) þar sem við á og sérstaklega í allri þjónustu sem er aðgengileg frá Internetinu eða er notuð til að stjórna tölvubúnaði (RDP, Terminal Services, Citrix, osfrv).

• Tryggja að starfsmenn hafi fengið þjálfun í almennri öryggisvitund sem og kynningar á aðferðum sem beitt er til þess að komast hjá tvíþættri auðkenningu, sbr. þegar fólk er platað til að gefa upp kóða eða samþykkja tilkynningar (push notifcation). Við mælum eindregið með því að þessi atburður sé einnig nýttur til þess að vekja áhuga fólks á persónulegri ábyrgð á eigin netöryggi og persónuvernd sem og netöryggi þeirra starfsvettvangs.

• Lágmarka þann fjölda af net- og þjónustu innviðum sem eru aðgengilegir frá Interneti og minnka þannig árásarflöt eða öryggisfótspor fyrirtækis sé þess kostur. Sjá nánar í tæknilegum ráðleggingum.

• Ef fyrirtæki og stofnanir eru í öryggisvöktun er mikilvægt að tryggja að öryggisteymi séu með aukna vöktun á öryggisvörnum dagana fyrir og meðan á fundurinn stendur. Í þessu felst meðal annars að öryggisteymi fylgist með innbrots varnarbúnaði og fylgi mögulegum atvikum eftir með meiri hraða og eftirfylgni.

• Fyrir þá aðila sem telja sig vera í sérstaklega mikilli hættu gagnvart mjög einbeittum aðilum er hægt að stilla sum tæki í „Protected/Lockdown mode“ sem dregur til muna úr líkum á því að hægt sé að brjótast inn í tækið. Sem dæmi styður Apple slíkt, en mögulegt er að aðrir framleiðendur bjóði upp á samskonar valmöguleika.

• Á meðan á atburðum stendur í Hörpu mælum við sérstaklega með að gestir sem þurfa að tengjast Internetinu hvort sem er í gegnum þráðlaus eða hefðbundin fjarskiptanet styðjist við notkun á VPN. Fyrir aðra mælum við með að hafa síma í „flugvélastillingu“ allan tíman þar sem gera má fastlega ráð fyrir því að einhvers konar hleranir á samskiptum munu eiga sér stað.

• Ganga úr skugga um að nýjustu öryggisuppfærslur séu til staðar á net- og tölvubúnaði, a.m.k. gagnvart öllum þeim búnaði og þjónustu sem er aðgengileg frá Internetinu sbr. því sem má finna úr ytri árásarfleti fyrirtækja.

Sniðmát af fyrirspurnum til þjónustuaðila

Eftirfarandi eru drög að tölvupóstum eða fyrirspurnum sem hægt er að nota til hliðsjónar.

Dæmi um tölvupóst til þjónustuaðila vegna öryggisuppfærslna

Kæri <þjónustuaðili>,

Vinsamlega staðfestið með svari við þessum tölvupósti að helstu kerfi <nafn fyrirtækis> séu uppfærð með viðeigandi öryggisuppfærslum og stillingar séu í samræmi við bestu venjur.

Kv. <nafn viðskiptavinar>

Dæmi um tölvupóst til þjónustuaðila vegna afritunar

Kæri <þjónustuaðili>,

Vinsamlega tryggið að öll mikilvæg gögn og kerfi <nafn fyrirtækis> séu afrituð og staðfestið virkni afrita. Vinsamlega staðfestið viðnámsþrótt gegn árásum eins og gagnagíslatöku.

Kv. <viðskiptavinur>

Dæmi um tölvupóst til vitundarvakningar innanhúss

Kæri samstarfsmaður,

Fjórði leiðtogafundur í sögu Evrópuráðsins verður haldinn á Íslandi 16.-17. maí 2023 og fjöldi erlendra þjóðarleiðtoga hafa staðfest komu sína til landsins. Samhliða heimsókn eru taldar umtalsverðar líkur á netárásum með það að markmiði að valda rofi á þjónustu innlendra aðila.

Við viljum biðja starfsmenn að vera sérstaklega á varðbergi á næstu misserum og tilkynna alla óeðlilega hegðun til <öryggisteymis>. Dæmi um þetta eru tölvupóstar, símtöl, fyrirmæli og/eða vinabeiðnir á samfélagsmiðlum.

Kv. <stjórnandi/öryggisteymi>

Tæknilegar ráðleggingar varðandi ytri árásarflöt fyrirtækja

Syndis veit eftir reynslu af aðkomu í kjölfar fjölda innbrota gegn íslenskum aðilum, auk þess að hafa unnið öryggisúttektir í yfir 10 ár, að rótarástæða innbrota er skortur á þekkingu á ytri árásarfleti þeirra. Þessi árásarflötur er einskonar öryggisfótspor þar sem tæknilegt umfang er skilgreint svo betur megi átta sig á hvar alvarlegar hættur geta legið.

Í alltof mörgum tilfellum er slíkur árásarflötur of stór miðað við þörf. Syndis mælir eindregið með því að skilgreina þetta tæknilega umfang með það að markmiði að draga úr og slökkva á óþarfa hlutum sem fyrirtæki og stofnanir eru gjarnan að keyra og jafnframt leggja áherslu á að herða betur það sem nauðsynlegt er að keyra.

Syndis mælir með heildrænni aðferðafræði sem er lýst hér tæknilega þar sem umfangið er skilgreint út frá mismunandi flötum sem í heild gefa vísbendingu um umfang fyrirtækis í augum ytri aðila. Öll þau tól sem vísað er í eru ókeypis en mælt er með því að fyrirtæki sem hafa aðgang að öðrum verkfærum, t.d. vefskönnunartólum, veikleika skönnunartólum, keyri þau gegn öllu því umfangi sem finnst.

Fyrirtæki þurfa að hafa það á hreinu hvaða rótarlén eru til staðar og í eigu fyrirtækis. Ef það er ekki ljóst þá ætti það að fá staðfest frá UT deild fyrirtækis hver rótarlén eru.

Ef ekki er hægt að bera kennsl á þau rótarlén sem fyrirtæki á er hægt leita það uppi með ýmsum leiðum, hérna eru tvö tól sem hægt er að nota í þeirri von um að finna rótarlén.

ViewDNS Reverse Whois Lookup

Amass In-depth Attack Surface Mapping and Asset Discovery

Ef hægt er að nálgast færslu skrár (zone records) af nafnamiðlara þjónum þá einfaldar það til muna að finna hvaða undirlén eru til staðar fyrir hvert rótarlén. Hinsvegar ef ekki er hægt að nálgast öll undirlén úr nafnaþjónum þá er hægt að ráðast í undirléna leit sem er það sem ytri aðilar beita gjarnan.

Þetta felur í sér að leita eftir öllum mögulegum undirlénum fyrir hvert rótarlén í eigu fyrirtækis. Efirfarandi tól gerir okkur kleyft að leita af mögulegum undirlénum sem tengjast rótarlénum.

Amass In-depth Attack Surface Mapping and Asset Discovery

Subfinder Fast passive subdomain enumeration tool

theHavester E-mails, subdomains and names Harvester - OSINT

Bbot OSINT automation for hackers

ffuf Fast web fuzzer written in Go

Til að fá betri niðurstöður er hægt að stilla tólin til að nota ýmsar þjónustur á Internetinu sem hafa upp á undirlénum. Nánari útskýringar er að finna á Github fyrir hvert tól.

Eftir að undirlénum hefur verið safnað saman, annað hvort með subdomain enumeration eða með færslu skrám úr nafnaþjónum er hægt að ráðast í að greina hvaða hugbúnaður, vefþjónustur, og vefir eru til staðar.

Eftirfarandi tól er hægt að nota til að finna virkar vefþjónustur og vefi ásamt því að kortleggja hvaða tækni er á bak við ásamt mörgum öðrum möguleikum.

httpx Fast and multi-purpose HTTP toolkit written in Go

Þegar keyrslu er lokið þá er hægt að notast við skjáskotstól til að einfalda yfirferð á vefþjónustu og vefjum.

Go Witness Web screenshot utility written in Go

Með þessu ætti að vera hægt að finna út flestar eða allar vefþjónustur og vefi sem snúa út á Internetið fyrir hvert rótarlén.

Næst er hægt að ráðast í sérstaka veikleikaskönnun á móti þeim vefjum og vefþjónustum sem fundust.

nuclei Fast and customizable vulnerability scanner based on simple YAML based DSL

Eftir að þessu er lokið er rálegt að scanna allt IP range’ið og öll subdomain til að athuga hvort einhver óþarfa opin port eru til staðar eða hvort einhverjar úreltar eða óþekktar þjónustur séu að keyra.

Masscan TCP port scanner, spews SYN packets asynchronously, scanning entire Internet in under 5 minutes

Nmap Nmap - the Network Mapper

Naabu A fast port scanner written in go with a focus on reliability and simplicity

Einnig er hægt að benda á bbot sem getur framkvæmt þetta allt, en þar sem tólin eru öll með lærdómskúrfu er betra að kynna sér þau og keyra þau sjálfur til þess að átta sig betur á eiginleikum þeirra.

Næst er gott að keyra veikleikaskann á móti opnum portum til að athuga hvort einhverjir veikleikar séu til staðar. Nmap er frítt tól sem getur framkvæmt veikleikaskann á móti þjónustum.

Nmap Nmap - the Network Mapper

Hins vegar eru til margar útgáfur af veikleikaskönnum sem hægt er að greiða fyrir, en þær verða ekki teknar fyrir hér.

Hægt er að notast við vefþjónustur eins og Shodan til þess að fá hraða yfirsýn yfir hvað finnst á netinu sem er í eigu fyrirtækis ásamt því að lista veikleika ef þeir finnast.

Shodan A search engine for Internet-connected devices

Athuga skal að ekki er einungis hægt að treysta á niðurstöður úr Shodan, ferilinn sem lýst er hér að ofan vinnur með niðurstöðum úr Shodan.

Lykilorðalekar hafa einnig leikið fyrirtæki grátt, til eru vefþjónustur á netinu sem leyfa fólki, gegn gjaldi, að leita af lykilorðum sem hafa lekið út í helstu gagnalekum síðustu ára. Þar er auðveldlega hægt að leita að léni fyrirtækis til að athuga hvort lykilorð starfsmanna hafa lekið.

Dehashed Data-Mining and Deep Web Asset Search Engine

Fyrirtæki ættu að staðfesta að allar lausnir sem hleypa starfsmönnum inn á innri net fyrirtækis eða veita aðgang að auðlindum fyrirtækis frá Interneti séu varðar með tveggja þátta auðkenningu.

Einnig er gott að skoða þær skýjaveitur sem fyrirtækið notar. Eftirfarandi atriði er gott að hafa í huga þegar kemur að skýjaveitum og því sem er hýst þar:

• Passa að þeir notendur sem hafa viðkvæm réttindi innan veitu séu varðir með tveggja þátta auðkenningu.
  • Gott er að setja viðkvæma notendur í vöktun
• Passa að óheftur aðgangur að auðlindum innan veitna sé ekki til staðar nema þess þurfi. Eftirfarandi auðlindir ætti að skoða sérstaklega með tilliti til óhefts aðgengis frá Interneti.
  • Buckets
  • Applications
  • Services
• Einfaldast er að staðfesta slíkan aðgang með cloud CLI tólum fyrir hverja veitu fyrir sig.

Athuga skal að þetta er ekki tæmandi listi yfir þau tól eða aðferðir sem hægt er að nota í að greina ytri árásarflöt fyrirtækis. Mörg önnur tól og aðferðir eru til staðar sem virka einnig með þeim tólum sem eru tekin fram hér að ofan.