Incidenthantering ur ledningskontra teknisktperspektiv. Stefan Öhlund & André Rickardsson

Transkript

1 Incidenthantering ur ledningskontra teknisktperspektiv Stefan Öhlund & André Rickardsson

2 Stefan Öhlund Senior Advisor Ansvarig för affärsområdet Risk Management Bakgrund från Säkerhetspolisen och Försvarsmakten m.m.

3 André Rickardsson Co-founderBitsec AB Principal Administrative Officer Swedish Security Service Senior Administrative Officer Government Offices of Sweden

4 Agenda Scenario Incidenten Uppdraget Genomförande Sammanfattning Frågor, frågor, frågor och åsikter

5 Incidenten Intrånget upptäcktes i januari 2010 Styrelseordförande S i bolaget B får e-post från VD V med ett Excel dokument arsredovisning.xls S öppnar filen och ser att den är tom S vidarebefordrar dokumentet till V och undrar vad det är V öppnar också filen och blir undrande V har ett ledningsmöte, i pausen frågar han IT-chefen om det är något fel på e-posten V förklarar det mystiska e-posten som S fått av V IT-chef startar utredning

6 Uppdrag För att kunna genomföra en menbedömning önskade kunden, förmedlat via IT-chefen, att utredningen sökte svar på följande frågor, i prioritetsordning: VAD NÄR HUR VEM VARFÖR, senare

7 Uppdrag Skäl till frågeriktningar VAD är viktigt för att fastställa om det finns ett aktivt hot, eller om det är kvalitetsbrist (motsv.). Anger möjlig avgränsning och omfattning för utredningen. NÄR anger ev. kopplingar till omkringliggande händelser (tidskontextuell del). Är det inträffade t.ex. en konsekvens av, symptom på eller förutsättning för andra händelser? HUR anger tillvägagångssättet och metoden (Modus Operandi) för attacken. Genom att studera metod och tillvägagångssätt kan vi t.ex. dra slutsatser om kompetensnivå hos angriparen (om attacken genomförts av amatör eller proffs ). VEM är intressant om det finns tecken på om det är en insider eller angripare utifrån, eller om det är en samordnad attack med flera involverade. Att verkligen identifiera källan till intrång är dock mycket svårt då dessa oftast inte sker direkt utan genom någon annan. VARFÖR avgör vilka bakomliggande motiv eller strategier som avgör ev. fortsatta attacker. Är målet t.ex. uppnått genom attacken, är det ett villospår, eller ett delmoment. Även här måste en fördjupad kontextuell analys ske utifrån klarlagd profil och kopplade drivkrafter hos angriparen.

8 Metod Målformulera utredningen Vad vill ni uppnå? När måste det var klart? Vem är mottagaren? Frysa läget Samtal ( vittnen ) Dokumentation Säkra datamedia Säkerhetskopior Spegelkopiering Analys Verksamhet Kontextbedömning, övergripande Kodgranskning Time line Rapportering Verksamhetrelaterad Teknisk

9 Analys, Verksamhet Tekniskt angrepp i ett sammanhang Objektiv grund för subjektiva skäl Verksamhet i finansbranschen, inga elaka aktiviteter Inte börskritisk, möjligen börspåverkande i ytterkanten Inga uttalade hot eller dokumenterade omkringliggande incidenter Inga i direkt närhet tidsliggande aktiviteter av mer strategisk natur (t.ex. uppköp, försäljning, omorganisation) Ingen uppenbar koppling i andra externa sammanhang (etik, politik, religion, etnicitet) Inga personrelaterade hotbilder

10 Analys, Verksamhet Tekniskt angrepp i ett sammanhang Vi ska fria, inte fälla Inga uppenbara kvalitetsbrister (oaktsamhet, vårdslöshet) i organisation eller system Inga uppenbara drivkrafter hos närliggande personal (ledningsfunktioner, IT, andra ) Riskspridning av händelsen begränsad (liten grupp som känner till någon, än färre som vet allt) Medialt bevakning låg/obefintlig (normalbild)

11 Analys, teknik Kodanalys visar att Excel filen innehåller två okända exploits, en för Excel och en för Windows Installera Remote Admin Trojan (RAT) Poisen Ivy (PI) med systembehörighet PI kopplar upp sig mot server i Kina via port 80 PI möjliggör att angriparen har full kontroll och tillgång till offrets dator

12 Analys, teknik Poisen ivy installeras i alla Windows dator som kör Excel filen Excel filen har öppnats i ordförandens dator Excel filen har öppnats i VD:ns dator Ordförandens dator är bärbar och administreras inte via något bolaget På datorn finns information för ett antal bolag VD:ns dator är en bärbar som används och administreras i bolaget På dator och speciellt när den är inkopplad i bolagets nätverk finns i princip all bolagsinformation

13 Sammanfattning Slutsatser Utredningens bedömning är att: Intrånget startade den 25 januari 2010 och avslutades den 27 januari 2010 Tillvägagångssättet och använda metoder talar för att det är en riktad attack med styrelseordförande som mål Bolaget var alltså inte det primära målet, men blev en uppkommande möjlighet. Omfattningen avgörs i huvudsak av tillgång till information i berörda pc samt tidsfaktorn.

14 Sammanfattning Rekommendation Utredningen rekommenderar att: Klarlägg ansvarsförhållanden för ordförandens dator och övrigt IT-stöd Skapa och implementera skyddande rutiner runt nyckelfunktioner på styrelsenivå Tydliggör rutiner för incidenthantering (eskalering, integritet, kommunikation) både för styrelse och bolaget i övrigt Rensa ordförandes dator och köra WOLF Ominstallera datorer/system i bolaget Återställa information i bolagets system till före den 25 januari 2010 Segmentera åtkomst av information inom bolaget Kryptera och signera e-post Övervaka nätverket för onormal utgående trafik Utbildning av berörd personal och ledning.

15 Frågor, frågor? Eller åsikter?