Exchange sårbarheten i etterpåklokskapens lys

Mange virksomheter sliter nå i kampen mot en "usynlig" fiende etter å ha blitt utsatt for et angrep som har utnyttet den kjente sårbarheten i Exchange. Sårbarheten rammer som kjent de som ikke kjører Exchange server i Microsoft skyen. Jeg har stor medfølelse med de som akkurat nå sitter og jobber for å få hodet over vann. Jeg håper likevel at dette kan være med å styrke dere til en eventuelt ny runde.

Angrepet skaper stor usikkerhet

Noen har bare hatt noen automatiske forsøk som ser ut til å være avverget, andre har hatt identifiserte innbrudd og mer målrettede angrep. Likevel blir man usikker på om det har foregått noe mer som man ikke har kontroll på. Vi ser allerede nå også at de som har hatt ett vellykket innbrudd hos seg får noen alvorlige følgeproblemer hvor en bakdør blir benyttet til å legge igjen løsepengevirus(!). Dette kommer i tillegg til problemet med å få oversikt over hva de har fått tilgang til av sensitiv informasjon.
 

Utfordringene står i kø

Nedetiden for de som har måtte slå av servere og koble seg fra internett mens de undersøker om de er rammet og omfanget av det kan være kostbar og frustrerende. I tillegg påløper det  kostnader og frustrasjon i forbindelse med å gjøre selve etterforskningsjobben, patche servere, finne bakdører og gjenopprette normaltilstand. Det skal også varsles Datatilsynet innen 72 timer og varsle eventuelle berørte. Man gruer seg også for hvilken omdømmeproblematikk dette kan få når/hvis det blir kjent i markedet at man er angrepet. Alt dette vil bekymre store deler av en virksomhet inklusive ledelsen, eierne og styret. -kanskje også kunder og partnere.
 

Husk å dokumentere

Datatilsynet krever informasjon om hendelsesforløpet, men det er også andre viktige grunner til å dokumentere hendelsesforløpet. Vi mener at man også bør sørge for å notere seg hva som gikk galt denne gangen for å lære av det.


Husk å lære av det

Jeg hører at man sier at det ikke er noe man kunne ha gjort for å unngå dette, men det ER sannsynligvis noe man kan gjøre annerledes.
 

Her er noen overordnede punkter

  • Kartlegg hvilke verdier ble berørt. Har vi kontroll på de? Klarte vi å imøtekomme kravene til sikring?
  • Kartlegg hva som er gjort for å unngå at slike hendelser skjer. Hvilke proaktive tiltak er på plass for å hindre slike hendelser? Hvilke beskyttende tiltak har vi på plass? -Husk at det ikke bare gjelder tekniske tiltak! Har vi god nok sikkerhetskultur?
  • Hvordan kan vi oppdage at slike hendelser er skjedd eller at det er kjente sårbarheter som må håndteres? Hva er planen for å håndtere kjente sårbarheter og hva kravet til tid for å implementere en kritisk patch?
    Hvor sporbart er det som er skjedd? Kan vi lese ut av loggene hva har skjedd? Har vi vært gode nok til å dokumentere?
  • Kartlegg hva som er gjort for å være mest mulig forberedt på å håndtere hendelsen. Har vi god nok beredskapsplan? Har vi en god nok plan for å håndtere slike hendelser? Har vi en god nok plan for varsling til Datatilsynet og andre berørte i tide? Klarer vi dette alene, eller bør vi knytte til oss en partner?
 

Anta at virksomheten er kompromittert: Tenk ZeroTrust!

Dersom man ikke allerede har en ZeroTrust tilnærming, er det på tide å starte på dette. Vi vet jo at man erfaringsvis kan ha en trusselaktør inne i flere måneder før man oppdager det eller de lar seg til kjenne ved f.eks en skadevare/ransomware. Nå vet vi at mange har hatt ett innbrudd, men det er vanskelig å vite følgene av dette.
 

Ta grep nå!

Snakk med oss om du trenger hjelp! Vi kan hjelpe deg med en plan fra A til Å. Det er meget viktig å gå strukturert og helhetlig til verks. Sørg for at dette er noe som er forankret i hele virksomheten. Bruk gjerne oss i Skill for å bistå dere enten dere trenger kompetanse eller kapasitet til å håndtere dette. Vi vil gjerne hjelpe!

 
Publiser en kommentar