In English

24 april, 2017

FRA: Loggning avgörande för att stoppa cyberattacker

Som ett led i att cyberbrottslingar börjat attackera tjänsteleverantörers IT-miljöer i syfte använda deras nätverk som insteg till deras kunder har FRA valt att publicera en rapport. Rapporten har som syfte att lyfta ett antal åtgärder som organisationer kan vidta för att identifiera och försvåra attacker av detta slag.

FRA:s rapport kommer tätt inpå avslöjandet av ”Cloud Hopper” där angripare har utnyttjat brister hos tjänsteleverantörer (ex. IT-driftsleverantörer) för att i nästa steg ge sig tillgång till deras kunders IT-miljöer. Angriparna har gett sig på olika nätverksuppkopplingar och behörigheter som dessa har till förfogande till för att remote kunna administrera sina kunders nätverk.

Efter att angriparna tagit sig till kunden med hjälp av attacken via tjänsteleverantören kan de ge sig själva en direkt access till kundens miljö via dess normala internetanslutning och kan då stjäla information eller vad som nu var slutmålet med aktionen. FRA anser att den här typen av hot bör hanteras som ett insiderhot, även om aktörerna endast utnyttjar internt betrodda administratörskonton.

Rapporten innehåller både en beskrivning av hotet som sådant, men också konkreta åtgärdsförslag som kan stärka organisationers förmåga att upptäcka den här typen av attacker. FRA poängterar dock att rapporten inte kan ses som en komplett lista på lämpliga åtgärder och kan ses som ett fullgott skydd, men de är definitivt ett bra steg på vägen mot att stärka säkerheten.

Svårt att upptäcka den här typen av attack

Eftersom attackerna inte sker direkt mot slutmålet är det svårt för kunden själv att detektera den här typen av attack. Ingen skadlig kod skjuts mot kunden utan den initiala tillgången till systemen ges från tjänsteleverantören. Det gör att antivirus och andra detektionsprodukter har svårt att upptäcka att en attack pågår.

Loggning krävs för att upptäcka attacker

FRA menar att spårbarhet och loggning av aktivitet i IT-miljön är avgörande för att upptäcka den här formen av attacker. Loggarna bör lagras säkert och centraliserat för att förhindra att de manipuleras i efterhand. Det här är dock ett problem för många organisationer som har outsourcat den här typen av infrastruktur till en extern leverantör. Då handlar det till stor del om att kravställa mot sin leverantör och korrelera sina egna loggar för att se att de stämmer överens med leverantörens.

För att upptäcka anomalier på ett internt nätverk och sortera ut vem som gjort vad, vid ett specifikt tillfälle, krävs loggning och spårbarhet. FRA tar även upp vikten av kräva att tjänsteleverantören tillhandahåller en mellanliggande ”hoppserver” för att sedan ansluta sig till kundens infrastruktur, dvs VPN bör användas och den tjänsten ska inte levereras av tjänsteleverantören själv.

FRA ger förslag på tekniska och organisatoriska åtgärder som du kan läsa mer om i rapporten som du finner i sin helhet här!

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.