Insight
En checkliste til IR hjælper dig i gang med at efterleve bedste praksis
Hvad skal du gøre hvis virksomheden skal starte på at etablere funktionerne IR og SOC?
Det er afgørende, at du får vurderet følgende, før du bliver ramt:
- Hvad er organisationens og ledelsens holdning til betaling af løsesummer? Er det muligt, og i hvilke tilfælde er det en udvej? Hvem bestemmer, om der skal betales en løsesum? Husk, at den generelle anbefaling er ikke at betale løsesum.
- Hav en plan for at kommunikere med kunder, myndigheder, partnere og medarbejdere om hændelsen både under og efter cyberhændelsen.
- Følg en indøvet plan for hændelsen. En del af planen kan være at kontakte en ekstern cyberekspert, som kan hjælpe med eller endda overtage udredningen af hændelsen. Der skal gerne være en kontrakt med denne eksterne part, før hændelsen indtræffer. Det kan evt. være en del af en cyberforsikring.
Hvordan finder du ud af, om organisationen er blevet ramt af ransomware?
- De cyberkriminelle kontakter dig elektronisk via en ransomware-notits, som typisk er et skærmbillede. Se et eksempel her.
- Myndighederne kontakter organisationen og fortæller, at nogle af virksomhedens følsomme data er til salg på nettet. Dette kan være et forstadie til et ransomware-angreb.
- Tredjepart fortæller dig, at de er blevet ramt, og at din organisation kan være en del af dette angreb.
- Etiske hackere advarer organisationen om, at der er en overhængende risiko for et ransomware-angreb som følge af trusselslandskabet og organisationens manglende forsvarsevne. Få lavet en gap-analyse hos Deloitte, og bliv klar til at modstå et angreb. Kontakt Christian Schmidt på mail eller telefon: +45 3093 6009 og hør nærmere.
- Du finder ud af dette via en medarbejder, som ser en ransomware-notits på skærmen.
- Hele organisationen finder ud af det på samme tid ved et omfattende angreb på mange eller alle systemer.
- Du ved det ikke, fordi de cyberkriminelle er ved at lokalisere og stjæle virksomhedens følsomme data, som forberedelse på en dobbelt løsesum i deres afpresningsplatform.
Det er en god idé at have disse muligheder gennemtænkt på forhånd og have en god plan for håndtering heraf.
Når ransomware-angrebet er en realitet, kan du gennemgå nedenstående tjekliste som udgangspunkt. Men der er en stor sandsynlighed for, at du ikke kan klare dette internt i virksomhedens eget Security Operations Center (SOC) – hvis det findes - men skal have hjælp af en tredjepart.
- Hvilke systemer er blevet ramt?
- Kun hvis du ikke kan afbryde forbindelsen til internettet for de ramte systemer, kan du overveje at slukke dem.
- Udred de ramte systemer. Vurdér/bestem en prioriteret rækkefølge for at genskabe de systemer og data, der er blevet ramt.
- Vurdér sammen med SOC-teamet, hvad der er sket, hvordan det er sket, og hvad IOC/TTP er ud fra den første analyse af angrebet.
- Vurdér hvem der skal kontaktes vedrørende ovennævnte indledende vurdering:
- Myndighederne, fx indberetning på virk.dk , hvis der er tale om persondata
- Internt eller eksternt (SOC/tredjepart)
- Organisationen selv (PR/ledelsen/partnere/kunder).
6. Indsaml og gem beviser for, hvad der er sket (dette er en af de afgørende forskelle mellem en beredskabsplan og en cyberhændelsesplan):
- Kopi af ransomware-notits
- EXE-filer, hashværdier, URL mm. Kan evt. undersøges via Virustotal (led evt. på Google efter ”Using Virustotal like a pro”)
- Logge (Har virksomheden de nødvendige logge i et brugbart format, som kan understøtte håndtering af cyberhændelsen)
- Memory dump, ip-adresser, regex
- Filnavne
- Powershell scripts
- E-mailadresser og kontaktoplysninger
- Bitcoin-informationer og mange andre informationer.
7. Undersøg, om der findes en mulighed for at dekryptere data. Kontakt evt. din anti-malware-producent.
8. Undersøg via en betroet kilde, hvordan du bør håndtere den specifikke type af ransomware-angreb/familie/cyberkriminelle gruppe.
9. Identificer systemer og konti, som er ramt af/involveret i angrebet.
10. Undersøg om yderligere læk af følsomme data kan forhindres
11. Hvis serverdata er blevet krypteret fra en eller flere specifikke klienter, skal årsagen findes og stoppes.
12. Undersøg andre antimalwaresystemer for alarmer og logge, som kan kaste lys over hændelsen og hjælpe med at indsamle beviser for, hvad der er sket.
13. Baseret på en dyb forståelse af teknikker og procedurer anvendt af cyberkriminelle fjernes ransomwaren, og det undersøges, hvilke teknikker der sikrer, at ransomware forankres i dine systemer (udefra og ind/indefra og ud). Dette er afgørende for, at du kan slippe helt af med ransomwaren – ellers kommer den bare igen, når du forsøger at fjerne den.
14. Genopret dine systemer fra sikre standarder. Når alle systemer er gendannet, skal alle passwords nulstilles (Hvordan gør du det?), og alle sårbarheder rettes i prioriteret rækkefølge. Husk, at forbindelsen til eksterne systemer også skal genoprettes. Er du sikker på, at din backup ikke er sårbar overfor ransomware?
15. Ransomware-hændelsen erklæres for overstået, og dette kommunikeres til relevante modtagere.
16. Efter hændelsen er det vigtigt at gennemføre en læringsrunde, hvor organisationen (og gerne omverdenen) kan opnå den nødvendige viden til at forhindre en gentagelse af denne type cyberangreb. Se fx ”5 lessons learned” og CREST ”Cyber Security Incident response Guide”.
Inspiration er hentet fra:
- CREST Cyber Security Incident Response Guide
- Thycotic: How to build you Incident Reponse Plan
- CISA MS-ISAC Ransomware Guide.
Vil du høre mere om, hvordan Deloitte kan hjælpe dig med SOC-funktionen, så er du velkommen til at kontakte Christian Schmidt på mail eller telefon: +45 3093 6009. Du kan også læse mere på vores hjemmeside.