Posted: 12 Oct. 2021 6 min. read

Gagnagíslatökuárásir

Algeng netárás þar sem árásaraðilar komast yfir gögn og krefjast lausnargjalds

Fjöldi fyrirtækja á Íslandi hefur orðið fyrir barðinu á netárásum undanfarið. Þær árásir sem fjallað hefur verið um í fjölmiðlum eru svokallaðar dreifðar álagsárásir (e. DDoS) og gagnagíslataka (e. ransomware). Nýlega var rætt við íslenskt fyrirtæki sem lenti gagnagíslatöku þar sem árásaraðilar dulkóðuðu öll gögn fyrirtækisins og eyddu afritum. Fyrirtækið fékk svo kröfu um lausnargjald upp á tugi milljóna sem myndi tvöfaldast ef ekki yrði borgað fljótt. Samkvæmt stjórnendum fyrirtækisins komust árásaraðilar inn í kerfið þegar að starfsmaður smellti á slóð sem honum barst í tölvupósti, eða í gegnum svokallaða veiðipóstaárás (e. phishing).

Árásin á umrætt fyrirtæki er gott dæmi um hvernig gagnagíslatökuárás er framkvæmd, en förum aðeins út í aðrar aðferðir.

Fyrsta skref árásaraðila er að komast inn í tölvukerfi fyrirtækja. Ýmsar leiðir eru notaðar, þar á meðal:

  • Veiðipóstaárás (e. phishing)
    Tölvupóstur er sendur á fyrirtæki og vonast til að móttakandi opni viðhengi, smelli á slóð og t.d. gefi upp auðkenni eða niðurhali spillibúnaði (e. malware).
  • Aðfangakeðjuárás (e. supply chain attack)
    Ráðist er á þjónustuaðila fyrirtækis og sá þriðji aðili notaður til að komast inn í kerfi fyrirtækja, svo sem með uppfærslum á búnaði sem búið er að sýkja með spillibúnaði. Ég hef fjallað um þessar árásir í öðru bloggi.
  • Tölvuinnbrot (e. hacking)
    Ráðist er á búnað sem er aðgengilegur árásaraðila frá Internetinu. Oft á tíðum eru fyrirtæki með búnað sem er aðgengilegur frá Interneti á tölvukerfi sínu sem ekki er verndaður á viðeigandi hátt.
  • USB lykla árás (e. USB drop attack)
    USB-lykill er settur nálægt t.d. inngang fyrirtækis og treyst á forvitni einstaklings til að stinga lyklinum í vinnutölvuna og opna við það spillibúnað og hleypa árásaraðila inn í tölvukerfið.

Næsta skref árásaraðila er að koma sér vel fyrir í tölvukerfinu til að koma í veg fyrir að lokað sé á hann ef t.d. skipt er um lykilorð eða tölvan tekin úr notkun. Þekkt er að árásaraðilar séu í tölvukerfum í lengri tíma, oft á bilinu 150-300 daga og jafnvel lengur, áður en þeir gera vart við sig með ræsingu á gagnagíslatökubúnaði.

En hvað gera árásaraðila á þessum tíma?

  • Koma sér betur fyrir í kerfinu með frekari árásum innan kerfis
  • Opna aðrar leiðir fyrir sig inn í kerfi fyrirtækisins
  • Safna upplýsingum, svo sem komast að því hvaða kerfi eru til staðar í tölvuumhverfinu, hvar gögn eru geymd, hvernig afritun er framkvæmd o.fl.
  • Leitast við að komast yfir aðganga með víðtækar heimildir t.d. kerfistjóraréttindi

Þegar árásaraðili telur sig vera kominn með stjórn á kerfinu hefst hann handa við að keyra upp gagnagíslatökubúnaðinn. Oftar en ekki er fyrsta verk að eyða öllum afritum eða gera þau óvirk. Þegar gagnagíslatökubúnaður hefur verið keyrður er oft stór hluti tölvukerfisins, bæði útstöðvar og netþjónar, orðinn dulkóðaður og því ekki hægt að nálgast gögn af þeim. Þá leita fyrirtæki í afrit sín en þá kemur oft á tíðum í ljós að árásaraðili var fyrri til í afritunarkerfið og er búinn að eyða afritunum.

En hvað er hægt að gera til að takmarka líkurnar á gagnagíslatökuárás og hvernig er hægt að bregðast við?

  • Þjálfun starfsfólks er grundvallaratriði í netöryggi, því burtséð frá allri tækni þá er það oft einstaklingurinn sem er fyrsta skotmark árásaraðila. Hvorki vírusvarnir né póstsíur taka á öllum ruslpósti sem berst í pósthólf starfsfólks og því mikilvægt að það hafi fengið þjálfun í hvað skal gera þegar ruslpóstur berst.
  • Áhættumat upplýsingakerfa er góð leið til að greina hvaða kerfi og hvaða áhættur eru til staðar í tölvukerfinu og hægt væri að skilgreina hvernig skal bregðast við áhættum t.d. netárásum.
  • Innleiða tæknilegar lausnir s.s. eldveggi, póstsíur og innbrotsvarnarkerfi innan tölvukerfis.
  • Innleiða ferla um uppfærslustjórnun sem unnið er eftir til að takmarka líkurnar á mistökum og að kerfi eða hugbúnaður gleymist.
  • Framkvæma afritun sem er ekki tengd við tölvukerfi (ég fer nánar yfir það í síðara bloggi).

Þá ættu fyrirtæki að marka sér stefnu í netöryggismálum til næstu ára. Sem dæmi er hægt að meta hver staða netöryggis er núna og svo hver vilji fyrirtækisins er að hafa netöryggið eftir nokkur ár. Þannig er hægt að útbúa vegvísi (e. roadmap) og vinna eftir honum til að komast á ákjósanlegan stað. Þá er nauðsynlegt að fyrirtæki eigi uppfærða neyðar- eða viðbragðsáætlun sem tekur á því hvað skal gera ef árásaraðilar láta til skarar skríða ásamt því að vita hverjir geta aðstoðað með viðbragðsþjónustu við netöryggisatvikum

Það er þó mikilvægt að hafa í huga, að þrátt fyrir að öll ofangreind atriði séu til staðar er ekki hægt að tryggja með vissu að árásaraðili komist ekki inn í tölvukerfi fyrirtækis. Þessar aðgerðir geta þó lágmarkað það tjón sem getur orðið af árásinni.

Höfundur

Úlfar Andri Jónasson

Úlfar Andri Jónasson

Verkefnastjóri, Áhætturáðgjöf

Úlfar Andri Jónasson er verkefnastjóri í netöryggisþjónustu Deloitte á Íslandi. Hann er með ýmsar vottanir tengdar upplýsingaöryggi, þar á meðal Certified Information Systems Security Professional (CISSP) og Certified Information Systems Auditor (CISA). Úlfar hefur stjórnað og framkvæmt fjölda úttekta á upplýsingaöryggismálum viðskiptavina Deloitte, þar á meðal veikleikagreiningar, innbrotsprófanir og kóðarýni. Þá hefur Úlfar aðstoðað fyrirtæki við hönnun og innleiðingu stýringa tengdu netöryggi og innra eftirliti, auk þess að hafa víðtæka reynslu í kerfisstjórnun ogmýmsar vottanir frá Microsoft í kerfisrekstri. Úlfar er meðlimur í evrópsku viðbragðsteymi Deloitte vegna netöryggisógna og innbrota í tölvukerfi.