Læren fra det store Mærsk-hackerangreb: Disse 27 punkter skal du have styr på

25 kommentarer.  Hop til debatten
Læren fra det store Mærsk-hackerangreb: Disse 27 punkter skal du have styr på
Illustration: Maersk.
Sidste år var Mærsk under belejring af NotPetya-ransomware-angrebet i ni dage, hvilket kostede det danske erhvervsflagskib op mod to milliarder kroner. Her er it-direktørens tjekliste for it-beredskabet, inden du selv skal afværge et ransomware-angreb.
person
Mads Elkær redaktion@version2.dk
Reportage8. november 2018 kl. 05:12
errorÆldre end 30 dage
person
Mads Elkær redaktion@version2.dk
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Da verdens hidtil største ransomware-angeb på en tirsdag i juni sidste år tromlede mod 2.000 selskaber overalt på kloden, blev det indledningen på ni særdeles sejlivede dage for Mærsk Olie og Gas.

Mærsk var blandt de ramte virksomheder af den potente efterfølger til Petya-ransomwaren – NotPetya – som spredte sig med lynets hast fra kompromitterede it-installationer i Ukraine ud til computere på blandt andet Esplanaden i København.

Udadtil gik blandt andet Mærsk-hjemmesiden, bookingsystemerne og container-terminaler i sort, mens der indadtil blev kæmpet heftigt for at genvinde kontrollen over de inficerede maskiner. Tilsammen kostede NotPetya-angrebet Mærsk op mod to milliarder kroner.

27 tjekpunkter for it-ansvarlige

Tom Christensen har opstillet følgende 27 punkter, som du skal have styr på før og under et angreb:

Før et angreb

  • Opret en kill-switch
  • It-beredskabsplanen klargjort, testet og udprintet
  • Roller og ansvar definerede i en printet version
  • It-war room etableret og kendt af de relevante nøglepersoner
  • Plan B for en anden lokation, hvor virksomhedens medarbejdere kan mødes under et angreb
  • Skrive telefonlister – igen udprintet
  • Telefonbro etableret, hvis kommunikationssystemerne er nede
  • Liste over prioriterede apps – hvad skal restores først
  • Kommunikationskanal til outsourcing-partnere, så beslutninger kan implementeres hurtigt
  • Undgå administrative rettigheder på pc’er, så ingen henter og kører malware
  • Ingen trafik mellem pc’er – kun godkendt trafik mellem servere
  • Kun read-only domain controllers – maksimalt fem personer med domain admin-password
  • Mobile device management på telefon inklusive tvungen kode
  • Generelt tvungen password-udskiftning på it-udstyr
  • Proces for løbende opdateringer af beredskabsplanen

Under et angreb

  • Vis lederskab, tag ansvar
  • Der skal kun være én krise-kommandør, det er ikke et demokrati
  • Vær iskold og rolig, panik smitter
  • Humor hjælper, rigid styring brænder folk ud
  • Hav tillid til, at medarbejderne ved, hvad de skal gøre – ikke micro management
  • Husk kulturen – eksekver NU betyder ikke nødvendigvis lige nu i alle kulturer
  • Hellere for mange statusmøder end for få – hold folk inde i varmen og del viden
  • Få struktur på statusmøderne, så folk får arbejdsro
  • Udpeg en eller flere til skrive logs – så ved du præcis, hvad du har ændret under angrebet
  • Brug det nuværende setup og tænk ikke i mulige redningsplanker, det kan man gøre bagefter
  • Udpeg folk til at tænke fremad – disse folk bidrager ikke til brandslukningen
  • Forbered dig på, hvordan du får genetableret til normal status igen

Kilde: Tom Christensen, CIO hos Total og tidligere CIO hos Mærsk Olie og Gas

Flere ramt på it-beredskabet

Beregninger fra den amerikanske statsadministration har anslået, at skaderne efter NotPetya på globalt plan er løbet op i over 60 milliarder kroner som følge af produktionsstop og tabte ordrer.

Artiklen fortsætter efter annoncen

Selvom flere af de ramte selskaber her godt et år efter stadig slikker sårene efter angrebene, er der ifølge Mærsks daværende CIO, Tom Christensen, flere værdifulde erfaringer at tage med sig, inden der igen kommer et lignende angreb – og det kommer, pointerer han.

»Intet i vores it-beredskabsplan tog højde for den situation, som vi havnede i sidste år. Jeg har talt med folk fra 20 andre ramte virksomheder, og ingen af dem havde det korrekte beredskab,« fortæller Tom Christensen om sine oplevelser med NotPetya på en cybersikkerhedskonference på Christiansborg, arrangeret af Check Point.

Han er i dag CIO hos den franske olie-gigant Total og har på Christiansborg-sikkerhedskonferencen medbragt en række slides, hvor han kort ridser op, hvad en virksomhed skal og bør have styr på før og under et angreb (se faktabokse til højre).

Husk nu dræberknappen

Tom Christensen fremhæver først og fremmest, at en virksomhed ikke alene kan belave sig på at have det nyeste og dyreste sikkerhedssoftware.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Derimod fortæller han, at selskaber skal have etableret en ’kill-switch’, så man øjeblikkeligt kan lukke ned for og isolere sine inficerede computere.

I tilfældet med NotPetya spredte ransomwaren sig som en steppebrand fra computer til computer grundet anvendelsen af to hacker exploits, EternalBlue og Mimikatsz, der angreb sårbarheder på Windows-maskiner og spredte sig over netværket.

»Hvis I har outsourcet jeres it-setup, så skal I have en klar aftale med jeres leverandør om en kill-switch,« lyder rådet fra Tom Christensen.

En overskuelig beredskabsplan

Dernæst er der naturligvis selve it-beredskabsplanen, som er den it-ansvarliges bibel, når angrebet raser, kaos ulmer lige under overfladen, og det kræver et koldt hoved at nedkæmpe hackerne.

Tom Christensen har efter NotPetya-angrebene haft rig lejlighed til at revurdere, hvad en effektiv it-kriseplan skal indeholde – og den bør maksimalt være på 40 sider, så den er overskuelig.

»Det er jo ikke rocket science, at man hele tiden skal teste, teste, teste og teste sin beredskabsplan. Den, der træner og har en struktur på sit it-beredskab, vinder. For man skal huske på, at det er en krig,« siger Tom Christensen, som selv har 17 års erfaring fra Forsvaret.

»Du skal også huske at have en udprintet version af beredskabsplanen lige ved hånden, for det er ikke sikkert, at du kan komme til planen på din computer under et angreb,« siger Tom Christensen.

Klare roller er alfa og omega

Udover beredskabsplanen skal der ifølge Mærsks tidligere CIO fokuseres på governance, rollefordeling og ansvar frem for på mulige scenarier, som alligevel aldrig kommer til at udspille sig i praksis.

»Vores scenarier virkede ikke, men det gjorde vores governance-modeller til gengæld,« forklarer Tom Christensen.

Han fremhæver, at han trods kun 20 timers søvn på ni dage fik rollefordelingen til at spille under angrebet, så ingen var i tvivl om, hvem der havde ansvar for hvilke områder.

»I min optik ejer CIO’en sådan en krise og kan uddelegere sit ansvar til blandt andet netværkschefen undervejs. Der skal være en struktur med klare roller, så der er nogen, der ejer krisen,« lyder det fra Tom Christensen.

Humor hjælper i krisetider

Undervejs i et angreb hjælper det ifølge it-direktøren også med en god portion humor, som han har taget med sig ind på Christiansborg.

»Hele angrebet på ni dage var nok det dyreste teambuilding-kursus, jeg nogensinde har været på. Men det føltes også godt, at vi stod sammen,« siger Tom Christensen.

Han fortæller, at undervejs i angrebet blev der joket godt og grundigt og eksempelvis afholdt fødselsdag for en medarbejder klokken et om natten for at holde humøret oppe.

25 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
25
Hans Nielsen
10. november 2018 kl. 10:54

tja? pest eller kolera.

Så er valget jo let :-) Det ene meget dødeligt uden behandling, det andet overlever man typsik bare ved symtombehandling.

  • more_vert
    • insert_linkKopier link
22
Niels-Arne Nørgaard Knudsen
9. november 2018 kl. 07:09

tja? pest eller kolera. valget er lukke ens net af i et begrænset tidsrum og få overblik over situationen eller risikere at ligge stille i flere dage.

når det handler om IT sikkerhed kan en smule paranoia godt være handy. hellere ligne en idiot med livrem og seler, end stå med et nedsmeltet netværk.

man kan sige at taktikken er gør det mod dig selv, før en eller anden hacker-dude gør det endnu mere effektivt.

  • more_vert
    • insert_linkKopier link
20
Henrik Hansen
8. november 2018 kl. 22:48

Generelt tvungen password-udskiftning på it-udstyr

Selv Microsoft har opdaget at det er væsentligt mere sikkert at gennemtvinge 2FA og en høj password-kompleksitet, end at tvinge brugerne til at skifte passwords hver 2. uge:

Microsoft Recommends Non-Expiring Passwordshttps://practical365.com/security/microsoft-recommending-non-expiring-passwords-to-office-365-customers/

Off-topic, men alligevel: Jeg sad tilfældigvis ved siden af en, tydeligvis ledende, Total-medarbejder på flyet fra Paris, lige efter deres køb af Mærsk Olie og Gas. Under hele flyveturen fra Charles de Gaulle til København sad vedkommende og redigerede en PowerPoint, med to-be organisationsdiagrammer og lister over hvor, og hvor mange medarbejdere der skulle fyres i den gamle Mærsk-organisation. For mig personligt foralte denne oplevelse siger alt om den reelle sikkerhedskultur, og det skulle ikke undre mig hvis han var lokaladministrator på sin ThinkPad.

  • more_vert
    • insert_linkKopier link
19
Per Laursen
8. november 2018 kl. 22:20

Inficer forholdsvis få maskiner og få hele molevitten slukket.

Måske ikke så god en ide med den KillSwitch alligevel.

  • more_vert
    • insert_linkKopier link
17
Hans Nielsen
8. november 2018 kl. 21:00

"kunne rykke de ramte maskiner af netværket, "

Og hvordan gør du det på et ramt netværk ?

Hvis angrebet er en orm som er ukendt, så vil alle maskiner som bare sluttes til nettet, blive angrebet. Kan du huske ILOVEYOU

Men derfor skal man ikke give fortabt, vil mene også brug af flere OS vil betyde bedre beskyttelse. Eller det vil bare være godt at have et par linux og Apple maskiner hvis det er Windows som angribes. Eller omvent.

Hvis man har penge og ens forbindelser og PCer er "livsnødvendige" Så kan man også vælge at have måske 2 typer af netværk/firewall som ikke er baseret på samme OS.

Men tror også man kommer langt, ved at vælge et ældre/gammel OS som er baseret på multitaskning, sikkehed, flerbruger og netværk. Altså Nix af en type som FreeBSD

  • more_vert
    • insert_linkKopier link
16
Mikkel Planck
8. november 2018 kl. 19:20

... At dette relativt nemt kunne være løst med ICE/CloudPath/Clearpass/"indsæt selv flere", hvor man via certificater og COA, kunne rykke de ramte maskiner af netværket, eller alternativt til et andet VLAN (uden adgang til coorporate net) så man stadigvæk havde access til dem. Nemt men ikke gratis :-)

  • more_vert
    • insert_linkKopier link
15
Deleted User
8. november 2018 kl. 16:39

Udover de tiltag der her ses, så er deciderede beredskabs (mobil)telefoner til nøglepersoner, med numre som kun kendes internt.

I tilfælde af et større angreb, vil "alle" forsøge at ringe til IT afdelingen og det vil derfor være umuligt at kommunikere uden en dedikeret telefon.

Kender til firmaer som har dette og hvor beskedden er at går man i beredskab, så lægges den normale telefon og man overgår til beredskabstelefonen for nøglepersoner.

  • more_vert
    • insert_linkKopier link
13
Michael Hansen
8. november 2018 kl. 16:03

Er glad for vi er skiftet til VMware NSX her, det tager under et sekund at pushe en regel ud der forbyder VM's at snakke med noget som helst på hypervisor niveau (hvis serveren først er kompromiteret hjælper windows firewall m.m. nada), også mellem VM's på samme netværk/subnets, men samtidig lade diverse kritisk infra snakke sammen men ikke med noget andet (web presense/ingående voice f.eks).

For ikke at tale om at begrænse east-west traffik i første omgang i normal drift, så et evt. angreb allerede fra starten har langt svære ved at sprede sig.

Ikke en billig løsning, men 7-9-13, vi har endnu ikke været udsat for noget større angreb, selv med >1500 ansatte. (Men sikkerhed er så også prioriteret højt generelt, det er sgu det eneste ansvarlige at gøre, selvom folk brokker sig over de ikke er lokal admin m.m.).

Det undrer mig stadig så mange der ikke som det absolut mindste får segmenteret deres netværk, klienter og servere har intet at gøre på det samme subnet/netværk, og endnu bedre på rolle/afdelings niveau, der er ingen grund til finance skal have adgang til netværket HR bruger etc, smid gerne en "moderne" FW mellem netværkene, som evt kører på UserID niveau også.

  • more_vert
    • insert_linkKopier link
12
Christian Nobel
8. november 2018 kl. 14:21

Hvis man ikke maler sig selv op i hjørnet med en monokultur, så kan man komme langt.

Og så undrer det mig at man bliver ved med at kalde det et hackerangreb mod Mærsk - det var en trojaner som Mærsk (bla. kva monokulturen) fik sluppet løs i deres netværk, imo er det "man" kalder for hackning noget målrettet, dvs. der er nogen der lusker rundt inde i ens systemer.

  • more_vert
    • insert_linkKopier link
11
Klavs Klavsen
8. november 2018 kl. 14:15

AD har et LDAP interface, men er ikke en ldap database - men det er jo egentlig er lige gyldigt i denne diskution.

LDAP ER kun en api specifikation.. det er ikke en database. Alle LDAP implementationer jeg er stødt på - kan bruge en eller flere database backends til at opbevare data i. Så når jeg siger LDAP databasen, mener jeg bare den database de data du ser via LDAP api'et persisteres i.

Backup af replikeret data, er kun brugbart i den situation hvor intet eksistere

øhh? vrøvl. Som nævnt af bl.a. Flemming Riis - så beskytter korrekt backup (der ikke kan slettes/ændres af samme credentials som kan tilgå/manipulere med AD data) imod at nogen f.ex. ændrer/sletter data - som jo ellers ville blive replikeret til alle instanser og dermed være irreversibelt. At man er heldig at finde en AD server der lige "ikke har replikeret" - er jo bare sørgeligt, at det overhovedet er relevant for at man kan komme på fode igen.

  • more_vert
    • insert_linkKopier link
10
Casper Pedersen
8. november 2018 kl. 13:28

AD har et LDAP interface, men er ikke en ldap database - men det er jo egentlig er lige gyldigt i denne diskution.

Problmet med Windows er at hvis en server bliver kompromitteret, så har man faktisk lov til at gøre som man vil - hvilket kan gøre Windows løsninger meget sårbare. Der er mulighed for at lukke serverne ned så man skal authentikere hvis man vil lave admin arbejde ... men meget få gør det.

Backup af replikeret data, er kun brugbart i den situation hvor intet eksistere ...

  • more_vert
    • insert_linkKopier link
8
Thomas Vestergaard
8. november 2018 kl. 12:40

Ransomware betyder at der er nogen, der forsøger at afpresse ofrerne - det var ikke tilfældet med NotPetya. At den opførte sig sådan var udelukkende en afledningsmanøvre for at forvirre ofrerne så det tog længere tid inden til rigtige procedurer blev iværksat.

Der var reelt ingen mulighed for at genskabe data ved dekryptering.

At denne forvirring stadig findes er skuffende.

  • more_vert
    • insert_linkKopier link
7
Klavs Klavsen
8. november 2018 kl. 12:04

Det gælder jo for alle databaser - inkl. LDAP databasen (som AD data ligger i). Tåbeligt.

Derudover så har jeg før med success anvendt twiki (open source) - den har den kæmpe fordel at den skriver det på disk som ren html - og så havde vi en fast procedure med at den der havde vagten, lige kørte et "usb-stick sync job" af wiki data. På den måde havde man altid AL dokumentation på local usb stick - og det var nemt at søge i på lokal computer - som ikke behøvede netværksadgang :) (istedet for at print ved hvert vagtskifte).

Og så gælder det jo som altid at en recovery plan, ingen anvender jævnligt - er en ugyldig recovery plan :)

Jeg prøver generelt at bygge mine recovery planer ind som en del af almindelige procedurer.. f.ex. opsætte nye servere (som f.ex. række af webservere) - magen til hvordan jeg ville gøre det i recovery situation osv. - og så bare få automatiseret det hele.

  • more_vert
    • insert_linkKopier link
6
Niels-Arne Nørgaard Knudsen
8. november 2018 kl. 11:57

... er vi et par stykker der har agiteret for i flere år.

jeg vil anbefale at dele ens net op i 2 fysisk seperate dele:

  • en del der har med alt at gøre der skal være public access til udefra. det kan være mail-servere, vpn, web osv
  • og så en del der indeholder allearbejdsmaskinerne

sidstnævnte sættes bag en router hvor DMZ sættes til et IP# der ikke eksisterer på ens subnet.

ønsker man at lukke af har man 2 muligheder: det man præsenterer til verden og der man arbejder.

ønsker man at have en vpn kan man netop være meget mere kritisk med hensyn til hvilken trafik der slippes igennem fra public til work delen. hvis man overhovedet anser det for at være nødvendigt at have en form for udveksling mellem de to.

  • more_vert
    • insert_linkKopier link
4
Michael Deichmann
8. november 2018 kl. 10:38

I bakspejlets krystalklare lys - Jo, men man havde jo flere hundrede replika, så hvorfor lave back-up? :-) Det har man så svaret på nu.

  • more_vert
    • insert_linkKopier link
3
Tobias Tobiasen
8. november 2018 kl. 09:27

Og hvad skete der for offline backup? En tidligere artikel har nævnt at AD indholdet kun blev redet fordi en AD server i Afrika tilfældigvis var nede under angrebet. Havde det ikke været smart med en offline backup der ikke påvirkes af angreb.

  • more_vert
    • insert_linkKopier link
2
Tobias Tobiasen
8. november 2018 kl. 09:24

Havde Microsoft ikke releaset et patch længe inden Mærsk blev ramt? Burde et af punkterne ikke være "Sørg for at patche dine maskiner"?

  • more_vert
    • insert_linkKopier link
1
Jesper Frimann
8. november 2018 kl. 09:21

»Intet i vores it-beredskabsplanen tog højde for den situation, som vi havnede i sidste år. Jeg har talt med folk fra 20 andre ramte virksomheder, og ingen af dem havde det korrekte beredskab,« fortæller Tom Christensen om sine oplevelser med NotPetya på en cybersikkerhedskonference på Christiansborg, arrangeret af Chech Point.

Det er jo lidt trist at høre, da hovedparten af de "27 tjekpunkter for it-ansvarlige", som er nævnt i artiklen altså er pretty much BAU (Business As Usual), hvis man tager IT seriøst, og lader faglig kompentent personale definere diaster/cyper incidents, playbooks m.m.

Problemet er at sådan noget koster penge, og mange steder har man det med at skære i sådan noget som IT-sikkerhed, fordi man ikke kan se værdien i det. Og det er jo sådan set fair nok. Men så må man også stå på mål for, at man har taget risikoen.

Det kan anbefales at se til NIST, hvis man sådan vil se på noget gratis materiale vdr. planlægning m.m. om netop cyper incidents og disaster recovery.

// Jesper

  • more_vert
    • insert_linkKopier link