Læren fra det store Mærsk-hackerangreb: Disse 27 punkter skal du have styr på

Illustration: Maersk
Sidste år var Mærsk under belejring af NotPetya-ransomware-angrebet i ni dage, hvilket kostede det danske erhvervsflagskib op mod to milliarder kroner. Her er it-direktørens tjekliste for it-beredskabet, inden du selv skal afværge et ransomware-angreb.

Da verdens hidtil største ransomware-angeb på en tirsdag i juni sidste år tromlede mod 2.000 selskaber overalt på kloden, blev det indledningen på ni særdeles sejlivede dage for Mærsk Olie og Gas.

Mærsk var blandt de ramte virksomheder af den potente efterfølger til Petya-ransomwaren – NotPetya – som spredte sig med lynets hast fra kompromitterede it-installationer i Ukraine ud til computere på blandt andet Esplanaden i København.

Udadtil gik blandt andet Mærsk-hjemmesiden, bookingsystemerne og container-terminaler i sort, mens der indadtil blev kæmpet heftigt for at genvinde kontrollen over de inficerede maskiner. Tilsammen kostede NotPetya-angrebet Mærsk op mod to milliarder kroner.

Læs også: NotPetya: Mærsk skrinlagde opgradering af sikkerhed - det var ikke bonusgrundlag

Flere ramt på it-beredskabet

Beregninger fra den amerikanske statsadministration har anslået, at skaderne efter NotPetya på globalt plan er løbet op i over 60 milliarder kroner som følge af produktionsstop og tabte ordrer.

Selvom flere af de ramte selskaber her godt et år efter stadig slikker sårene efter angrebene, er der ifølge Mærsks daværende CIO, Tom Christensen, flere værdifulde erfaringer at tage med sig, inden der igen kommer et lignende angreb – og det kommer, pointerer han.

»Intet i vores it-beredskabsplan tog højde for den situation, som vi havnede i sidste år. Jeg har talt med folk fra 20 andre ramte virksomheder, og ingen af dem havde det korrekte beredskab,« fortæller Tom Christensen om sine oplevelser med NotPetya på en cybersikkerhedskonference på Christiansborg, arrangeret af Check Point.

Han er i dag CIO hos den franske olie-gigant Total og har på Christiansborg-sikkerhedskonferencen medbragt en række slides, hvor han kort ridser op, hvad en virksomhed skal og bør have styr på før og under et angreb (se faktabokse til højre).

Husk nu dræberknappen

Tom Christensen fremhæver først og fremmest, at en virksomhed ikke alene kan belave sig på at have det nyeste og dyreste sikkerhedssoftware.

Derimod fortæller han, at selskaber skal have etableret en ’kill-switch’, så man øjeblikkeligt kan lukke ned for og isolere sine inficerede computere.

I tilfældet med NotPetya spredte ransomwaren sig som en steppebrand fra computer til computer grundet anvendelsen af to hacker exploits, EternalBlue og Mimikatsz, der angreb sårbarheder på Windows-maskiner og spredte sig over netværket.

»Hvis I har outsourcet jeres it-setup, så skal I have en klar aftale med jeres leverandør om en kill-switch,« lyder rådet fra Tom Christensen.

En overskuelig beredskabsplan

Dernæst er der naturligvis selve it-beredskabsplanen, som er den it-ansvarliges bibel, når angrebet raser, kaos ulmer lige under overfladen, og det kræver et koldt hoved at nedkæmpe hackerne.

Tom Christensen har efter NotPetya-angrebene haft rig lejlighed til at revurdere, hvad en effektiv it-kriseplan skal indeholde – og den bør maksimalt være på 40 sider, så den er overskuelig.

»Det er jo ikke rocket science, at man hele tiden skal teste, teste, teste og teste sin beredskabsplan. Den, der træner og har en struktur på sit it-beredskab, vinder. For man skal huske på, at det er en krig,« siger Tom Christensen, som selv har 17 års erfaring fra Forsvaret.

»Du skal også huske at have en udprintet version af beredskabsplanen lige ved hånden, for det er ikke sikkert, at du kan komme til planen på din computer under et angreb,« siger Tom Christensen.

Klare roller er alfa og omega

Udover beredskabsplanen skal der ifølge Mærsks tidligere CIO fokuseres på governance, rollefordeling og ansvar frem for på mulige scenarier, som alligevel aldrig kommer til at udspille sig i praksis.

»Vores scenarier virkede ikke, men det gjorde vores governance-modeller til gengæld,« forklarer Tom Christensen.

Han fremhæver, at han trods kun 20 timers søvn på ni dage fik rollefordelingen til at spille under angrebet, så ingen var i tvivl om, hvem der havde ansvar for hvilke områder.

»I min optik ejer CIO’en sådan en krise og kan uddelegere sit ansvar til blandt andet netværkschefen undervejs. Der skal være en struktur med klare roller, så der er nogen, der ejer krisen,« lyder det fra Tom Christensen.

Humor hjælper i krisetider

Undervejs i et angreb hjælper det ifølge it-direktøren også med en god portion humor, som han har taget med sig ind på Christiansborg.

»Hele angrebet på ni dage var nok det dyreste teambuilding-kursus, jeg nogensinde har været på. Men det føltes også godt, at vi stod sammen,« siger Tom Christensen.

Han fortæller, at undervejs i angrebet blev der joket godt og grundigt og eksempelvis afholdt fødselsdag for en medarbejder klokken et om natten for at holde humøret oppe.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (25)
Jesper Frimann

»Intet i vores it-beredskabsplanen tog højde for den situation, som vi havnede i sidste år. Jeg har talt med folk fra 20 andre ramte virksomheder, og ingen af dem havde det korrekte beredskab,« fortæller Tom Christensen om sine oplevelser med NotPetya på en cybersikkerhedskonference på Christiansborg, arrangeret af Chech Point.

Det er jo lidt trist at høre, da hovedparten af de "27 tjekpunkter for it-ansvarlige", som er nævnt i artiklen altså er pretty much BAU (Business As Usual), hvis man tager IT seriøst, og lader faglig kompentent personale definere diaster/cyper incidents, playbooks m.m.

Problemet er at sådan noget koster penge, og mange steder har man det med at skære i sådan noget som IT-sikkerhed, fordi man ikke kan se værdien i det. Og det er jo sådan set fair nok. Men så må man også stå på mål for, at man har taget risikoen.

Det kan anbefales at se til NIST, hvis man sådan vil se på noget gratis materiale vdr. planlægning m.m. om netop cyper incidents og disaster recovery.

// Jesper

Tobias Tobiasen

Og hvad skete der for offline backup? En tidligere artikel har nævnt at AD indholdet kun blev redet fordi en AD server i Afrika tilfældigvis var nede under angrebet.
Havde det ikke været smart med en offline backup der ikke påvirkes af angreb.

Niels-Arne Nørgaard Knudsen

... er vi et par stykker der har agiteret for i flere år.

jeg vil anbefale at dele ens net op i 2 fysisk seperate dele:
* en del der har med alt at gøre der skal være public access til udefra. det kan være mail-servere, vpn, web osv
* og så en del der indeholder allearbejdsmaskinerne

sidstnævnte sættes bag en router hvor DMZ sættes til et IP# der ikke eksisterer på ens subnet.

ønsker man at lukke af har man 2 muligheder: det man præsenterer til verden og der man arbejder.

ønsker man at have en vpn kan man netop være meget mere kritisk med hensyn til hvilken trafik der slippes igennem fra public til work delen. hvis man overhovedet anser det for at være nødvendigt at have en form for udveksling mellem de to.

Klavs Klavsen

Det gælder jo for alle databaser - inkl. LDAP databasen (som AD data ligger i).
Tåbeligt.

Derudover så har jeg før med success anvendt twiki (open source) - den har den kæmpe fordel at den skriver det på disk som ren html - og så havde vi en fast procedure med at den der havde vagten, lige kørte et "usb-stick sync job" af wiki data. På den måde havde man altid AL dokumentation på local usb stick - og det var nemt at søge i på lokal computer - som ikke behøvede netværksadgang :)
(istedet for at print ved hvert vagtskifte).

Og så gælder det jo som altid at en recovery plan, ingen anvender jævnligt - er en ugyldig recovery plan :)

Jeg prøver generelt at bygge mine recovery planer ind som en del af almindelige procedurer.. f.ex. opsætte nye servere (som f.ex. række af webservere) - magen til hvordan jeg ville gøre det i recovery situation osv. - og så bare få automatiseret det hele.

Thomas Vestergaard

Ransomware betyder at der er nogen, der forsøger at afpresse ofrerne - det var ikke tilfældet med NotPetya. At den opførte sig sådan var udelukkende en afledningsmanøvre for at forvirre ofrerne så det tog længere tid inden til rigtige procedurer blev iværksat.

Der var reelt ingen mulighed for at genskabe data ved dekryptering.

At denne forvirring stadig findes er skuffende.

Casper Pedersen

AD har et LDAP interface, men er ikke en ldap database - men det er jo egentlig er lige gyldigt i denne diskution.

Problmet med Windows er at hvis en server bliver kompromitteret, så har man faktisk lov til at gøre som man vil - hvilket kan gøre Windows løsninger meget sårbare. Der er mulighed for at lukke serverne ned så man skal authentikere hvis man vil lave admin arbejde ... men meget få gør det.

Backup af replikeret data, er kun brugbart i den situation hvor intet eksistere ...

Klavs Klavsen

AD har et LDAP interface, men er ikke en ldap database - men det er jo egentlig er lige gyldigt i denne diskution.


LDAP ER kun en api specifikation.. det er ikke en database. Alle LDAP implementationer jeg er stødt på - kan bruge en eller flere database backends til at opbevare data i. Så når jeg siger LDAP databasen, mener jeg bare den database de data du ser via LDAP api'et persisteres i.

Backup af replikeret data, er kun brugbart i den situation hvor intet eksistere


øhh? vrøvl. Som nævnt af bl.a. Flemming Riis - så beskytter korrekt backup (der ikke kan slettes/ændres af samme credentials som kan tilgå/manipulere med AD data) imod at nogen f.ex. ændrer/sletter data - som jo ellers ville blive replikeret til alle instanser og dermed være irreversibelt. At man er heldig at finde en AD server der lige "ikke har replikeret" - er jo bare sørgeligt, at det overhovedet er relevant for at man kan komme på fode igen.

Christian Nobel

Hvis man ikke maler sig selv op i hjørnet med en monokultur, så kan man komme langt.

Og så undrer det mig at man bliver ved med at kalde det et hackerangreb mod Mærsk - det var en trojaner som Mærsk (bla. kva monokulturen) fik sluppet løs i deres netværk, imo er det "man" kalder for hackning noget målrettet, dvs. der er nogen der lusker rundt inde i ens systemer.

Michael Hansen

Er glad for vi er skiftet til VMware NSX her, det tager under et sekund at pushe en regel ud der forbyder VM's at snakke med noget som helst på hypervisor niveau (hvis serveren først er kompromiteret hjælper windows firewall m.m. nada), også mellem VM's på samme netværk/subnets, men samtidig lade diverse kritisk infra snakke sammen men ikke med noget andet (web presense/ingående voice f.eks).

For ikke at tale om at begrænse east-west traffik i første omgang i normal drift, så et evt. angreb allerede fra starten har langt svære ved at sprede sig.

Ikke en billig løsning, men 7-9-13, vi har endnu ikke været udsat for noget større angreb, selv med >1500 ansatte. (Men sikkerhed er så også prioriteret højt generelt, det er sgu det eneste ansvarlige at gøre, selvom folk brokker sig over de ikke er lokal admin m.m.).

Det undrer mig stadig så mange der ikke som det absolut mindste får segmenteret deres netværk, klienter og servere har intet at gøre på det samme subnet/netværk, og endnu bedre på rolle/afdelings niveau, der er ingen grund til finance skal have adgang til netværket HR bruger etc, smid gerne en "moderne" FW mellem netværkene, som evt kører på UserID niveau også.

Henrik Madsen

Udover de tiltag der her ses, så er deciderede beredskabs (mobil)telefoner til nøglepersoner, med numre som kun kendes internt.

I tilfælde af et større angreb, vil "alle" forsøge at ringe til IT afdelingen og det vil derfor være umuligt at kommunikere uden en dedikeret telefon.

Kender til firmaer som har dette og hvor beskedden er at går man i beredskab, så lægges den normale telefon og man overgår til beredskabstelefonen for nøglepersoner.

Mikkel Planck

... At dette relativt nemt kunne være løst med ICE/CloudPath/Clearpass/"indsæt selv flere", hvor man via certificater og COA, kunne rykke de ramte maskiner af netværket, eller alternativt til et andet VLAN (uden adgang til coorporate net) så man stadigvæk havde access til dem. Nemt men ikke gratis :-)

Hans Nielsen

"kunne rykke de ramte maskiner af netværket, "

Og hvordan gør du det på et ramt netværk ?

Hvis angrebet er en orm som er ukendt, så vil alle maskiner som bare sluttes til nettet, blive angrebet. Kan du huske ILOVEYOU

Men derfor skal man ikke give fortabt, vil mene også brug af flere OS vil betyde bedre beskyttelse. Eller det vil bare være godt at have et par linux og Apple maskiner hvis det er Windows som angribes. Eller omvent.

Hvis man har penge og ens forbindelser og PCer er "livsnødvendige" Så kan man også vælge at have måske 2 typer af netværk/firewall som ikke er baseret på samme OS.

Men tror også man kommer langt, ved at vælge et ældre/gammel OS som er baseret på multitaskning, sikkehed, flerbruger og netværk. Altså Nix af en type som FreeBSD

Henrik Hansen

Generelt tvungen password-udskiftning på it-udstyr

Selv Microsoft har opdaget at det er væsentligt mere sikkert at gennemtvinge 2FA og en høj password-kompleksitet, end at tvinge brugerne til at skifte passwords hver 2. uge:

Microsoft Recommends Non-Expiring Passwords
https://practical365.com/security/microsoft-recommending-non-expiring-pa...

Off-topic, men alligevel: Jeg sad tilfældigvis ved siden af en, tydeligvis ledende, Total-medarbejder på flyet fra Paris, lige efter deres køb af Mærsk Olie og Gas. Under hele flyveturen fra Charles de Gaulle til København sad vedkommende og redigerede en PowerPoint, med to-be organisationsdiagrammer og lister over hvor, og hvor mange medarbejdere der skulle fyres i den gamle Mærsk-organisation. For mig personligt foralte denne oplevelse siger alt om den reelle sikkerhedskultur, og det skulle ikke undre mig hvis han var lokaladministrator på sin ThinkPad.

Niels-Arne Nørgaard Knudsen

tja? pest eller kolera. valget er lukke ens net af i et begrænset tidsrum og få overblik over situationen eller risikere at ligge stille i flere dage.

når det handler om IT sikkerhed kan en smule paranoia godt være handy. hellere ligne en idiot med livrem og seler, end stå med et nedsmeltet netværk.

man kan sige at taktikken er gør det mod dig selv, før en eller anden hacker-dude gør det endnu mere effektivt.

Patrick Moog

Selv Microsoft har opdaget at det er væsentligt mere sikkert at gennemtvinge 2FA og en høj password-kompleksitet, end at tvinge brugerne til at skifte passwords hver 2. uge:

Den sprang også i mine øjne, det undrer mig at når de netop har gennemgået alt sikkerhedsmæssigt, at de så vælger at implementere noget der siden 2016 næsten er opnået konsensus om er en meget dårlig ide?

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder