Når de store drenge slås...

Hvordan kan vi (udover at minimere rettighederne) beskytte mod sådan en vektor, som vel må fungere på tværs af software- og hardwareplatforme?

Minimér angrebsfladen på systemerne.

Klienter: Er det virkelig nødvendigt at brugernes klienter kan forbinde til hinanden? Brug den lokale for den lokale firewall og tillad udelukkende trafik til klienten fra et dedikeret net (f.eks. en NOC).

Servere: Få serverne ud af gen-pop. De har ikke noget at søge sammen med brugerne. Eksponér kun den del der er nødvendigt.

Administratorer: Administration af systemer bør så vidt muligt foretages fra dedikerede systemer til det formål. Det skal ikke være den samme maskine man bruger til at læse V2.dk

Der er ikke tale om mikso-segmentering her, men ovenstående tiltag vil hjælpe gevaldigt.

Tage deres PC-kørekort?

I chuckled :)

Jeg er sådan set ikke enig i at vi skal tænke sikkerhed på en ny måde. Som PHK's kommentar mht. MULTICS illustrerer er IT-sikkerhed ikke et nyt fænomen.

Mit svar blev et blogindlæg:

https://www.version2.dk/blog/jo-vi-skal-taenke-it-paa-ny-maade-1078042

Tværtimod har de cyberkriminelle forholdsvist let spil, fordi det har været normen i mange virksomheder, at sikkerhed var dyrt, tidskrævende og ikke indsatsen værd. Jeg har talt med mange systemadministratorer, som har den holdning at de er sat i verden for at lave god IT for brugernes skyld, og hvor sikkerheden kommer i vejen. Og hvor nødvendigt er den nu med den sikkerhed? Vi har jo ingen hemmeligheder - vi producerer jo kun papkasser. Så længe den holdning eksisterer, er det op ad bakke.

Nu er og bliver det jo ledelsen der bestemmer. Og hvis systemadministratoren mener, at sikkerhed skal prioriteres lavere end 'at det er nemt for brugerne' så er det jo nok noget, som han/hun har fået besked på oven fra. I den mere kulørte IT-presse været råbt de sidste par år, at 'IT' skal forstå og gøre som forretningen siger, af diverse 'forretningsfolk'. Samme sang er vi mange, der har hørt i de virksomheder man har været ansat i. Og hvor det sådan set er meget rigtigt for det er jo IT's job at understøtte forretning, så er der rigtig mange virksomheder, der er så IT-ficerede (Bla det offentlige) at IT nærmest er core business.

Altså kan man komme i en situation, hvor forretningens IT-forretnings 'behov' defacto skal prioriteres over IT-faglighed. Det kan så gå helt og aldeles galt. Det tror jeg vi er mange, der har set rigtig mange eksempler på.

I bund og grund vil jeg gerne vende tilbage til min tidligere pointe. Man er simpelthen nødt til at tænke sikkerhed på en helt anden måde en man tidligere har været vant til. Det er IKKE en let opgave. Der findes IKKE nogen simpel løsning.

Jeg er sådan set ikke enig i at vi skal tænke sikkerhed på en ny måde. Som PHK's kommentar mht. MULTICS illustrerer er IT-sikkerhed ikke et nyt fænomen. Forskellen mellem i dag og 'før i tiden' er, at IT-kriminalitet er et mere anerkendt fænomen, og selvfølgelig også mere udbredt. Så IMHO skal man bare til at tage det seriøst, og så ellers give fagligheden lov til at prøve at forebygge.

// Jesper

Så kig istedet på rådgivende ingeniører eller arkitekters ansvarsforsikringer ?

For mig at se ligner det mere amatør kriminelle.

Min pointe her er at hvis ALLE skal forsikres ved lov, selv dem der er i "terminal state", tvinger man forsikrings selskaberne til at sætte prisen væsentligt op for alle andre.

Det forstår jeg ikke. Med mindre du antager at forsikringens pris er ens for alle, uanset historik (tænk elitebillist) eller erfaring og uddannelse (tænk dyr bilforsikring for unge) og ikke mindst området man arbejder med. (tænk på postnummerets påvirkning af bilforsikringens pris)

Med disse 3 skruer vil man sagtens kunne lave et fair system, som samtidig gav en økonomisk gulerod for at sætte sig ind i IT sikkerhed. Det kunne give et tiltrængt løft til hele branchen.

Det er fint nok at begrænse hvad brugerne kan på de enkelte computere, men man skal bare erkende at der stadigvæk vil være sikkerhedshuller i alle operativ systemer som giver brugere adgang til hele maskinen. Angrebsfladen er simpelhen for stor.

I praksis er man nødt til at opdele netværk, sikre at computere kun har adgang til lige præcist det nødvendige og intet mindre på nettet. En computers interface med omverdenen er en meget mindre angrebsflade end de myriader af API'er og services som alle operativ systemer stiller til rådighed for programmer.

Og hvordan skal det lige administreres/håndteres i praksis, så man undgår noget det ligner f.eks. el og vvs branchen, der jo er præget af nepotisme, bagstræberiskhed, karteller og overpriser?

Så kig istedet på rådgivende ingeniører eller arkitekters ansvarsforsikringer ?

Kvalitet er aldrig gratis.

Der burde være autorisationskrav (incl. ansvarsforsikring!) for IT-sikkerhedsfolk og data-ansvarlige.

Og skal det være et krav for autorisation at man kun skal bekende sig til en leverandør, som elbrancen gør mod LK?

Hvordan skal autorisationen defineres?

Osv, osv.

En ting man kan gøre, hvis man kører Windows 10, er at slå Credentials Guard til, hvor ved LSASS kører i en separat container, og derfor ikke kan tilgås fra Mimikatz.
Kræver dog rimelig ny hardware for at bruge (kræver en TPM 2.0 chip)

Vi kører Windows 10 med Secure Boot og Credential Guard på 5 år gamle Lenovo laptops (T530). Credential Guard er også supporteret med TPM 1.2.

Min pointe her er at hvis ALLE skal forsikres ved lov, selv dem der er i "terminal state", tvinger man forsikrings selskaberne til at sætte prisen væsentligt op for alle andre.

Pointen med USA er en helt, helt anden - at især Demokraterne modtager enorme pengebeløb hvert år for IKKE at regulere hvor ublu priserne på medicin og medicinsk behandling kan være og "Never, Ever" at kopiere NHS. Samt for at forbyde parallelimport af billigere medicin fra udlandet (Republikanerne mener det samme, dog af ideologiske grunde - de fattige, uheldige, skal dø så der bliver mere plads til Vindere).

Regulering til fordel for Investorer og aktionærer er det som USA vælger deres regering til - deres profitter viser at regulering så absolut virker efter hensigten.

Hvis en organisation nu ikke død og pine holdte jeg sig til en type af operativ systemer, så kunne denne form for angreb have meget mildere konskevenser.

En ting man kan gøre, hvis man kører Windows 10, er at slå Credentials Guard til, hvor ved LSASS kører i en separat container, og derfor ikke kan tilgås fra Mimikatz.

Kræver dog rimelig ny hardware for at bruge (kræver en TPM 2.0 chip)

Jeg kan varmt anbefale dig at læse den, f.eks når du bliver gammel og hjemløs fordi en plejehjemsplads til dig vil få skatten for alle andre til at stige.

Jeg taler om regulering af det private erhvervsliv, her forsikringsselskaberne. Du taler om noget helt andet.

Min pointe her er at hvis ALLE skal forsikres ved lov, selv dem der er i "terminal state", tvinger man forsikrings selskaberne til at sætte prisen væsentligt op for alle andre.

Det var der en eller anden fyr der engang skrev en bog om.

Jeg kan varmt anbefale dig at læse den, f.eks når du bliver gammel og hjemløs fordi en plejehjemsplads til dig vil få skatten for alle andre til at stige.

Bogen hedder "Of the Social Contract"

Problemet mht. "least privilege" i praksis, er nok, at der er brug for at koere nogle services (saasom updaters eller backup), som har brug for at gemme credentials (som ikke er det samme som passwords, men afledte heraf), for at kunne koere unattended.

s/i praksis/under Windows/ ?

Det problem var allerede løst under MULTICS, både teoretisk og praktisk.

En anden og mere elegant løsning blev brugt i Kerberos.

IBMs mainframes bruger en tredje og mere manuelt orienteret løsning (de forventer stadig 24/7 mandsopdækning under alle omstændigheder).

"Min pointe her er at hvis ALLE skal forsikres ved lov ... ... "

Man kan ikke forsikre sig til kvalitet og sikkerhed. Kvalitet og sikkerhed er hårdt arbejde, uddannelse, træning, procedurer og retningslinjer, der tydeligvis ikke kommer af sig selv; men skal hjælpes på vej af standarder, national og international lovgivning.

Mindre fest og mere struktureret arbejde. Jeg ser allerede mange gode forslag ovenfor.

</p>
<pre><code> Så et helt konstruktivt spørgsmål: Hvordan kan vi (udover at minimere rettighederne) beskytte mod sådan en vektor, som vel må fungere på tværs af software- og hardwareplatforme?

Kort svar: Det kan vi ikke! Hvis OS'et ikke er i stand til at beskytte vores credentials så kan intet beskytte systemet. PHK kan sandsynligvis fortælle om det er muligt at kode et system som kan beskytte credentials, det har jeg ikke ekspertise i.
</code></pre>
<p>

Med Windows 10, kan du på en effektiv og nem måde, beskytte dig mod såkaldt credential theft/impersonation, som længe har været benyttet af hackere/malware. Denne angrebsvektor kan lynhurtigt elimineres, ved at implementere nedenstående tiltag, via de velkendte Group Policy.

Least-Privilege Administrative Models:https://technet.microsoft.com/windows-server-docs/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models

Local Administrator Password Solution (LAPS):https://www.microsoft.com/en-us/download/details.aspx?id=46899

Credential Guard:https://technet.microsoft.com/en-us/itpro/windows/keep-secure/credential-guard

Jeg mener at det kostede mig 6000 per år at forsikre mig for op til 10 millioner kroner dengang jeg arbejdede som konsulent.

Ja men ved tvungen forsikring af ALLE, selv dem der ikke er forsikringsværdige, dem der laver mange fejl og er klamphuggere får præmien til at stige for alle andre.

Bare se på affordable care act og du vil se hvorfor , folk der SKAL forsikres, selv om deres helbred ikke ville kunne forsvare det, altid vil få prisen til at stige for alle andre.

Her taler vi om firmaer, men dynamikken er den samme.

Hvilket i sidste ende får din præmie til at stige til det vanvittige.

Min pointe her er at hvis ALLE skal forsikres ved lov, selv dem der er i "terminal state", tvinger man forsikrings selskaberne til at sætte prisen væsentligt op for alle andre.

Jeg tror ikke på regulering af den art, det eneste der sker er bare at mindre spillere ikke får råd til forsikring.

Prisen på forsikringer er en funktion af sandsynlighed og risiko. Derfor er det svärt at forestille sit at store firmaer vil lobby'e for noget som gör dem produktansvarlige. Tänk på hvad det, f.ex. vil koste CSC i forsikring med de kendte odds på leverance af endnu en IT fiasko i millardklassen.

Forsikringsselskaber er nemlig ret gode til at estimere forholdet mellem prämier og risiko.

Jeg mener at det kostede mig 6000 per år at forsikre mig for op til 10 millioner kroner dengang jeg arbejdede som konsulent. Hvis 6000 - 10000 er "for meget" for nogen, så er det nok det bedste for alle parter. En Cisco certificering er i övrigt heller ikke noget man lige betaler af möntskuffen

Så et helt konstruktivt spørgsmål: Hvordan kan vi (udover at minimere rettighederne) beskytte mod sådan en vektor, som vel må fungere på tværs af software- og hardwareplatforme?

Kort svar: Det kan vi ikke! Hvis OS'et ikke er i stand til at beskytte vores credentials så kan intet beskytte systemet. PHK kan sandsynligvis fortælle om det er muligt at kode et system som kan beskytte credentials, det har jeg ikke ekspertise i.

Lægemiddelindustrien, fødevareindustrien, kemikalieindustrien og mange flere industrier er regulerede. Og økonomi er ikke et argument. Det er sikkerhed det drejer sig om.

Den erkendelse burde for længe siden være nået til IT-industrien.

Problemet mht. "least privilege" i praksis, er nok, at der er brug for at koere nogle services (saasom updaters eller backup), som har brug for at gemme credentials (som ikke er det samme som passwords, men afledte heraf), for at kunne koere unattended.

Dengang Needham & Schroeder designede Kerberos-protokollen (som er grundlaget for Active Directory), var der en antagelse om, at en process ("principal" i Kerberos) kunne holde sine engangsnoegler hemmelige for andre processer paa maskinen. Det er den antagelse, som ikke holder i dag*, fordi vores operativsystemer er blevet langt mere komplekse end MULTICS var, og fordi der opfundet nye maader at angribe dem paa siden.

Baade Needham og Schroeder (som definerede least privilege sammen med Saltzter) endte deres karrierer hoejt paa straa hos Microsoft, saa jeg gaar ud fra at firmaet kender til deres forskning.

*) Det forlyder, at maskiner med "Credential Guard" har overlevet angrebet, men dette er en forholdsvis ny teknologi , som ikke er i brug alle steder. Og forresten er den bygget paa virtualisering.

Hej Jesper,

Først og fremmest kommer vi nok ikke uden om at minimere rettigheder til et vist punkt. I alt for mange virksomheder findes der alt for mange brugere med administratorrettigheder til at for mange systemer - simpelthen fordi det var det letteste.

Det vender jeg tilbage til.

Efter min mening, er netværkssegmentering en stor del af svaret. Hvis de stjålne credentials er til et system på et andet netværk som ikke kan nås, er man langt. Der er dog også stadig mange virksomheder som ikke har gennemført en fornuftig segmentering af deres netværk, så også her står vi stadig med udfordringer.

I bund og grund vil jeg gerne vende tilbage til min tidligere pointe. Man er simpelthen nødt til at tænke sikkerhed på en helt anden måde en man tidligere har været vant til. Det er IKKE en let opgave. Der findes IKKE nogen simpel løsning.

Tværtimod har de cyberkriminelle forholdsvist let spil, fordi det har været normen i mange virksomheder, at sikkerhed var dyrt, tidskrævende og ikke indsatsen værd. Jeg har talt med mange systemadministratorer, som har den holdning at de er sat i verden for at lave god IT for brugernes skyld, og hvor sikkerheden kommer i vejen. Og hvor nødvendigt er den nu med den sikkerhed? Vi har jo ingen hemmeligheder - vi producerer jo kun papkasser. Så længe den holdning eksisterer, er det op ad bakke.

Så var der det med hvad der er let. Jeg anerkender at man kan være nødt til at lave "nemme løsninger". Det gælder også indenfor sikker IT. Men jeg anerkender ikke, at man kan være nødt til at lave nemme løsninger, hvor man ikke sørger for at klarlægge konsekvensen af at træffe det nemme valg.

Derfor: Hvis man giver en bruger administratoradgang fordi det nu en gang er det nemmeste, så skal man gøre det fordi man har klarlagt risikoen - og dernæst accepteret den risiko. Hvis man har gjort det, har man nemlig sagt: "Vi ved godt at vi ved at give denne bruger administratoradgang til system x tager en risiko - men vi har tænkt over den risiko, og det er en risiko vi accepterer".

Og for at tage det helt kort, det med risiko: Risiko = Sandsynlighed (for en hændelse) x Konsekvens (ofte i kroner). Sandsynligheden kan man lade teknikerne om at vurdere. Konsekvensen er det oftest forretningen der kan have de bedste forudsætninger for at vurdere.

Det blev en lang smøre, uden et helt konkret svar på dit spørgsmål (udover segmentering, som jeg er en stor tilhænger af), men i bund og grund findes der ikke en sikker beskyttelse.

Selve princippet om "Least Privilege" blev først formuleret og præsenteret i forbindelse med MULTICS i starten af 1970'erne.

Jeg har så rigelig dokumentation for at det er helt normalt i et stort antal virkesomheder såvel i Danmark som i udlandet.

Ja, det er også min erfaring. Og ofte er direktør gangen et af de værste steder.

Selve princippet om "Least Privilege" blev først formuleret og præsenteret i forbindelse med MULTICS i starten af 1970'erne.

Ja. Man kan ofte kende gode erfarne folk på, at de helst ikke vil have administrator rettigheder, men hellere en bruger med lige nøjagtig de rettigheder, de har brug for til at udføre det de nu skal udføre.

// Jesper

Arbejdet med IT-sikkerhed skal tænkes ind fra start i alle løsninger og designs. Hvorfor har vi overhovedet en "sikkerhedsbranche"? Hvorfor har vi ikke bare en IT-branche, hvor sikkerhed indgår naturligt i alle led? Det er sgu da der man skal sætte ind!

Sagt med andre ord, vær professionel også når det kommer til IT-sikkerhed. Og det kan vi så kun være enige om. ;)

Problemet er bare, at det koster lidt, og lidt mere oven på igen, hvis man ikke har det tænkt ind fra starten i sit concept/service/løsning/produkt. Og det kan så blive et problem, hvis det er noget som kunden ikke beder om. Og ofte kan det være svært at overbevist tilbuds folk/sælgere/beancounters om værdien af IT-sikkerhed. Eller i det mindste indtil de selv sidder i saksen. Og så ved vi jo godt, at så er det 'ens skyld' fordi man ikke kunne overbevise 'dem'.

// Jesper

I dette tilfælde udnytter NotPetya også stjålne credentials, så hvis brugeren har admin-rettigheder til andre systemer på netværket, så kan det udnyttes til at sprede malwaren.

https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

Så et helt konstruktivt spørgsmål: Hvordan kan vi (udover at minimere rettighederne) beskytte mod sådan en vektor, som vel må fungere på tværs af software- og hardwareplatforme?

PS:

"bagklog" er når man bagefter siger noget klogt som man ikke havde sagt i tide.

De ting jeg skriver i blogindlægget har jeg og andre prædiket i årtier.

Selve princippet om "Least Privilege" blev først formuleret og præsenteret i forbindelse med MULTICS i starten af 1970'erne.

Jeg tror ikke vi har set dokumentation for, at der er "installeret alt muligt skrammel", "netvaerksdrev mountet alle steder", eller at "samme administrator password er brugt overalt".

Jeg har så rigelig dokumentation for at det er helt normalt i et stort antal virkesomheder såvel i Danmark som i udlandet.

Jeg tror ikke vi har set dokumentation for, at der er "installeret alt muligt skrammel", "netvaerksdrev mountet alle steder", eller at "samme administrator password er brugt overalt". The Register har en aedruelig gennemgang af angrebet her: https://www.theregister.co.uk/2017/06/28/petya_notpetya_ransomware/ som er vaerd at studere.

Det tyder jo paa at virusen kom ind via opdatering af et regnskabsprogram, som sikkert ikke er blevet opfattet som skrammel, men derimod som en forudsaetning for at tjene penge/vaere i compliance med de lokale skatteregler, og spredte sig via ret saa sofistikerede teknikker fra NSAs godtepose.

Jeg tror bare efterhaanden vi maa indse at, hvis to computere er forbundet i netvaerk, kan den ene altid overtage kontrollen med den anden. Det eneste der maaske kan forhindre dette, er en benhaard segmentering af netvaerket (forhindring af enhver form for peer2peer kommunikation mellem klientmaskiner), og om muligt mellem de forskellige programmer hver maskine koerer. Det sidste kan i praksis kun lade sig goere via virtualisering, da syscall-APIerne i de almindeligt anvendte operativsystemer er for high-level og for komplekse til, at man helt kan forhindre exploits som dem, der blev brugt til at udtraekke admin-noegler fra kerne-RAMMen.

men hvad indikerer at det ikke er malware/ransomware? Og terrorisme? Udført af hvem? Mod hvem?

Se f.eks. her The Register (s. 3 i deres analyse/kommentar).

Der er også flg. fra Ars Technica

Those traits, which are sure to torpedo chances of the malware generating profits for its creators, prompted International Computer Science Institute researcher Nicholas Weaver to speculate the true intent of the malware developers was to sow destruction, not make money.

Tilsæt selv et eller flere gran salt efter smag og behag.

Nemlig. Stuxnet havde til opgave at være skjult så længe som muligt og at kamuflere nedbrud på centrifuger som dårlig hardware. Forgængerne havde til opgave at samle information og i øvrigt ikke blive opdaget.

Andre har vurderet at NotPetya også prøver at holde sin virkelige opgave skjult, ved at kamouflere sig som ransomware:

The researcher said the software was “definitely not designed to make money” but “to spread fast and cause damage, [using the] plausibly deniable cover of ‘ransomware.’”

Altså et lighedspunkt (selvom metoden til at skjule sig er en anden), og ikke en forskel.

Dette angreb råber højt at systemet er angrebet og at man skal betale til en bestemt adresse. Stor forskel.

... for at kamouflere den egentlige mission, er vurderingen.

A ransomware attack that affected at least 2,000 global users on Tuesday appears to have been deliberately engineered to damage IT systems rather than extort funds, according to security researchers.

"Der er intet der tyder på at det var malware eller ransomware der udbrød igår, det ligner meget mere stats-sponsoreret terrorisme, "

Nu er jeg måske ikke den hurtigste knallert, og måske læser jeg andre medier end PHK, men hvad indikerer at det ikke er malware/ransomware? Og terrorisme? Udført af hvem? Mod hvem?

Der burde være autorisationskrav (incl. ansvarsforsikring!) for IT-sikkerhedsfolk og data-ansvarlige.

Jeg tror ikke på regulering af den art, det eneste der sker er bare at mindre spillere ikke får råd til forsikring. De store firmaer vil givetvis lobbyere for dit tiltag, da de så effektivt kommer af med mindre konkurrenter.

Lyder lidt som om du advokerer for security by obscurity når du siger at det er en løsning bare man har meget forskelligt hw / sw. Jeg er ikke enig, hvis målet er tilpas stort er det lige meget hvor obskur deres hw/sw stack er, det skal nok tiltrække hackere anyway.

Ganske specielt for administratorer (stort erhvervskørekort).

Der burde være autorisationskrav (incl. ansvarsforsikring!) for IT-sikkerhedsfolk og data-ansvarlige.

...men er nok næppe realistisk at alle skal køre forskelligt hardware/software. Og ja....uden at jeg kender dig særligt godt, PHK, så er det jo nok en smule sat på spidsen, men nu har du jo skrevet det, og så skal du også have lov til at stå på mål for det.

Nej, vi kommer næppe til at have så mange forskellige hw/sw muligheder, men rent overlevelsesmæssigt er der meget stor forskel på om det er 85% af alle systemer eller kun 10% af alle systemer der har identiske sårbarheder.

"hvad skal man så gøre? Tage deres PC-kørekort?"

Ikke nogen dårlig idé

IT-kørekort med tilhørende færdselsregler, lovreguleret, er mere relevant end nogensinde. Ganske specielt for administratorer (stort erhvervskørekort).

...men er nok næppe realistisk at alle skal køre forskelligt hardware/software. Og ja....uden at jeg kender dig særligt godt, PHK, så er det jo nok en smule sat på spidsen, men nu har du jo skrevet det, og så skal du også have lov til at stå på mål for det.

Software: Kør noget andet - måske open source - end alle de andre. Hvis vi forudsætter at alle løsninger ikke kan laves af få softwareleverandører, så vil dette give meget store problemer. Selv de store softwarehuse har problemer med at tænke sikkerhed ind i deres løsninger, så at forvente at alle udviklerhuse skal evne at tænke sikkert softwaredesign, er nok at skyde temmeligt langt over mål.

Når man dertil lægger at alle disse softwareleverandører skal evne, hurtigt at komme med opdateringer når sårbarheder opdages, vil dette blive endnu mere urealistisk. Så bliver det ikke længere et spørgsmål om virksomhederne har en ordentlig patch management politik. Nej så bliver det et spørgsmål om der overhovedet findes en patch. Øv med øv på.

Hardware: Igen...det lyder besnærende. I den virkelige verden er det allerede småt med specialister på især netværksdelen. Hvis alle skal anvende forskellige switche/firewalls/routere, forskellige servere, forskellig storage, forudser jeg store problemer med sikkerheden (og kronede dage for konsulenthusene) fordi det vil blive næsten umuligt at finde dygtige folk.

For slet ikke at tale om at de hardwareproducenter der har et setup der opfylder de krav som større virksomheder har kan tælles på meget få fingre.

Jeg vil ikke sige at jeg har patentløsningen. Det tror jeg faktisk ikke at der findes nogen der har. Du er inde på noget af det rigtige i forhold til back-up - og især dit råd om restore-tests er super.

Jeg synes bare når jeg kigger på at de "velmenende" råd der altid kommer på LinkedIn, Version2, Computerworld m.m. efter et angreb altid fokuserer alt for meget på løsninger. "Hvis du havde haft vores løsning, var du ikke blevet ramt". Bullshit!

Arbejdet med IT-sikkerhed skal tænkes ind fra start i alle løsninger og designs. Hvorfor har vi overhovedet en "sikkerhedsbranche"? Hvorfor har vi ikke bare en IT-branche, hvor sikkerhed indgår naturligt i alle led? Det er sgu da der man skal sætte ind!

Jeg siger ikke at vores branche ikke skal være parat til at tænke anderledes, men at tro at løsningen er så simpel som at anvende software eller hardware i et forskelligt set-up fra det naboen har, tror jeg er en alvorlig oversimplificering.

God blog entry! Alle bør tage dette alvorligt - både virksomheder, myndigheder og private. Vi er blevet alt for sårbare og indtil nu har få taget det så alvorligt at der er lavet produkter som private og små firmaer kan bruge sikkert (med mindre de er IT nørder).

Nej, det er netop ikke nyt, men Stuxnet havde meget mindre og meget mere målsøgende karakter og derfor også langt færre "vådeskud".</p>
<p>Her er formålet at maksimere skaden og derfor flere og mere skadelige "vådeskud"

Nemlig. Stuxnet havde til opgave at være skjult så længe som muligt og at kamuflere nedbrud på centrifuger som dårlig hardware. Forgængerne havde til opgave at samle information og i øvrigt ikke blive opdaget.

Dette angreb råber højt at systemet er angrebet og at man skal betale til en bestemt adresse. Stor forskel.

Er kun en af angrebsvektorerne. En anden er WMIC, kombineret med Mimikatz til at hente credentials fra RAM.

Så et fuld patchet netværk kan rammes, hvis malwaren køres som en lokaladmin, på en maskine hvor der er en bruger med admin rettigheder på andre devices er logget ind. Så bruger den de højest rettigheder den kan finde i RAM på den inficerede maskine.

Så patch er ikke nok. en almindelig + en admin account på samme maskine er ikke nok, ihvertfald ikke hvis alm. bruger er lokaladmin.

Så alle administrative rettigheder skal kun kunne bruges fra en jumpserver, der som den eneste har brede netværksadgange. Og denne maskine må IKKE have Internet adgang, og skal generelt låses så meget ned som muligt for at undgå infektion. Kun remote adgang ind til den via RDP/Citrix whatever.

Det er helt der vi skal hen i denne omgang for at minimere risikoen.

Spændende at følge løsningen på denne begyndende krig!

Spændende? Jeg synes det er yderst deprimerende, at militæret/intel er i gang med at ødelægge en af de bedste opfindelser i vores historie (Internet), som har bragt os så meget godt. Endnu en dårlig dag for menneskeheden!

Så ender det jo pludselig med at vi har 4-5 patient journal systemer osv. :)

Mon ganske almindelige brugere gemmer deres filer eksternt? Enhver ved jo at det kan gå galt. Der skal jo ikke så meget til.

Spændende at følge løsningen på denne begyndende krig!

Så ender det jo pludselig med at vi har 4-5 patient journal systemer osv. :)

Jeg ville helt klart foretrække at vi havde mindst 3 EPJ systemer, som arbejdede sammen gennem veldefinerede smalle API'er.

Jeg synes også det er hul i hovedet at vi ikke har to helt forskellige NemID infrastrukturer.

Monokulturer er altid meget mere sårbare.

Så hvis man ikke efter X måneder OG en orm som har fået MEGET omtale finder tid til at fixe en opdatering, hvad skal man så gøre? Tage deres PC-kørekort?

Så ender det jo pludselig med at vi har 4-5 patient journal systemer

Der er intet der tyder på at det var malware eller ransomware der udbrød igår, det ligner meget mere stats-sponsoreret terrorisme, eller hvis vi skal tale så CfCS kan forstå det: "Cyberkrig".

Læs også:https://www.theguardian.com/world/2017/jun/27/petya-ransomware-attack-strikes-companies-across-europe

https://www.malwaretech.com/2017/06/petya-ransomware-attack-whats-known.html

Nu har du jo klistret en smiley bagpå, så jeg ved ikke hvordan din eventuelle ironi skal opfattes - om den skal ramme det offentliges håndtering af IT-projekter generelt, eller kernen i PHK's forslag.

Ironien var ment på at det offentlige har haft en tendens til aldrig at kigge på "standard" software, men udviklet nyt hver gang, hvilket ofte har resulteret i fejlede projekter.

Kør noget andet hardware/software end alle de andre.</p>
<p>Et godt sikkerhedsråd, men vel ikke et råd du normalt ville give til eksempelvis det offentlige?
Så ender det jo pludselig med at vi har 4-5 patient journal systemer osv. :)

det offentlige lider bla. under centralisering/monopol - og kæmpe store komplekse systemer - mindre enheder/decentralisering vil formentlig kunne give mindre budgetter og deraf mere realistiske/enkle systemer :-) (og konkurrence imellem enhederne til at lave bedre systemer)

Et godt sikkerheds råd, men vel ikke et råd du normalt ville give til eksempelvis det offentlige?
Så ender det jo pludselig med at vi har 4-5 patient journal systemer osv. :)

Altsåøeh...

Nu har du jo klistret en smiley bagpå, så jeg ved ikke hvordan din eventuelle ironi skal opfattes - om den skal ramme det offentliges håndtering af IT-projekter generelt, eller kernen i PHK's forslag. Kan du ikke uddybe?

Nu er det netop ikke en af de ting man kan håndtere med en Disaster Recovery løsning. Normalt opfattes Disater Recovery (D/R og ITSCM på ITILsk) som det du har på plads hvis du mister en større del af din infrastruktur, og skal genetablere driften, almindelige D/R løsninger er desværre komplet umulige til at redde røven på dig, hvis der er tale om en logisk fejl (database programmelet fejler, en idiot sletter alle data, virusangreb, etc).

Så det man har brug for omkring ransomware og andre lignende sikkerhedstrusler er et effektivt beredskab der:

• tager de relevante forholdsregler mod angreb (se PHKs indlæg i denne tråd)

Hvis det alligevel sker - og det vil det gøre før eller senere

• opfanger angreb
• vælger og udfører strategi
• standser udbredelse
• sikrer retur til normal drift Denne process kan selvfølgelig indgå sammen med D/R planen og dele afsnit med den herunder kommandostruktur og kommunikationsplaner.

Kør noget andet hardware/software end alle de andre.

Et godt sikkerhedsråd, men vel ikke et råd du normalt ville give til eksempelvis det offentlige? Så ender det jo pludselig med at vi har 4-5 patient journal systemer osv. :)

Er det så nyt endda? Jeg tænker her på Stuxnet.

Nej, det er netop ikke nyt, men Stuxnet havde meget mindre og meget mere målsøgende karakter og derfor også langt færre "vådeskud".

Her er formålet at maksimere skaden og derfor flere og mere skadelige "vådeskud"

http://www.commitstrip.com/en/2017/06/19/security-too-expensive-try-a-hack/

Der er ikke lig på bordet, det er kun penge der tabes.

Spooky fact: Det ved vi jo faktisk ikke...

Mar: Microsoft patches SMB exploit Apr: Shadow Brokers dump Eternal Blue May: #WannaCry hits Jun: People still haven't patched now #Petyahttps://twitter.com/troyhunt/status/879738249983528960

Så hvis man ikke efter X måneder OG en orm som har fået MEGET omtale finder tid til at fixe en opdatering, hvad skal man så gøre? Tage deres PC-kørekort?

Det eneste der er nyt er rent pædagogisk:</p>
<p>Når de store drenge slås rammer de ikke altid plet.

Er det så nyt endda? Jeg tænker her på Stuxnet.

Det er en ærgerlig egenskab ved mennesker at vi skal opleve katastrofen (Grenfell, Titanic, dette angreb) før end vi erkender problemet og gør noget ved det. Jeg tvivler endda på at vi lærer noget her (Mærsk gør måske). Der er ikke lig på bordet, det er kun penge der tabes.