Operasjon Bivrost
Infrastrukturen er ikke inndelt som den burde vært, det er teknisk gjeld og manglende kompetanse i driftsorganisasjonen. Situasjonen er ikke rosenrød når Telenor Norge blir kalt inn for å bidra i håndteringen av hendelsen. Den innledende analysen viser at trusselaktøren sannsynlig er svært målrettet.
Dette er historien om Operasjon Bivrost, en ambisiøs operasjon for å fjerne, ikke én, men flere avanserte trusselaktører med statlig tilknytning fra en virksomhet. Operasjonen fant sted i løpet av en helg i november. Denne operasjonen var avslutningen av tre måneders dedikert arbeid som forberedte utkastelsen av en trusselaktør. Forut for dette lå ni måneders arbeid med flytting av brukere til ny sluttbrukerplattform (migrasjon) for å komme til en tilstand der vi overhodet kunne tenke på å utbedre forholdene på målet. Før det; to år med bygging av forsvarbar infrastruktur. En av våre sikkerhetseksperter, «Nikita», forteller historien.
Vi har å gjøre med trusselaktører med tilnærmet ubegrensede ressurser både menneskelige og teknologisk. Aktørene har lenge jaktet etter en spesiell type data i infrastrukturen etter at han infiltrerte den. Han har dermed kunnet operere uforstyrret helt til han ble oppdaget. Disse dataene må beskyttes og vi iverksetter tiltak for å sikre verdiene – samtidig med å håndtere trusselaktøren. Sammen med eieren av den angrepne infrastrukturen settes det i gang et større prosjekt for å modernisere infrastrukturen over tid. Dette fordi det er kritisk viktig at håndteringen av sikkerhetshendelsen ikke skjer uten tett involvering med driftsorganisasjonen og resten av aktuell linjeorganisasjon.
Nesten som sjakk
Når vi vet hva motstanderen er ute etter, er vi klare for neste trekk. Dette er nesten som å spille sjakk det.
Nå må vi finne ut av både hvordan motstanderen oppnår tilgang til det han vil ha, men også alle andre måter å oppnå tilgang til det samme.
Vi avdekker at trusselaktøren over lang tid har skaffet seg brukernavn og passord for brukere av systemet og brukt dette for å hente ut den informasjonen han jakter på. Mange brukere har hatt tilgang, langt flere enn nødvendig, dette har gjort det enklere for trusselaktøren å operere og hente ut det han har ønsket.
Vi stenger tilgang for de aller fleste. De som fremdeles trenger tilgang får det gjennom en dedikert løsning de logger inn med to-faktor. I tillegg sørger vi for at å ha god synlighet gjennom endepunktsagenter (sensorer) på pc og servere, logging i selve nettverket, samt dokumentasjon av løsningen som ga tilgang til dataene. Og så dokumenterer vi – hele veien – underveis – ikke etterpå.
Hvor slår han til nå?
Vi er forberedt på at aktøren kommer til å gjøre forsøk på å omgå tiltakene som er iverksatt.
Derfor begynner vi med en ny runde hypotesebygging; hvilke metoder vil han kunne benytte om eller når han kommer tilbake? Vi konkluderer foreløpig med at han høyst sannsynlig ville lete etter tilsvarende data i andre systemer som ikke var låst ned på samme måte. Men hvilke datakilder finnes? Vi må forstå hele det digitale miljøet vi nå opererer i og som trusselaktøren operer mot. Det viser seg heldigvis at ingen av de andre systemene gir like effektiv tilgang på dataene, og selv om vi observerer at aktøren klarer få ut data fra andre steder, er det engangstilfeller og ikke gjentakende. Dette tyder på at det motstanderen klarer å finne i andre datakilder ikke er verdt tiden han må bruke på det. For et par av systemene iverksetter vi mindre omfattende tiltak, det viser seg å være tilstrekkelige til at aktøren ikke gjør videre forsøk.
Han kommer igjen
Vi er sikre på at aktørene vil komme tilbake og forsøke å omgå tiltakene som nå beskytter hans primærmål. På et tidspunkt klarer han akkurat det, men han blir oppdaget gjennom synligheten vi har etablert med sensorer. Dermed klarer vi det på ny; vi utbedrer tiltakene og stikker kjepper i hjulene for ham nok en gang ved å stenge for ham.
Tiltak iverksettes for å beskytte administratorkontoer ytterligere selv om motstanderne ikke viste eller viser interesse for å benytte disse for å oppnå tilgang til data.
Hele organisasjonen
Å beskytte systemer og informasjon på den måten vi har gjort til nå kan være effektivt på kort sikt, men å operere i et miljø med en aktiv trusselaktør over tid gir høyere sann- synlighet for at aktøren på ny får de tilgangene han ønsker. Nå begynne jobben med å fjerne aktøren fra miljøet for godt. Skal vi lykkes med å fjerne aktøren må vi få iverksatt en serie tiltak og hele organisasjonen må spille i takt. Det dreier seg om en kombinasjon av tekniske og organisatoriske forbedringer i tillegg til å faktisk kaste trusselaktøren på dør. Men veien er lang før vi kan kaste ham ut.
Vi gjør klar
Selv om vi anerkjenner at nettverket aldri vil bli helt ugjennomtrengelig, med de forbedrede forsvarsmekanismene på plass, kan vi potensielt kaste inntrengeren ut og ha en sjanse til å holde ham utenfor. Operasjon Bivrost besluttes; vi tror på at tre måneders intensiv planlegging skal få ham ut. Beskyttelsestiltakene er på plass, vi har bekjempet ham to ganger, nå skal han ut – for godt. En serie forberedende tiltak iverksettes, her er noen av dem:
Alle sluttbrukerne migreres til en ny sluttbrukerplattform basert på Windows 10 og med alle tilgjengelige sikkerhetsfunksjoner skrudd på.
Tofaktorløsninger for å aksessere viktig infrastruktur introduseres.
Det implementers av PAM (privileged access management)
Vi får på plass forbedret sikkerhetsmonitorering og deteksjonsevne.
Flere ressurser til å drive datasikkerhetsarbeid
Dette er i praksis nødvendige elementer for å ha en forsvarbar infrastruktur, som for Telenor Norge egentlig bare betyr å gjøre IT-drift etter god praksis og med sikkerhet som en del av premissgiverne. Selv med alle disse forbedringene på plass, krever utkastingsoperasjonen hvor aktørene har full kontroll over hele domenet, betydelig planlegging og mye ressurser. Vi må ha sikkerhetsmonitorering og synlighet for å kunne forstå trusselaktøren godt både med tanke på mål, intensjon og handlemåter, men også med tanke på hvilke verktøy og teknologi aktørene bruker.
Vi er klare.
En helg i november
En klassisk utkastelsesoperasjon krever koordinering og presisjon. I tillegg må den skje raskt og fortrinnsvis på en tid av døgnet når trusselaktøren normalt ikke jobber.
Vi gjør det en helg i november.
All kjent trusselaktørtrafikk inn og ut av nettverket blokkeres.
Alle kjente infiltrasjonspunkter sikres og kjent malware og verktøy trusselaktørene har benyttet fjernes.
Alle passord resettes for å gjøre all påloggingsinformasjon motstanderne har samlet ubrukelig.
Det gjennomføres ytterligere herding og innføres sikkerhetskontroller for å forhindre at ny kompromittering.
Selv om disse aktivitetene på papiret kan virke trivielle, å utføre dette i et stort og komplekst IT-miljø, med minimal innvirkning på normal drift og forretningen, er absolutt ikke trivielt. Uten nøye planlegging, kan en aktivitet som å tilbakestille alle passord for en organisasjon med mange tusen ansatte – hvorav noen drifter og administrere kritiske applikasjoner og systemer – lett gå veldig, veldig galt.
Alle deler av Operasjon Bivrost ble fullført og var vellykkede uten å skape hindringer for drift og uten å få forretningsmessige konsekvenser. Dette var bare mulig på grunn av riktige menneskelig ressurser, erfaringene fra migreringen, omfattende forberedelser i samarbeid med linjeorganisasjonen og dyptgående forståelse av avhengigheter i miljøet at dette kunne oppnås.
Seks måneder senere er, så vidt jeg vet, virksomheten uten slike avanserte trusselaktører på innsiden. Det er også en nedgang i cybersikkerhetshendelser etter hvert som flere sikkerhetstiltak iverksettes.
En kompleks operasjon
Avhengigheter
Telenor Norge støtter selskaper globalt med analyse og hendelseshåndtering når avanserte operasjoner detekteres mot konsernets virksomhet. Målet er å minimere konsekvensene av hendelsen over tid, og derfor er det er kritisk viktig å forstå hendelsen og infrastrukturen den har skjedd i. Vi må unngå at vi bare halvveis kaster ut en angriper og dermed gir aktøren mulighet til å gjemme seg i deler av infrastrukturen hvor vi ikke har kontroll og fortsetter sin operasjon derfra, eller enda verre; tvinger frem en destruktiv reaksjon fra trusselaktøren.
Avanserte aktører har god tid, de opererer i måneder og år for å skaffe seg unik innsikt i miljøet de vil utnytte eller benytte til egen fordel. På denne måten kan de etablere solide bakdører på ulike steder i infrastrukturen som det er krevende å avdekke i etterkant.
Effektiv utkastelse av en trusselaktør innenfor en rimelig reaksjonstid, og med tilstrekkelig trygghet for at aktøren ikke har gjemt seg, eller reetablerer tilgang igjen umiddelbart avhenger av godt implementert sonemodell, minst mulig teknisk gjeld og god kompetanse i driftsorganisasjonen.
Synlighet
For å kunne reagere effektivt på en trusselaktørs handlinger er synlighet i den kompromitterte infrastrukturen avgjørende. Vår tilnærming er i grove trekk tredelt:
Nettverkssensor: Vårt CERT og vår SOC koordinerer innplassering av en eller flere nettverkssensorer i infrastrukturen. Sensorene settes inn på sentrale punkter i infrastrukturen som for eksempel der data skal forlate et nettverk, ut mot Internett eller mellom de ulike sonene i en sonemodell. Det er viktig å forsikre seg om at data som passerer sensoren stemmer med deteksjonsreglene den er satt opp med. Sensoren gir oss også mulighet til å fange trusselaktørens kommunikasjon.
Sentralisert logginnsamling: Dette foregår ved at en rekke tjenester i infrastrukturen settes opp til å sende logger fra aktiviteten på tjenesten til et sentralt innsamlingspunkt hos TCERT. På denne måten kan data fra ulike kilder i infrastrukturen analyseres samlet noe som gir et mye bedre bilde av situasjonen fremfor å skulle samle inn logger fra ett og ett system.
Endepunktssynlighet: Dette oppnås vanligvis ved å installere en agent, altså et lite program, som overvåker aktiviteten på endepunktet og er viktig; på denne måten ser man aktørens aktivitet på det aktuelle endepunktet og har bedre forutsetninger for å forstå aktørens intensjon. Med en endepunktsagent installert er det også mulig å redusere muligheter et infisert endepunkt har til å snakke med omverdenen.
Samlet sett gir denne tilnærmingen oss synligheten som trengs for å kunne analysere en trusselaktørs aktivitet for så å vurdere hav som er de beste tiltakene i håndteringen.
En forutsetning for effektiv implementering av tiltak er kunnskap om eget miljø. Synlighetsimplementeringen baserer seg på et bilde av miljøet eieren av infrastrukturen presenterer. Om dette ikke er riktig vil også implementasjonen og derved synligheten, kunne bli mangelfull.
Det er utfordrende å vedlikeholde synlighet over tid. Rekonfigurering av nettverksutstyr, oppgradering av hardware og software gjør at synligheten forringes over tid. Erfaringen, både i Norge og internasjonalt, er at man sjelden har den synligheten som er påkrevet. Effekten av dette blir at det tar mye lengre tid å få klarhet i omfanget av en hendelse og eventuell rotårsak.
En trusselaktør som forstår han er oppdaget vil agere, reaksjonen kan være å få på plass skjulte bakdører i infrastrukturen. Trusselaktøren kan også bli destruktiv i den hensikt å skjule sine spor når han forstår at han er oppdaget, men dette har vi foreløpig ikke sett tilfeller av i Telenor.
Lagring
Når relevant informasjon er samlet inn og lagret er lagringstiden en utfordring. Når man håndterer operasjoner ledet av avanserte trusselaktører kan det gå lang tid mellom aktørens infiltrering i nettverket og deteksjon. Vi har eksempler på at aktører avdekkes på grunn av urelaterte eksterne forhold slik som bruker-audit eller at en annen mindre avansert aktørs støy medfører at man oppdager de avanserte. I slike tilfeller kan lovgivningens begrensning av lagringstid for logger være en utfordring som vanskeliggjør eller hindrer håndteringen.
Overvåke motstanderen
Evnen til å fange og lese trusselaktørens kommunikasjon er en av de viktigste kapabiliteter vi har klart å utvikle. Avlesing av konkrete kommandoer sier mye om aktørens intensjon med tilstedeværelsen og gjør oss i stand til å handle taktisk klokt. Avlesning av denne kommunikasjonen er teknisk avansert og krevende ved implementering, men utgjør en vesentlig forskjell når den er på plass.