Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker chef till Enheten för operativ cybersäkerhetsförmåga, en viktig roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 19 oktober.

Uppdaterad | Publicerad

Riktade intrångsförsök mot svenska intressen

Under senare tid har det uppmärksammats riktade intrångsförsök mot informationssystem som är av betydelse för svenska nationella intressen.

Situation och förslag på säkerhetsåtgärder

Under senare tid har det uppmärksammats riktade intrångsförsök mot informationssystem som är av betydelse för svenska nationella intressen. Intrångsförsöken utförs framförallt med hjälp av e-postmeddelanden som är speciellt anpassade till mottagarens intresseområde. Dessa e-postmeddelanden innehåller bilagor med skadlig kod eller länkar till webbplatser som innehåller skadlig kod. De vanligaste skyddsåtgärderna, som antivirusprodukter och brandväggar, ger inte fullständigt skydd mot dessa riktade attacker.

Tillvägagångssätt

Individuellt anpassad e-post sänds till individer inom den utsatta organisationen. Breven ser ut att ha trovärdiga avsändare som förefaller rimliga i förhållande till brevens innehållstext. Texten är relevant för det arbetsområde mottagaren verkar inom. Med breven följer bilagor, vilka om de öppnas infekterar mottagarens dator med en medföljande skadlig kod. Alternativt innehåller meddelandetexten länkar som leder till webbplatser som infekterar mottagarens dator. Den skadliga kod som installeras på den drabbade maskinen gör det möjligt för angriparen att utifrån ta kontroll över maskinen. På så sätt uppstår en risk att information hämtas ut från den drabbade maskinen.

Upptäckt

Mycket tyder på att det rör sig om skadlig kod som specialtillverkats eller anpassats för ändamålet. Den skadliga koden förekommer i ett flertal varianter. Var och en är så pass ovanlig att det tar tid innan skyddsfunktionalitet kommer till stånd i etablerade antivirusprodukter. Eftersom det i infektionsskedet handlar om aktiviteter som användaren initierat (öppna bilaga, klicka på länk) kan man inte heller förlita sig på att brandväggar hindrar infektionen. Kommunikation till och från en infekterad maskin sker på sätt som vanligtvis definierats som tillåtna i typiska brandväggslösningar.

Det kan vara svårt att upptäcka resultat av infektion av den skadliga koden i det egna systemet. Inga specifika rekommendationer kan i dagsläget ges beträffande symptom eller systemförändringar att söka efter i en eventuellt drabbad maskin.

Generellt är det en god idé att studera de olika loggar man förfogar över. Förekommer avvikande händelser eller ovanlig trafik, exempelvis till eller från oväntade IP-adresser, bör sådant studeras närmare. Förfogar man över IDS / IPS (se nedan) kan sådana system innehålla värdefull information. Varianterna av den skadliga kod som används håller varierande konstruktionskvalitet, vilket kan skapa avvikande spår i loggningen då kodexekveringen inte följer förväntade mönster.

En annan åtgärd är att söka efter okända processer som startats i maskinen. Vidare kan man studera trafikflödet från den misstänkta maskinen i syfte att finna starkt assymetrisk kommunikation, dvs där trafikmängden från maskinen till en viss IP-adress är avsevärt större än trafiken i andra riktningen. På samma sätt kan man undersöka om större trafikvolymer lämnar maskinen utanför normal arbetstid.

Åtgärdsförslag

Nedanstående åtgärdsförslag är generella och kan rekommenderas för IT-system som hanterar känslig information. För IT-system som används för hantering av hemliga uppgifter är vissa av de åtgärder som föreslås nedan inte möjliga att genomföra och inte förenliga med rådande lagstiftning. IT-system som används för hemlig information får inte anslutas till Internet eller andra nät som inte är avsedda för hantering av hemlig information.

Rekommendationerna indelas i två kategorier: förslag på omedelbara åtgärder och förslag på åtgärder på längre sikt. En del av åtgärderna kan inte vidtas omedelbart eftersom de kräver planering, anskaffning och införandeplanering. Det bör poängteras att bägge kategorierna av skyddsåtgärder är relevanta att genomföra för att önskvärda effekter ska uppnås.

Förslag på omedelbara åtgärder:

Riskutredning

  • Genomför riskutredning / riskanalys för att identifiera information, processer och resurser som är av väsentlig betydelse för verksamheten.

Informationsklassning

  • Genomför kontinuerlig informationsklassning och flytta känslig information till fristående system, separata nät eller en avgränsad nätverksmiljö.

Information och utbildning

  • Informera och utbilda användarna om risker med att hantera okända e-postbilagor respektive okända länkar i e-post
  • Informera användarna om de informationsklasser som finns och vilken IT-miljö som tillåts hantera respektive informationsklass

Operativsystem och programvaror

  • Använd automatiserade system för uppdatering
  • Verifiera att systemen är ordentligt uppdaterade
  • Installera antivirusprogram och uppdatera dessa regelbundet

Brandväggar

  • Filtrera både in- och utgående trafik i brandväggen

E-postservar

  • Inför restriktioner för vilka bilagor som tillåts i inkommande e-post och acceptera enbart de filtyper som är nödvändiga för verksamheten.
  • Öka manuell kontroll av inkommande e-post med bifogade filer av filtyper som kan misstänkas innehålla skadlig kod
  • Skanna inkommande e-post för virus, lämpligen med ett flertal olika antivirusprodukter
  • Installera spamfiler
  • Avaktivera HTML-formaterad e-post, så att all e-post förmedlas i vanligt textformat
  • Avaktivera "Förhandsgranskning" i e-postprogrammet

Webbproxy

  • Använd webbproxy med antivirusmodul
  • Använd antiviruslösningar från mer än en leverantör
  • Filtrera i brandvägg så att bara proxyn får kommunicera med Internet

Klienter

  • Ställ in antivirusprogram på klienter att flera gånger per dag kontrollera om uppdateringar finns tillgängliga
  • Överväg möjligheten att tvinga ut kritiska programuppdateringar

Förslag på åtgärder på längre sikt:

  • Flytta system som hanterar känslig eller hemlig information till egen fysiskt separerad miljö.
  • Överväg att i mycket känsliga sammanhang placera användning av Internet i egen fysisk separerad miljö genom att t.ex. använda gemensamma Internetdatorer i en separat nätverksmiljö

Tunna klienter för Internet

  • Överväg användning av tunna klienter för kommunikation med Internet i särskilda fall
  • Placera terminalservern i skyddad och övervakad miljö - terminalservern kan där vara lättare att administrera och säkra upp än en mängd utspridda klientmaskiner

VLAN (Virtual Local Area Network)

  • Använd VLAN i så stor utsträckning som möjligt

Synkronisering av klockor

  • Synkronisering av klockor är viktig för t.ex. logghantering, IDS, IPS, kryptering och forensik. Synkronisering bör göras mot etablerade officiella klockor, exempelvis i internetknutpunkter.

Loggning

  • Aktivera loggning på alla system
  • Logga med avsikt att kunna svara på frågor som när, vad, hur, varifrån och vem?
  • Överväg införande av central loggning genom enkelriktat system som medger trafik endast i riktning till loggservern
  • Säkerhetskopiera och spara loggar på ett betryggande sätt
  • Logga all internettrafik vid misstanke om incidenter

Kryptering på interna nätverket

  • Kryptering bör alltid användas mot viktiga och känsliga system

IPS (Intrusion Prevention System)

  • Överväg införande av IPS för att förebygga intrång

IDS (Intrusion Detection System)

  • Installera IDS och tillsätt utpekade resurser för administration av denna

  • Överväg införande av enkelriktade nätverksanslutningar från Internet till internt system

Incidentrapportering

Organisationer som misstänker att man drabbats av denna typ av riktat intrångsförsök uppmanas att kontakta Sitic, Sveriges IT-incidentcentrum.

Avslutning

Företeelser liknande de nu aktuella har tidigare uppmärksammats utomlands. I Storbritannien har NISCC (National Infrastructure Security Co-ordination Centre) beskrivit problem som drabbar brittiska organisationer i dokumentet "NISCC Briefing 08/2005 Targeted Trojan Email Attacks".

Förslag på skyddsåtgärder i detta dokument är inriktade på att för hindra de aktuella attackerna. Därför berörs inte informationssäkerhetsfrågorna i sin helhet. Organisationer för vilka säkerhetsskyddslagstiftningen gäller ska ta hänsyn till den.

För arbetet med grundläggande informationssäkerhet kan lämpliga delar av LIS-standarden (SS-ISO/IEC 17799:2005 - Ledningssystem för informationssäkerhet) användas. Även rekommendationen BITS (Basnivå för informationssäkerhet) från Krisberedskapsmyndigheten (www.krisberedskapsmyndigheten.se) kan användas som stöd i arbetet med grundläggande IT-säkerhet. Sitics webbplats (www.sitic.se) erbjuder information om aktuella sårbarheter samt fler förebyggande råd.

Referenser

Ytterligare information från Krisberedskapsmyndigheten:

http://www.krisberedskapsmyndigheten.se/templates/EntryPage____570.aspx

Beskrivning från NISCC i Storbritannien om liknande företeelse:
http://www.uniras.gov.uk/niscc/docs/ttea.pdf

Sitics Råd & Rekommendationer:

http://www.sitic.se/rad_och_rekommendationer/index.html

Sitics Riskutredningsinformation:

http://www.sitic.se/rad_och_rekommendationer/fr_riskutredning.html

BITS, Basnivå för informationssäkerhet:

http://www.krisberedskapsmyndigheten.se/templates/EntryPage____677.aspx