För några veckor sedan publicerades en enorm läcka med data från ett konsultföretag i Panama. Just detta konsultföretag hjälpte organisationer och privatpersoner världen över att sätta upp bland annat brevlådeföretag.

Vi har i efterdyningarna sett att den grundläggande it-säkerheten på företaget som drabbades var bristfällig. Men förutom den bristande grundläggande it-säkerheten så kan vi även konstatera att det troligtvis rörde sig om en extern angripare, inte en insider.

När det gäller att skydda data i den mängd som företaget i Panama blev av med (2.6 TB) så bör flertalet olika metoder användas. Den första frågan som är relevant att ställa är: Behöver vi spara all data så länge? Det vill säga finns det någon gallringsprocess för att säkert radera eller skriva över data som inte längre är nödvändig? Även; bör data som ska sparas under längre tid placeras på ett sådant sätt att den inte är lätt tillgänglig?

Läs också: Supervirus sätter skräck i europeiska banker – och skaparen döms till miljonböter i USA

Att använda god separation mellan nätverk och bevaka in- och utgångar är också något som bör anses relevant i sammanhanget samt att lagra trafikinformation. Denna trafikinformation kan i efterhand användas för att utreda omfattningen vid en it-forensisk utredning.

Produkter så som data loss prevention, dlp, kan ytterligare stärka skyddet för att dokument inte hamnar på vift med hjälp av exfiltrationsattacker. Det finns även företag som erbjuder 24/7-bevakning av loggar om ni inte själva har den kapacitet som behövs för ett sådant arbete.

Och även om vi höjer skyddet på externa förbindelser så som internetförbindelser bör även rörligt media omhändertas på ett adekvat sätt. Om er organisation exempelvis använder en säkerhetsfunktion med sandlåda som söker igenom all e-post som kommer från internet så bör denna säkerhetshöjande funktion även fungera på rörligt media. Observera vilka externa partners ni har anslutningar till och även att dessa är väl skyddade.

En nygammal trend är också att använda sig av kanariefåglar (engelska: honeytokens). Detta är unika textsträngar som inte ska förekomma i nätverkstrafik, i datorer eller på internet. Om dessa ändå dyker upp så kan ni sätta upp larm som aktiveras och ni blir medvetna om att någon tittat eller överfört information där dessa kanariefåglar förekommer.

Läs också: Microsoft har två lösningar för containerteknik. Men vad är egentligen skillnaden?

För att sammanfatta:

  • Patcha och håll system uppdaterade
  • Logga mycket och kontrollera loggar regelbundet
  • Testa att automatiska larm fungerar
  • Utbilda användare
  • Håll er uppdaterade om vad som händer i omvärlden
  • Överväg system så som dlp och antivirus med sandlådor
  • Återkommande automatiska och manuella penetrationstester
  • Radera och kryptera information
    • Vid överföring och lagring. Använd inte samma kryptonycklar för all information
    • Använd säker överskrivning vid radering

Fakta

När en angripare systematiskt söker igenom system efter system och skickar ut information från organisationen. Vanligtvis så försöker angriparen att dölja att information skickas ut och använder då vanliga filöverföringsprotokoll som smälter in i mängden och har större sannolikhet att ta sig förbi en brandvägg.

Befattning: Senior IT Security Specialist
Företag: Triop
Linkedin: Jonas Lejon
Twitter: @jonasl
E-post: jonas.expertnetwork@triop.se
Hemsida: www.triop.se, www.kryptera.se
Expertområden: Cybersäkerhet, krypto, granskningar, skadlig kod, cyberkrig, it-angrepp, exfiltrationsattacker, robust it-infrastruktur.
Bakgrund: Har jobbat mer än tio år på FRA och Försvarsmakten. Driver kryptera.se, Sveriges största blogg inom IT-säkerhet och kryptering.