Det blir allt vanligare att företagsnätverk utsätts för intrång och att konfidentiell information hamnar i orätta händer. Så här upptäcker du om din miljö är utsatt.
Det behöver inte nödvändigtvis vara något skumt med att det kommer en del trafik från anonymiseringsnätverk, till exempel Tor – kanske beror det bara på att någon eller några inte känner för att bli övervakade av amerikanska NSA eller liknande.
Däremot ska man inte sticka under stol med att många som använder anonymiseringsnätverk trots allt har för avsikt att utföra något olagligt.
Av den anledningen är det att rekommendera att övervaka ingående trafik från ip-adresser tillhörande de slutnoder som är knutna till anonymiseringsnätverken. Sådana kan i regel hittas på nätet. Det finns flera sajter med listor över Tor-noder, till exempel www.dan.me.uk/tornodes
2/122. Ovanliga förändringar på mobila enheter
I takt med att mobila enheter av olika slag tar över allt mer hos företag och organisationer blir det självklart också vanligare att hackare utnyttjar dessa för att hitta en väg in i ett nätverk.
Därför är det viktigt att hålla ett öga på ovanliga förändringar på mobiltelefoner och surfplattor. Användarprofiler som byts ut i samband med en nätfiskeattack eller ett riktat så kallat spjutfiske (spearphishing), där förövarna siktar in sig mot ett specifikt företag eller en viss person, är två vanliga exempel.
Det kan också hända att av företaget godkända appar byts ut mot skaldliga dito med förmågan att utföra man-in-the-middle-attacker.
3/123. Automatiserad webbtrafik
Hur ofta öppnar du 30 flikar i webbläsaren i ett svep och laddar lika många sajter på en gång? Har det någonsin hänt? Det är en typisk webbaktivitet som mest sannolikt inte har skapats manuellt av en användare. Just i ett sådant här fall pekar det snarare mot att ett system är smittat av någon typ av program som är ute efter att skapa falska klick på webbannonser för att tjäna pengar på ett ohederligt sätt.
En instans som använder en webbläsare som inte är standardalternativt eller en äldre version är andra varningstecken att titta efter.
4/124. Stora datamängder på märkliga ställen
Det är vanligt att hackare samlar in stora mängder data i ett system och mellanlagrar dessa på en plats i nätverket innan de tankar hem allt. Om du plötsligt hittar flera gigabyte med filer på ett ställe där det inte borde finns så stora mängder data finns det alltså all anledning att vara vaksam, inte minst om filerna är komprimerande.
Rent generellt är det viktigt att hålla koll på filer som dyker upp på oväntade platser. Exekverbara filer i temporära mappar är också något att spana efter.
Har du kanske också märkt att läsvolymerna från en eller flera databaser har ökat kraftig på kort tid? Det kan visserligen finnas en naturlig förklaring, men risken är att någon obehörig är inne och tankar ned stora mängder information i ett svep.
När en hackare gjort intrång i ett nätverk är hen ofta ute efter något. Det är till exempel inte allt för otroligt att personen i fråga vill lägga vantarna på en databas med användaruppgifter eller en samling med kreditkortsnummer till företagets kunder.
5/12Foto: Chris Gladis5. Ddos-attacker som rökridå
En krånglande brandvägg, sajter som går ned eller ett långsamt nätverk är alla typiska exempel på en pågående ddos-attack (distributed denial of service).
Det är nog illa i sig, men i många fall är ett ddos-angrepp bara en rökridå för andra typer av attacker med betydligt värre följder. Det är framför allt vanligt att angriparna passar på att stjäla data eller lägga in skadliga program på ett system under tiden som it-teknikerna är fullt fokuserade på att få bukt med en ddos-attack. Därför är det viktigt att göra en fullständig kontroll av nätverket i sådana fall.
6/126. Mystisk utgående trafik
Oväntad utgående trafik är många gånger det första tecknet på ett pågående intrång, inte minst eftersom den typen av trafik i regel är mycket lätt att bevaka. Det kan till exempel handla om ovanligt stora mängder med data, eller data som tar vägar som inte har registrerats tidigare.
För att upptäckta mystisk utgående trafik är det exempelvis bra att övervaka:
Försök att nå en webbsajt via en ip-adress i stället för en webbadress i det mer praktiska fqdn-formatet (fully qualified domain name, till exempel www.google.se)
Försök att nå icke routbara ip-adresser
Oväntade ökningar av krypterade data.
Man bör reagera på varje enskild sådan händelse, och man bör agera snabbt. Den första trafiken som upptäcks består i bästa fall bara av enklare styrkommunikation med en hackares kontrollserver, men om säkerhetshålet inte täpps igen snabbt är risken stor att det utnyttjas fullt ut och att konfidentiella data flödar ut från nätverket.
7/127. Oväntade uppdateringar
Visst är det bra att mjukvaran i ett nätverk uppdateras till den senaste versionen, men om det sker utan att den egna it-personalen är inblandad och det inte finns några automatiska uppdateringsinställningar i övrigt gäller det att vara vaksam.
Det finns nämligen exempel på att hackare som lyckats med ett intrång snabbt tätar den utnyttjade säkerhetsluckan och även satsar på att åtgärda alla andra kända säkerhetsbrister.
Varför då kan man undra? Jo, av den enkla anledningen att hen vill skydda systemet så att inte andra konkurrerande hackare kan ta sig in.
8/128. Udda portar
Enklare tekniker för webbfiltrering spärrar bara de mest använda portarna. Av den anledningen är det vanligt att hackare försöker använda sig av lite mer udda portar för att hitta en ingång i ett nätverk, och detta genom att också maskera trafiken i form av till exempel dns-förfrågningar så att den ser harmlös ut.
Om du upptäcker att en applikation kommunicerar över någon ovanligt port kan det alltså vara ett tecken på att något är galet.
9/129. Onormala http- och dns-förfrågningar
En normal http-förfrågning ligger på mellan 200 byte och 2 kilobyte. I de fall då en hackare använder sql-injicering för att utvinna data via en webbapplikation, kan du dock räkna med att förfrågningarna växer sig riktigt stora och landar på flera megabyte, ibland till och med tiotals megabyte. Ovanligt stora http-förfrågningar är med andra ord ytterligare en varningssignal.
Du bör också vara på din vakt om det strömmar in många dns-förfrågningar från en och samma klient. Det kan vara ett tecken på så kallad command-and-control-trafik, det vill säga trafik som går till en styrserver som kontrolleras av en hackare.
Den trafiken är mycket viktig för hackaren eftersom den gör att hen kan styra attacken, och av den anledningen brukar hackaren säkerställa att trafiken håller hög säkerhet så att den inte avbryts på något sätt. Detta skapar dock ett visst mönster i dataöverföringen som går att identifiera.
10/1210. Misslyckade och märkliga inloggningar
Bevaka användare som loggar in utanför arbetstid och gör upprepade försök att komma åt filer de inte har tillåtelse att öppna.
Titta också efter misslyckande inloggningar där någon har försökt använda ett användarkonto som inte existerar. Just detta är sannolikt ett tecken på att en hackare testar med att gissa sig fram till vilka konton som finns tillgängliga.
Givetvis är det också viktigt att granska konton där någon hela tiden skriver fel lösenord.
Märker du att någon loggar in från ett land som företaget inte har någon verksamhet i? Det kan tyda på att något skumt är i görningen, och det även om inloggningen sker från ett legitimt konto och förefaller vara helt normal i övrigt. I värsta fall leder spåren till en hackare som arbetar på distans, på säkert avstånd från målet.
Det är självklart extra misstänkt om en användare loggar in från olika ip-adresser runt om i världen inom en kort period – det är knappast något som en legitim användare gör, såvida inte hen använder någon form av anonymiseringstjänst.
11/1211. Användarkonton med ökade rättigheter
En hackare som lyckats ta sig in i ett system med hjälp av ett användarkonto med grundläggande rättigheter kommer göra allt för att utöka rättigheterna för det kontot, alternativt försöka skifta till andra konton med högre behörighet.
Oväntade förändringar gällande användares rättigheter är alltså något att bevaka, och om det finns misstanke om intrång är det särskilt viktigt att hålla ett öga på vilka data personen i fråga kommer åt och på vilka tidpunkter detta sker.
Med detta som grund går det oftast att dra slutsatser om en hackare är i farten eller om det bara är en vanlig användare du har att göra med.
12/1212. Skumma förändringar i systemfiler eller registret
Skadliga program gör ofta förändringar i registret. Av den anledningen är det smart att sätta upp en mall för vad som ska och inte ska få finnas i registret, och så snart du märker några förändringar finns det anledning att misstänka att något är galet.
Passa även på att granska system- och konfigurationsfiler på liknande sätt. Det är till exempel vanligt att en hackare installerar ett verktyg vars uppgift är att fånga upp och ganska alla datapaket. Målet med det är att lägga vantarna på användbar information, till exempel kreditkortsuppgifter.
Nya tekniker och trender som molnet och byod implementeras många gånger utan att organisationen i fråga har planerat en tillhörande säkerhetsstrategi. Därför är det inte särskilt konstigt att antalet it-relaterade säkerhetsincidenter ökade med 25 procent under det senaste året.
Uppgiften kommer från konsultjätten PWC:s undersökning ”The Global State of Information Security Survey 2014”, där det också konstateras att hela 80 procent av organisationerna har upplevt en eller flera säkerhetsincidenter under det senaste året. 18 procent rapporterar om 50 incidenter eller till och med fler än så. 9 600 it-ansvariga från 115 länder deltog i undersökningen.
Siffrorna visar hur viktigt det är att satsa på förebyggande säkerhetsåtgärder och hålla koll på nätverkets alla kringelkrokar. Du som har till uppgift att sätta stopp för intrång måste dock lära känna dina fiender. Hur arbetar de och vilka system kommer de mest sannolikt att angripa?
Vi listar i bildspelet ovan några av de absolut vanligaste indikatorerna som avslöjar att ett nätverk är under attack eller påvisar att något skumt är på gång.
Snort upptäcker attackerna automatiskt
arför sitta och leta efter suspekta aktiviteter helt manuellt när det finns automatiserade verktyg med förmågan att göra en stor del av jobbet? Utbudet av ips- och ids-mjukvaror (intrusion prevention system respektive intrusion detection system) är stort – ett av de mest använda heter Snort och ståtar med 400 000 registrerade användare.
Verktyget bygger på öppen källkod och undersöker all trafik i realtid. Bland annat analyserar det protokoll och söker efter visst innehåll. Snort är gratis och existerar i versioner för Linux och Windows.
TechWorlds senaste test av Snort Vi testade version 2.9.3 för en tid sedan – ”kraftfull kontroll men kräver kunskaper” sa vår expert då. http://techworld.idg.se/2.2524/1.481232
Psst! Du har väl förresten inte missat att läsa om TechWorlds besök hos virusjägarna på F-Secure? Hur jobbar man egentligen på ett sådant labb?