10 sätt att upptäcka avancerade cyberattacker

1. Upprätta en baseline över klienter, servrar och annan utrustning
Om någon ändrar en konfigurationsfil i en router någonstans i nätverket så bör detta ge ett larm. Även om en ny firmware installeras i en switch. Troligtvis har ni en grundplatå för samtliga server- och klientinstallationer. Skapa checksummor på samtliga filer så ni med enkelhet vid ett senare tillfälle kan se vad som avviker.

2. Håll koll på avvikande mönster i nätverkstrafiken
Kontrollera sådant som avviker från normala trafikbilden. Om en klient eller server plötsligt pratar med en helt ny enhet på nätverket, vad beror det på?

Läs också: Jonas Lejon: Här är de värsta säkerhetshoten 2017

3. Följ upp larm från antivirus, intrångsdetekteringsssytem (IDS) samt brandväggar
Det är en sak att logga och en annan att verkligen förstå loggarna och följa upp de larm som förekommer. Det är stor skillnad på om Poison Ivy-kontrolltrafik dyker upp i IDS:en eller Mimikatz dyker upp i antivirus-loggarna. Se till att skilja på larm och larm. Låt mig ge ett till exempel: Antivirusföretagen jobbar ständigt med att införa detektioner och en angripare kan ha haft fotfäste i flera år innan antivirus larmar på grund av en uppdatering.

4. Logga exekveringar
Försök att logga allt som exekveras i era system med hjälp av exempelvis Sysinternals Sysmon om det är en Windows-plattform. Loggarna kan sedan analyseras vidare i en ELK-stack eller Splunk. Glöm inte heller att logga alla PowerShell-script som exekveras.

5. Använd Microsoft EMET och logga händelser
Precis som punkt 4 så kan Microsoft Enhanced Mitigation Experience Toolkit ge ett utökat skydd mot olika typer av avancerade cyberattacker och även logga dessa.

6. Logga all nätverkstrafik i rått format (PCAP)
Att i efterhand analysera ett intrång där det inte finns några som helst loggar kan vara mycket mödosamt. Att spara ner rå nätverkstrafik till disk i ett FIFO-förfarande kan ge mycket insikt vid en incident. Om du har mycket datatrafik så kan du spara ner metadata i form av Argus-filer eller spara DNS-trafik separat. Att spara metadata är synnerligen intressant om du vill ha möjlighet att gå tillbaka flera år för att se vad som gick på nätverket.

7. Kontrollera integritet på filer
Eftersom ni enligt punkt 1 har en baseline så sök igenom efter avvikande filer såsom processer, drivrutiner och dll:er. Kör ni startup-script i PowerShell eller bat-filer? Kontrollera dessa också. En bra praxis är även att inte lita på kontrollverktyg som redan är installerade på systemet då dessa kan vara modifierade.

8. Kontrollera hårdvara, firmware, mobiler
Att följa upp och kontrollera firmware i alla system på nätverket är inte alltid helt lätt. Enheten har kanske inte ens stöd för att läsa ut firmware. Och den firmware som läses ut, hur ska ni veta att det ö.h. är den som körs i systemet? Samma gäller mobiltelefoner där forensiska undersökningar kan vara problematiska.

Läs också: Få myndigheter anmäler it-incidenter trots nya krav – ”stort mörkertal”

9. Använd interna honeypots och honeytokens
Populärt just nu är att placera ett antal klienter och servrar som enbart fungerar som honeypots. Ingen i organisationen ska någonsin använda dessa och så fort något förekommer på servern eller klienten så ska ett larm skickas. Man kan även placera unika identifierare i databaser som inte får förekomma på nätverket eller på någon klient.

10. Kontrollera avvikande inloggningar
Om användaren plötsligt loggar in från ett ip-nummer i Thailand eller Kambodja så bör detta givetvis följas upp. Jättar såsom Google och Facebook har detta redan inbyggt i sina system, men det är tyvärr en funktion som är frånvarande i många kommersiella system. Följ även upp om ni 2FA och en inloggning genomförts med enbart en faktor, eller samma användare försöker eller har loggat in från samma ip-nummer.