Når angriperne går gjennom leverandøren din

De fleste virksomheter oppdager det for sent

Tenk deg at en av dine viktigste IT-leverandører blir kompromittert i natt.

Angriperne har tilgang til systemer, filer og brukerkontoer. I mange tilfeller kan deler av informasjonen i løpet av kort tid dukke opp på Dark Web – publisert på et ransomware-forum, lagt ut for salg i lukkede kanaler eller annonsert på en lekkasjesiden (leak site).

Din virksomhet vet ingenting.

Dette er ikke et tenkt scenario. Hendelser de siste månedene viser hvordan ett kompromittert leverandørmiljø kan få konsekvenser for mange virksomheter samtidig.

Cyberangrepet mot AlphaIT er ett eksempel. Sensitive data skal ha blitt publisert på Dark Web, og flere virksomheter ble berørt gjennom leverandørforholdet – uten at de selv var det opprinnelige angrepsmålet.

Leverandørkjeden er blitt en primær angrepsflate

Tradisjonelt har sikkerhetstiltak fokusert innover: brannmurer, endepunktsbeskyttelse, multifaktorautentisering, tilgangsstyring.

Disse tiltakene er nødvendige. Men de beskytter bare det du kontrollerer direkte.

Angripere vet dette. Og de går i stadig større grad via aktørene som allerede har privilegert tilgang til målvirksomheten:

• IT-driftspartnere og MSP-er med administrasjonsrettigheter
• SaaS-leverandører med tilgang til forretningskritiske data
• Konsulentselskaper koblet til interne systemer
• Programvareleverandører som distribuerer oppdateringer til mange kunder samtidig

Når én slik aktør kompromitteres, kan angriperne bevege seg videre – uten å bryte seg gjennom en eneste brannmur.

Konsekvensen er at én hendelse kan bli hundre hendelser.

Det er denne dynamikken som gjør leverandørstyring til et sikkerhetsspørsmål, ikke bare et kontraktsspørsmål.

Dark Web er der informasjonen dukker opp først

Etter et vellykket angrep er målet som regel å tjene penger på informasjonen de har stjålet.

Det skjer typisk via:

• Lekkasjesider (leak sites) – dedikerte nettsider der grupper som LockBit, BlackCat og Cl0p publiserer stjålne filer for å presse ofrene
• Markedsplasser for kompromitterte identiteter (credential markets) – der brukernavn, passord og sesjonstokens selges
• Lukkede forum og Telegram-kanaler – der tilgang til kompromitterte nettverk auksjoneres ut
• Åpne fildelingstjenester – der databaser og konfigurasjonsfiler legges ut uten krav om betaling

Denne informasjonen blir ofte tilgjengelig langt tidligere enn mediedekningen. I noen tilfeller dager, i andre tilfeller uker.

For virksomheter som overvåker disse kildene kontinuerlig, betyr det et faktisk handlingsvindu.

Hva overvåker egentlig et SOC på Dark Web?

✔ Lekkasjesider fra ransomware-grupper

✔ Kriminelle forum

✔ Telegram-kanaler

✔ Markedsplasser for kompromitterte identiteter

✔ Salg av nettverkstilganger

✔ Domener, e-postadresser og leverandører knyttet til virksomheten

Hva tidlig varsling gir deg i praksis

Verdien av Dark Web-monitorering ligger ikke i varslingen i seg selv.

Den ligger i hva virksomheten rekker å gjøre før hendelsen er allment kjent.

Et tidlig varsel kan gi mulighet til å:

• fastslå om virksomheten er direkte berørt
• identifisere hvilke brukerkontoer, systemer eller data som er eksponert
• tilbakekalle og rotere kompromitterte legitimasjoner
• styrke overvåking av aktuelle systemer og identiteter
• aktivere beredskapsplaner og varsle relevante parter
• informere ledelse og styre på et faktabasert grunnlag
• kommunisere med kunder og partnere før hendelsen er i mediene

I mange hendelser er det akkurat dette handlingsvinduet som avgjør omfanget av konsekvensene.

Dark Web-monitorering er mer enn lekkede passord

Mange forbinder fortsatt Dark Web-monitorering med én ting: varsling om lekkede brukernavn og passord.

Det er en del av bildet. Men moderne overvåking i et Security Operations Center dekker langt mer:

• Overvåking av ransomware-gruppers publiseringer og annonserte ofre
• Varsling når virksomheten omtales i kriminelle forum
• Oppdagelse av forsøk på salg av nettverkstilgang
• Overvåking av kompromitterte identiteter og sesjonstokens
• Sporing av trusselaktører rettet mot bestemte sektorer eller bransjer
• Varsling om eksponeringer hos kritiske leverandører

Satt i sammenheng med øvrig trusselinformasjon gir dette et bedre grunnlag for å prioritere sikkerhetstiltak og ta informerte beslutninger.

Et lederansvar, ikke bare et teknisk ansvar

Digitalsikkerhetsloven – den norske implementeringen av NIS2 – stiller eksplisitte krav til hvordan virksomheter skal håndtere risiko i leverandørkjeden.

Men lovansvaret er ikke det viktigste argumentet.

Det viktigste er at styret og ledelsen i dag forventes å ha faktabasert innsikt i virksomhetens risikoeksponering – også der risikoen oppstår utenfor egen infrastruktur.

De fleste sikkerhetsverktøy stopper ved virksomhetens egen infrastruktur. Dark Web-monitorering gir synlighet utenfor den – der leverandører, kompromitterte identiteter og trusselaktører møtes.

Kontroll starter med innsikt

Cyberhendelser kan ikke alltid forhindres.

Men de kan oppdages tidligere. Og når tidsgapet mellom eksponering og handling blir kortere, øker muligheten til å begrense konsekvensene.

Det er grunnen til at stadig flere sikkerhetsledere ser på Dark Web-monitorering som en naturlig del av risikostyringen – ikke fordi den stopper angrep, men fordi den gir innsikten som gjør raskere og bedre beslutninger mulig.

Vil du vite hva som er synlig om din virksomhet?

NetNordics sikkerhetsanalytikere overvåker kontinuerlig relevante Dark Web-kilder som en del av våre SOC-tjenester.

I en Dark Web Briefing går vi gjennom:

• om virksomheten eller domenet deres er eksponert
• om legitimasjon eller passord er lekket
• om kritiske leverandører er omtalt i relevante kanaler
• hvilke funn som krever tiltak
• hvilke risikoer som bør prioriteres

Ta kontakt dersom du ønsker en gjennomgang, uten forpliktelser.

Nå kan du få en gratis dark web briefing, registerer deg her om du ønsker dette. Våre eksperter kontakter deg innen kort tid.