FortiBleed-saken: Beviset på at stjålet tilgang sjelden blir liggende ubrukt
Det viktigste er ikke sårbarheten, men hva som skjer etterpå.
Sikkerhetsforskere hos SOCRadar har denne uken dokumentert noe som lenge har vært en antagelse i bransjen, men sjelden bevist så konkret: at storskala tyveri av påloggingsinformasjon ikke bare handler om videresalg av data. Det er ofte første steg i en sammenhengende kjede som ender med løsepengevirus.
Hudson Rock omtalte og publiserte allerede i uke 25 hvilke organisasjoner som var berørt av dette.
I den såkalte FortiBleed-kampanjen har angripere over tid samlet inn store mengder legitimasjon fra internett-eksponerte fjerntilgangsløsninger. Forskerne har funnet direkte spor som knytter denne tilgangen til aktive løsepengegjenger – blant annet gjennom overlappende offerlister og operasjonelle dokumenter som viser hvilke virksomheter som ble kartlagt, hvilke tilganger som ble brukt, og i flere titalls tilfeller: hvordan angriperne beveget seg videre fra første tilgangspunkt helt til domeneadministrator-nivå.
Dette er det som gjør saken relevant for enhver virksomhet
Uavhengig av hvilken leverandør av fjerntilgang en virksomhet benytter, illustrerer denne saken tre mønstre vi ser gå igjen i de fleste alvorlige hendelser:
- Eksponert fjerntilgang er et vedvarende mål. VPN-løsninger som er tilgjengelige fra internett, blir kontinuerlig skannet og forsøkt utnyttet – ikke som et engangsforsøk, men som en løpende aktivitet.
- Stjålet legitimasjon har lang levetid. Tilgang som samles inn i dag, kan bli brukt til løsepengeangrep uker eller måneder senere. Flere sikkerhetsmiljøer anslår at det kan ta så lite som 30–60 dager fra kompromitterte påloggingsopplysninger foreligger, til de faktisk utnyttes.
- Veien fra første tilgang til domeneadministrator er ofte kortere enn man tror. Der angripere har fått et fotfeste, har de i mange tilfeller klart å bevege seg videre til domenekontrolleren og oppnådd full kontroll – noe som understreker hvor kritisk det er å oppdage unormal aktivitet tidlig i kjeden, ikke først når skaden er skjedd.
Fem konkrete tiltak saken løfter frem
For sikkerhetsledere er ikke poenget her hvilken enkeltleverandør som var involvert. Poenget er hva som faktisk stopper denne typen kjede:
- Sikre internett-eksponert fjernaksess – og gjør det nå, ikke ved neste budsjettrunde. Enhver VPN- eller fjernaksess løsning som er synlig fra internett, er et aktivt mål allerede i dag. Dette er ikke en fremtidig risiko som kan planlegges inn i neste kvartal – det krever oppdatert programvare, sterk autentisering og redusert eksponering nå. Hudson Rock omtalte og publiserte allerede i uke 25 hvilke organisasjoner som var berørt, noe som viser at eksponeringsvinduet for mange virksomheter har vært åpent lenge før denne saken fikk bred oppmerksomhet.
- Roter legitimasjon som kan ha vært eksponert. Der det er usikkerhet knyttet til om påloggingsinformasjon kan ha kommet på avveie, er rotasjon en lav kostnad sammenlignet med konsekvensene av at den blir brukt.
- Gjør MFA obligatorisk, spesielt for administrative og fjerntilgangskontoer. Mange virksomheter har gjort MFA tilgjengelig, men ikke obligatorisk, nettopp for de kontoene som utgjør størst risiko. Det er ingen skuddsikker løsning, men det hever kostnaden for angriperen betydelig og stopper mange av de enkleste utnyttelsesforsøkene.
- Begrens fjerntilgang til hvitelistede IP-adresser der det er praktisk mulig. Selv om brukernavn og passord kommer på avveie, begrenser IP-begrensning hvor angriperen faktisk kan utnytte tilgangen fra. Det er ikke en løsning som passer alle scenarioer, men der det lar seg gjøre, reduserer det angrepsflaten betraktelig.
- Overvåk for uautorisert administrativ tilgang. Dette er trolig det viktigste punktet i saken: det som skiller virksomhetene som oppdaget noe tidlig fra dem som ikke gjorde det, var kontinuerlig overvåking av nettopp denne typen aktivitet – ikke om de hadde riktig utstyr, men om de hadde øyne på det som skjedde.
For sikkerhetsledere handler dette om tid, ikke om verktøy
En brannmur eller VPN-løsning er kun så sikker som rutinene rundt den. Det som faktisk avgjør utfallet, er hvor raskt unormal aktivitet blir oppdaget og håndtert; tiden fra en tilgang er kompromittert, til noen faktisk reagerer på det.
Det er nettopp dette kontinuerlig overvåking av tilgang og administrative rettigheter er bygget for å løse.
Book en gjennomgang av tilgangssikkerhet
Vi ser på eksponering av fjerntilgangsløsninger, rutiner for rotasjon av legitimasjon, og hvordan dere fanger opp uautorisert administrativ aktivitet.
Innholdsfortegnelse
Innholdsfagskategori
Innholdstype
Relatert innhold
Når angriperne går gjennom leverandøren din
Digitalsikkerhetsloven: Hvorfor cybersikkerhet nå er et lederansvar
Advokatfirmaet trodde de var sikret.
OT-kontroll handler ikke bare om sikkerhet
Fra vurdering til etterlevelse: slik bygger du OT-modenhet i praksis
Purdue-modellen i OT-sikkerhet: hvorfor den ikke lenger er nok alene
Kontakt Oss
Fyll ut skjemaet så kommer vi tilbake til deg så snart som mulig! Takk!