10 måder at se om dit system er kompromitteret

 

Risikoen ved Advanced Persistent Threats (APTs) beror på vores evne til at opdage, alarmere og reagere på alle indikatorer, der kan antyde, at vores system er kompromitteret. Sådanne indikatorer kan fx være et usædvanligt højt aktivitetsniveau, usædvanlige trafikmønstre, registerdatabaseændringer og unormal fil- og folderaktivitet.

Her er de 10 mest almindelige måder at se, om dit system er blevet kompromitteret.

 

1. Mistænkelig aktivitet på en privilegeret konto

Hvis IT kriminelle får adgang til en brugerkonto på dit netværk, vil de ofte forsøge at forøge kontoens privilegier eller bruge den til at opnå adgang til en anden konto med større privilegier. Man er nødt til at holde øje med ting som at en konto fx bruges uden for normal arbejdstid og den mængde af data, der er tilgået for at være i stand til at afgøre, om aktiviteten på en konto er usædvanlig for den specifikke bruger.

 

2. Mistænkelig udgående trafik

Vi har en tendens til at fokusere meget på den trafik, der kommer ind i vores netværk og ikke så meget på den trafik, der går ud af netværket. Men hackere benytter ofte command-and-control servere til at aktivere en vedvarende trussel. Denne type af netværksaktivitet er generelt nemmere at spotte end de fleste indkommende angreb – præcis fordi de er vedvarende. Vi skal være i stand til at opdage usædvanlige mønstre i den udgående netværkstrafik.

 

3. Unormalt mange mislykkede log-ins

Hvis en bruger gentagne gange mislykkes med at logge ind på en konto eller simpelthen forsøger at logge ind på en konto, der ikke længere eksisterer, er det et ofte tegn på, at nogen eller noget er i gang med noget ondsindet. Disse typer mislykkede log-in bliver registreret i dine server logs. Vi ønsker imidlertid ikke at vente, til hackerne succesfuldt har tiltvunget sig adgang til netværket. I stedet bør man have automatiseret et svar baseret på en grænseværdi. Hvis fx X antal mislykkede log-in forsøg registreres over Y tid, skal der køre et skræddersyet script, som enten kan lukke serveren ned, ændre firewall opsætningen, deaktivere en brugerkonto eller stoppe en specifik proces.

 

4. Geografiske uregelmæssigheder

Ifølge en rapport fra F-Secure kommer størstedelen af alle cyber angreb fra “Rusland, Holland, USA, Kina og Tyskland”. Cyber-angreb kan naturligvis teoretisk set komme fra andre lande, men det kan være nyttigt at huske på denne information og holde øje med, hvilke lande vores indkommende netværkstrafik kommer fra og hvor vores udgående netværkstrafik går hen. Hvis en bruger derudover logger ind fra en IP adresse i ét land og derefter logger ind fra en IP adresse i et andet land i løbet af ganske kort tid, kan det også indikere, at et cyber-attack er i gang eller har fundet sted.

 

5. HTML reaktionsstørrelser og stigninger i databaseaktiviteten

Hvis en IT kriminel forsøger at udføre et såkaldt SQL injektionsangreb – hvor ondsindet kode indføres i en web-formular for at opnå adgang til den underliggende database – vil HTML respons størrelsen formodentlig være større end den ville være ved en normal HTML respons. Den IT kriminelle vil fx forsøge at downloade en database, der indeholder kreditkortdetaljer, hvilket kan være mange gigabytes stort. Alt i denne størrelse vil betragtes som meget usædvanligt for en standard webformular respons. SQL injektion er kun en af mange måder, hvorpå hackere kan få adgang til din database.

 

De kan også scanne for manglende SQL server patches, svagheder i konfigurationer, skjulte hændelser eller de kan scanne for SQL servere, der ikke er beskyttet af en  firewall. Alternativt kan de bare prøve at bryde System Administrator (SA) passwordet (hvis der er et). Hvis en IT kriminel af en eller anden grund får adgang til din database, vil han sandsynligvis forsøge at downloade en stor mængde sensitive data på kort tid. Så udover at overvåge HTML respons størrelser bør man også overvåge eventuelle stigninger i database aktiviteten, da det kan være en klar indikation af, at ens database er blevet kompromitteret

6. Tegn på et distributed denial-of-service attack (DDoS)

DDoS angreb bruges ofte som et røgslør for at gøre det muligt for hackere at starte andre, mere sofistikerede former for angreb. DDoS angreb er nemme at opdage, da de normalt resulterer i dårlig system performance som fx et langsomt netværk, utilgængelige websites og andre systemer, der arbejder på maksimal kapacitet

 

7. Unormale ændringer i registreringsdatabasen

En af de måder, APTs er i stand til at opnå stabilitet vedvarende angreb på og forblive skjulte er ved at foretage ændringer i registreringsdatabasen.  Det er derfor vigtigt at sikre sig, at man ved, hvordan den skal se ud og hvis den ser anderledes ud end den typiske status, er det vigtigt at man bliver informeret i real-time, så man kan minimere den potentielle skade, et angreb kan forårsage.

 

8. Usædvanlig brug af porte

Hackere benytter ofte almindelige portnumre for at kunne komme uden om firewalls og andre filtreringsteknikker. Det er vigtigt at holde styr på, hvilke porte, der er i brug og hvad de bruges til. Hvis en port bruges til noget, der ikke er på virksomhedens whitelist, bør man blive informeret øjeblikkeligt og automatisk kunne udføre en respons, der passer til situationen.

 

9. Mistænkelige DNS forespørgsler

Som nævnt benytter hackere ofte command-and-control servere til at etablere en kommunikationskanal mellem det kompromitterede system og deres egen server. Der er imidlertid andre mistænkelige DNS forespørgsler, man skal passe på. For eksempel åbner nogle slags svindel malware for et stort antal browser vinduer på samme tid. Det er helt klart unaturligt for en bruger at åbne så mange browser vinduer i en session, og hvis man gør det, vil det skabe en kortvarig stigning af webtrafikken. Hvis man holder øje med eventuel mistænkelig DNS aktivitet som fx en stigning i DNS forespørgsler, kan man bedre identificere potentiel, ondsindet aktivitet.

 

10. Mistænkelig fil- og folderaktivitet

En sådan aktivitet kan fx være mistænkelig oprettelse, ændring eller sletning af filer eller foldere. Det kan fx være unormalt mange åbninger af en enkelt fil. Hackere forsøger ofte en række forskellige angrebstyper, før de har succes med at få adgang til systemet, og det er normal ret nemt for os at se, hvis vi bare ved, hvor vi skal kigge. Hvis man fx ser, at en enkelt IP adresse har tilgået ”login.php” tusind gange, er der en ret god chance for, at man er under angreb.

Vi opdager måske store mængder data det forkerte sted, eller filer, der er krypteret i bulk. Der er mange forskellige måder for os at se, om systemet har været eller er kompromitteret, men med mindre vi i stand til at opdage, alarmere og reagere på disse indikatorer i real-time, er vores evne til at stoppe Cyber angreb meget begrænsede. Det er afgørende, at vi bruger de nyeste filrevisionsløsninger for at sikre, at vi ved præcis hvem, der har adgang til hvilke data, hvor vores data er og hvornår vores data tilgås.

 

Reference: www.lepide.com BLOG Danny Murphy, 19. juli 2018

COM_EASYBLOG_PREV_RECIPE
COM_EASYBLOG_NEXT_RECIPE