Zero-day-attack – scenariobaserad vägledning

Del 1: Antagonistens perspektiv

Dag 0 – Möjligheten upptäcks

Antagonisten, en del av en organiserad grupp med fokus på finansiella institutioner, upptäcker en hittills okänd sårbarhet i en programvara som används av betaltjänstleverantörer för mobilbetalningar. Genom att undersöka koden noga identifierar antagonisten en hittills okänd sårbarhet i en serverkomponent. Denna sårbarhet gör det möjligt att få tillgång till servrar och utöka åtkomsträttigheterna inom systemet. Eftersom ingen ännu känner till sårbarheten finns inga skydd mot attacken.

Efter att ha bekräftat att sårbarheten fungerar i testmiljöer, söker antagonisten upp företag som använder denna programvara. Bolaget AB, en etablerad aktör inom mobila betalningar blir första måltavlan. Antagonisten studerar verksamheten noggrant och planerar för hur angreppet ska genomföras så effektivt som möjligt, utan att väcka uppmärksamhet eller aktivera några skydd mot skadlig kod och angrepp. I sin planering noterar antagonisten också den känsliga naturen hos de personuppgifter som Bolaget hanterar, inklusive finansiell information och personnummer, vilket ökar värdet på attacken.

Dag 1 – Intrånget

Genom att utnyttja den identifierade sårbarheten lyckas antagonisten ta sig in i Bolagets servrar. Steg ett är att etablera kontinuerlig tillgång till miljön genom att dolda verktyg installeras som möjliggör återanslutning till systemen, även om intrånget skulle komma att avbrytas.

Efter att ha säkrat tillgången börjar antagonisten utforska nätverket för att kartlägga vilka resurser som är åtkomliga. Fokus ligger på betalningsdata och känslig kundinformation som personnummer, bankkontonummer och andra privata uppgifter. Intrånget upptäcks inte då tjänsten som attackeras normalt hanterar stor mängd datatrafik.

Dag 2 – Utökad infiltration

Antagonisten lyckas höja sina åtkomsträttigheter i systemen och får tillgång till huvuddatabasen för betalningar. För att undvika upptäckt utför de en serie smygattacker där små datamängder laddas ner och mönstret efterliknar legitim verksamhet. De genomför även små förändringar i systemet för att dölja sina spår, vilket försvårar framtida logganalys.

Dag 3 – Försiktighet under larm

Efter att ha ägnat sig åt så kallad ”tyst uthämtning av data” märker antagonisten att vissa system börjar isoleras och loggar granskas. Detta beror troligen på att Bolagets säkerhetsteam uppmärksammat ovanlig nätverks- och rättighetsaktivitet. För att minska risken för upptäckt lämnar antagonisten vissa system tillfälligt, men kopiering och nedladdning av data fortsätter i de områden som ännu inte är under granskning. De personuppgifter som antagonisten redan har fått tag på fortsätter att hämtas i små mängder för att undvika detektering.

Att isoleringen av system kommer att ske ligger i antagonistens planering och de har hämtat ut en tillräckligt stor mängd känsliga uppgifter för att angreppet ska anses som lyckat.

Dag 7 – Sårbarheten avslöjas

När information om sårbarheten börjar spridas bland säkerhetsteam globalt, förbereder antagonisten sig för att lämna Bolagets system. Genom att radera spår och dölja verktygen som använts, minskar antagonisten risken för att bli spårad i det kommande utredningsarbetet. Men innan systemet lämnas överges även den något diskreta uthämtningen av data och antagonisten försöker nu ladda ner all data den får tag på.

Samtidigt använder antagonisten samma sårbarhet på flera andra företag. Den har även sålt informationen om sårbarheten vidare till andra illasinnade aktörer som i sin tur använder sårbarheten på andra företag och organisationer.

Dag 10 – Vinster och nästa steg

Antagonisten analyserar de uthämtade uppgifterna. Informationen kan utnyttjas av antagonisten på flera olika sätt. Bland annat genom att säljas vidare på den svarta marknaden eller användas för att utpressa Bolaget på pengar för att inte uppgifterna ska läckas.

De personuppgifter som har stulits, inklusive känslig finansiell information, är av stort värde och kan användas för att genomföra identitetsstöld eller bedrägerier. Medan Bolaget kämpar med konsekvenserna av attacken, går antagonisten vidare till nya mål, med insikten att denna sårbarhet fortsätter att vara användbar tills att en säkerhetsuppdatering utvecklats, distribuerats och faktiskt installerats av verksamheterna.

Del 2: Bolagets perspektiv

Dag 0 – Det osynliga hotet

Hos Bolaget är det en vanlig arbetsdag. Företaget, en betaltjänstleverantör för mobila betalningar, hanterar tusentals transaktioner varje minut. Säkerheten är en central del av deras verksamhet och de har etablerat en stark säkerhetskultur. Företaget har ett dedikerat säkerhetsteam som kontinuerligt arbetar med att upprätthålla och förbättra skyddet av system och data. De följer beprövade rutiner för att säkerställa att alla säkerhetsuppdateringar genomförs snabbt och effektivt, och de genomför regelbundna sårbarhetsanalyser för att identifiera och åtgärda potentiella risker innan de kan utnyttjas. Bolaget arbetar enligt etablerade standarder och ”best practice”, och har robusta processer för att övervaka och hantera säkerhetshot. De är också medvetna om att de hanterar ett stort antal personuppgifter, inklusive känslig finansiell information och personnummer, vilket gör att de har striktare säkerhetsåtgärder för att skydda dessa uppgifter. Trots dessa omfattande säkerhetsåtgärder, inträffar ett angrepp utan några omedelbara indikationer – inga larm går igång och systemen fungerar som vanligt.

Dag 3 – Intrånget börjar märkas

De första tecknen på att något är fel är subtilt. Loggar visar en ovanlig mängd aktivitet i en av databaserna. Säkerhetsteamet inleder en granskning av trafiken men misstänker till en början att det handlar om felkonfiguration eller en miss från någon av deras egna medarbetare. Ingen märker den datamängd som laddas ner i små kluster, den göms i den stora mängd data som dagligen hanteras av Bolaget. Därav misstänker ingen att det pågår olovlig verksamhet.

Dag 4 – Insikten

När mönstret av ovanlig aktivitet blir tydligare, aktiverar säkerhetsteamet företagets incidenthanteringsprocess. Vissa servrar isoleras för att för att minska risken för eventuell vidare spridning vilket innebär att några tjänster tillfälligt måste stängas ner. Interna möten hålls, där samtliga berörda enheter inklusive IT och ledning börjar förstå att det kan röra sig om ett dataintrång. Loggar granskas för att fastställa omfattningen, men angreppet är skickligt utfört och lämnar få spår. Vid denna tidpunkt inser Bolaget att även deras kunders personuppgifter kan ha blivit exponerade, vilket ökar allvaret i attacken.

Dag 5 – Krisen eskalerar

När internanalysen visar på ett allvarligt intrång utökas Bolagets incidenthanteringsåtgärder, externa säkerhetskonsulter anlitas för att bistå med utredningen. Loggar visar att stora mängder data har laddats ner, och teamet identifierar skadlig kod i systemen. Kundtjänsten börjar ta emot samtal från oroliga företag och privatkunder som inte kan använda tjänsten fullt ut. Betalningssystemet tas ur drift för att förhindra ytterligare skador.

Eftersom personuppgifter har blivit potentiellt exponerade i samband med attacken, rapporterar Bolaget incidenten till Integritetsskyddsmyndigheten, IMY, enligt dataskyddsförordningens, GDPR, krav om att anmäla personuppgiftsincidenter inom 72 timmar.

Eftersom det påverkar finansiella tjänster finns det specifika regler som även de måste följas. Företaget gör även en polisanmälan.

Samtidigt försöker Bolaget kommunicera med sina kunder, både privatpersoner och företag om de åtgärder som vidtas för att skydda personuppgifter och andra känsliga data. Detta är en svår process då man inte har så mycket information om vad som hänt och vilka system som har påverkats, eller ens på vilket sätt.

Dag 7 – Verkligheten blir tydlig

När andra säkerhetsteam rapporterar liknande intrång står det klart att Bolaget är ett av många offer för en zero-day-attack. Flera möten med programvaruleverantören hålls för att snabbt kunna komma fram till vilka åtgärder verksamheten behöver ta för att angreppet ska motverkas och när en säkerhetsuppdatering kan vara utvecklad. Under tiden står flera av Bolagets olika betaltjänster stilla, vilket drabbar både kunder och företagets rykte.

Medierna rapporterar om de personuppgifter som kan ha blivit stulna.

Dag 10 – Skadan kartläggs

Efter flera dagars arbete blir det allt tydligare hur stort intrånget verkligen är. Känsliga kunddata, inklusive ekonomiska transaktioner och personuppgifter, har laddats ner olovligen. IT-teamet arbetar dygnet runt med att återställa systemen från tidigare säkerhetskopior. De personuppgifter som stulits är nu en central del av medieberättelsen, och Bolagets ledning arbetar intensivt tillsammans med kommunikationsavdelningen och IT-chefen för att kunna ge korrekt information om vad som hänt och hur de arbetar vidare. Detta är ett mycket tidskrävande jobb då både privatpersoner och företagskunder vill veta vad som hänt.

Ledningen inser vikten av att lägga mycket fokus och tid på att förmedla korrekt information för att kunna upprätthålla förtroendet för Bolaget.

Dag 12 – Lösningar implementeras

En säkerhetsuppdatering från programvaruleverantören implementeras på alla system, och tjänsterna börjar gradvis återställas. Samtidigt inför Bolaget striktare säkerhetsrutiner, utökad loggning och utbildning för anställda. Fokus ligger på att stärka skyddet mot framtida hot. Bolaget vidtar åtgärder för att säkerställa att personuppgifter nu är ännu bättre skyddade, inklusive förbättrade krypteringstekniker och mer detaljerade åtkomstkontroller.

Dag 20 – Lärdomar och förändringar

Efter att ha återhämtat sig från attacken genomförs interna utvärderingar. Incidenten visar på vikten av förebyggande säkerhetsarbete och samarbete med andra aktörer. Nya investeringar i säkerhet, som realtidsövervakning och simuleringar av zero-day-attacker, blir en del av företagets strategi.
Bolaget beslutar också att stärka skyddet för de personuppgifter de hanterar genom ytterligare investeringar i säkra system och ökad medvetenhet kring dataskydd bland medarbetarna.

Vad är en zero-day-attack?

En zero-day-attack är en typ av cyberattack som utnyttjar en säkerhetsbrist i ett program eller system som ännu inte har blivit upptäckt eller åtgärdad av utvecklaren. Begreppet "zero-day" kommer från det faktum att utvecklaren inte har någon tid, eller noll dagar på sig att åtgärda säkerhetsfelet innan en attack kan ske.

En zero-day-attack kan vara mycket farlig eftersom den riktar sig mot en oskyddad och okänd sårbarhet. Eftersom det inte finns några säkerhetsuppdateringar eller skydd mot felet, kan antagonisten få obehörig åtkomst till system, stjäla information eller till och med ta full kontroll över en dator eller ett nätverk. Dessa attacker kan också vara svåra att upptäcka, eftersom det inte finns några varningssystem för den specifika sårbarheten.

För att skydda sig mot zero-day-attacker är det viktigt att regelbundet uppdatera programvara och operativsystem, dessa uppdateringar eller patchar kan många gånger stoppa potentiella zero-day-sårbarheter. Det är också bra att använda antivirusprogram och brandväggar som kan hjälpa till att upptäcka och blockera ovanliga aktiviteter som kan tyda på en pågående attack.

Hur kan man förbereda sig, riskreducera och konsekvensminimera?

För att förbereda sig mot cyberattacker, inklusive zero-day-attacker, och minska riskerna och konsekvenserna av sådana angrepp, är det viktigt att vidta ett antal förebyggande åtgärder och ha en plan för hantering om en attack inträffar. Några exempel på dessa är:

Regelbunden uppdatering av programvara och system

Eftersom zero-day-attacker utnyttjar okända sårbarheter, är det avgörande att hålla all programvara, operativsystem och applikationer uppdaterade. Säkerhetsuppdateringar (patchar) från leverantörer innehåller ofta lösningar på kända sårbarheter. Genom att snabbt installera dessa uppdateringar minskar risken för att bli utsatt för kända attacker.

Använda säkerhetslösningar

Det är viktigt att använda antivirusprogram och brandväggar som kan identifiera och blockera skadlig kod och ovanliga beteenden i nätverket. Dessa lösningar kan hjälpa till att upptäcka tecken på en attack innan den får allvarliga konsekvenser.

Segmentera nätverket och begränsa åtkomst

Genom att dela upp nätverket i olika delar (segmentering) och begränsa åtkomsten till känsliga system kan man minimera skadorna om en attack skulle inträffa. Detta gör det svårare för angripare att sprida sig inom nätverket.

Utbilda medarbetare och användare

Många cyberattacker börjar genom att lura användare att öppna skadlig e-post eller klicka på osäkra länkar. Genom att utbilda användare i cybersäkerhet och hur man känner igen nätfiske och andra vanliga attackmetoder kan risken för infektioner och attacker minskas. En god säkerhetskultur är viktig.

Övervaka och logga aktiviteter

Att kontinuerligt övervaka system och nätverk för ovanliga aktiviteter kan hjälpa till att snabbt upptäcka tecken på en attack. Genom att ha robusta loggningssystem kan man också bättre förstå hur en attack inträffade, vilket underlättar åtgärder och återställning.

Ha en kontinuitetshanteringsplan

En väl förberedd plan för att hantera säkerhetsincidenter är viktig för att snabbt kunna vidta åtgärder vid en attack. Detta inkluderar att ha en lösning redo för att isolera angripna system, genomföra en säkerhetsanalys och återställa system till normala tillstånd. Till detta kan man många gånger behöva extern hjälp av specialister.

Säkerhetskopiera data regelbundet

För att minimera konsekvenserna av en attack som leder till dataförlust eller systemskada är det viktigt att ha regelbundna säkerhetskopior av viktig information. Genom att återställa data från säkerhetskopior kan verksamheten snabbt återuppta normal drift efter en attack.