Stortinget og kommuner i Hedmark er hacket via e-post. Fra før vet vi at e-postangrep er den mest utbredte metoden for å bryte seg inn i virksomheter. Det starter gjerne med usikre vedlegg, skadelige koblinger og målrettede former for phishing. Nå lurer vi på hvordan de nettkriminelle klarte å komme seg inn i nasjonalforsamling og kommunale institusjoner, og hva slags sikringsmekanismer som er på plass. Minst like viktig er: Hva kan vi gjøre selv for å beskytte oss mot en tilsvarende situasjon? La oss først se på det som er offentliggjort om angrepene, og hva vi kan lære av dem. Så presenterer vi en kjapp oversikt over beskyttelsestiltak vi anbefaler. Utgangspunktet vårt er Microsoft 365-teknologier.
Angrep på Stortinget
Bilde er hentet fra: https://www.flickr.com/photos/stortinget
Stortinget er et utsatt miljø. Sikkerheten skal være kraftig skjerpet. Angrepet karakteriseres som omfattende og sofistikert, utført med stor kompetanse. Politiets sikkerhetstjeneste (PST) er koblet inn for å undersøke om en fremmed makt står bak. Nasjonal sikkerhetsmyndighet (NSM) bistår med analyse og sikringstiltak. VG kan fortelle at ansatte og representanter har en relativt svak policy for passord, og at de kan logge på via VPN fra jobbmaskiner. De får også tilgang til e-post og interne dokumenter fra PCer som ikke er administrert av IT-avdelingen, noe som krever totrinnsbekreftelse med en engangskode som sendes via SMS. Utover det er lite kjent.
Sikkerhetseksperter VG har vært i kontakt med, anbefaler at de på Stortinget bør gå over til passord-fraser (passphrases), som består av flere ord eller en setning. Det foreslås dessuten at brukerne for autentisering skal benytte maskinvarenøkler som plugges i mobilen eller datamaskinen. Vi er enig i at man bør gå bort fra enkle passord og SMS. En god løsning er Microsoft Godkjenner (Authenticator), som genererer koder lokalt og ikke sender dem over mobilnettet. For Windows 10 er Microsofts anbefaling å benytte Windows Hello for Business, biometrisk pålogging med ansiktsgjenkjenning eller fingeravtrykkavlesning. Ressurser i en virksomhet bør helst bare være tilgjengelig for klarerte brukere på klarerte enheter som bruker klarerte apper.
Kommunene i Hedmark
Flere kommuner i Hedmark er utsatt for utstrakt e-postsvindel. Meldingen virker tilforlatelig. Avsender utgir seg for å tilhøre organisasjonen. Emnet er noe de ansatte normalt kan forvente å motta fra vedkommende. Det man kan se forfalskningen på, er at bildet er borte og ved å dobbeltsjekke e-postadressen til avsender. Hovedtyngden av de skadelige meldingene ble stoppet ved hjelp av nye virussignaturer som kom på plass i siste liten.
Bildet over gjengir en ekte e-post sendt av Irene Haugen. Bildet under viser en forfalsket melding.
Bilde hentet fra VG: https://www.vg.no/nyheter/innenriks/i/8m3Ayr/over-10000-kommunalt-ansatte-utsatt-for-alvorlig-e-post-angrep
Det er uheldig at e-postklienten ikke viser avsenderadressen med det samme. Det gjør Outlook både på Windows og Mac. Domenet freightreach.com har en gyldig SPF-oppføring, men verken DKIM eller DMARC (se nedenfor). Det er svartelistet av SORBS (Spam and Open Relay Blocking System), men det kan ha skjedd etter angrepet. Det er vanlig at e-postsystemer abonnerer på flere sånne lister, som nettopp SORBS, foruten Spamhaus og Barracuda.
Vanligvis benytter nettfiskere og spammere avsenderdomener som enten er forfalsket eller ser til forveksling like ut med domenene de angriper. Det er ikke tilfellet her. Faktisk er det i én forstand en legitim melding. Vedlegget inneholder tydeligvis skadelig programvare som først ikke ble fanget opp av antivirusbeskyttelsen. Det går med tid fra virus oppdages til det er utviklet virussignaturer. Før det skjer, er det snakk om nulldagstrusler. Det finnes tjenester som klarer å oppdage dem, så som Office 365 Advanced Threat Protection (ATP).
Forslag til god e-postbeskyttelse
Denne kjappe gjennomgang av e-postangrepene skal ikke på noen som helst måte tolkes som kritikk. Dette kan tvert imot hende enhver av oss. Innbruddene tjener snarere som foranledning for å se nærmere på hvordan vi kan sikre oss på best mulig måte. Først gis en forhåpentlig lett forståelig oversikt over tre autentiseringsprotokoller for e-post, som alle e-postsystemer bør implementere. Dernest behandles beskyttelseslaget Exchange Online Protection (EOP). Til slutt vises det hvorfor vi også trenger Office 365 ATP. Både EOP og ATP kan benyttes som SMTP-gateway for e-postsystemer som kjører lokalt. Oppsettet demonstreres via min egen Microsoft 365 Business Premium-leier (tenant), som mest brukes til testing og utforskning av teknologier.
Tre autentiseringsprotokoller for e-post
Hvert e-postsystem bør settes opp med de tre autentiseringsprotokollene SPF, DKIM og DMARC. Det bekrefter at avsender er den hun utgir seg for. Protokollene er ikke spesifikke for EOP. Men EOP benytter dem for å godkjenne avsendere og legger opp til at du setter dem opp selv. Sender Policy Framework (SPF) – eller rammeverk for avsenderpolicy – angir hvem som har lov til å sende på vegne av ditt eller dine domener basert på IP-adresser. DomainKeys Identified Mail (DKIM) – eller e-post identifisert ved domenenøkler – signerer meldingshodet med din private nøkkel og mottaker verifiserer den med den offentlige nøkkel som er publisert i DNS.
Domain-based Message Authentication, Reporting and Conformance (DMARC) – eller domene-basert meldingsautentisering, rapportering overensstemmelse – forutsetter SPF og DKIM. Forvirrende nok har en melding to avsenderadresser. MailFrom angir returbanen og er bare synlig i meldingshodet. From vises som avsender i e-postklienten. DMARC krever at de to adressene er på linje med hverandre. Vanligvis foretas SPF- og DKIM-kontrollen mot MailFrom. Konfigurasjonen her kan være gyldig, selv om avsender er forfalsket. Først DMARC kan gi en endelig og sikker autentisering. SPF er utbredt, DKIM og DMARC i mye mindre grad.
Derfor har Microsoft innført sine egne metoder for å godkjenne avsendere i Office 365 for å beskytte mot nettfisking. Men Microsoft anbefaler i dag at alle setter opp disse tre protokollene. Det sørger for et tryggere globalt e-postmiljø der vi kan stole på at avsendere er de personene de utgir seg for. I eksempelet ovenfor kunne meldingen til venstre fint vært godtatt uten DMARC. Mottaker ser stadig bare From-adressen og lures til å tro at meldingen kommer fra det interne sikkerhetsteamet.
Exchange Online Protection og Office 365 ATP
Sammen med Office 365 ATP bygger Exchange Online Protection (EOP) opp et lagdelt dybdeforsvar som klarer motstå selv de mest sofistikerte former for e-postangrep. Dette illustreres best ved å se på hvordan meldinger kommer inn i Exchange-organisasjonen din. Avsendende e-postsystem foretar et DNS-oppslag for å få tak i MX-posten og IP-adressen for mottakerens e-postdomene og sender meldingen til EOP. Her må den passere gjennom disse beskyttelseslagene:
Tilkoblingsfilteret sørger for perimeterbeskyttelse. Den avviser med det samme meldinger fra dynamiske IP-adresser, beryktede nettverk og kjente frynsete avsendere. Det kontrolleres om mottaker eksisterer. Du kan selv sperre og klarere nettverksadresser. Du kan aktivere Microsoft sikkerliste, som bygger på tredjeparter og Microsofts egen informasjon om trygge avsendere.
Filtret for skadelig programvare sender meldingen gjennom antivirus-skannemotorene. Det er tre av dem, og virusdefinisjonene oppdateres flere ganger om dagen. Infisert e-post blir satt i karantene og kan kun slettes eller frigis av systemansvarlig. Du kan ikke slå av antivirus-funksjonen. Det er ingen opsjon for å skanne postbokser. Beskyttelsen tar seg bare av meldinger i transitt. Du kan gardere deg mot vanlige typer vedlegg som kan inneholde utførbar kode. Kjente farlige koblinger fanges opp.
Transportregler kan hindre upassende innhold i å komme inn i eller forlate virksomheten. Den kan filtrere konfidensiell bedriftsinformasjon. Du kan bruke dem til å spore eller arkivere kopierte meldinger som blir sendt til eller mottatt fra bestemte personer. Meldinger kan omdirigeres for inspeksjon før levering.
Søppelpostfiltret luker ut det meste av spam, som ifølge Microsoft utgjør 90 prosent av all e-post. Her er det omfattende muligheter for å konfigurere filteret. Du kan stenge for språk og avsenderland. Du bør plassere meldinger som høyst sannsynlig er uønsket, i karantene og gi brukere melding om det. Relativt nytt er en policy for forfalskningsanalyse, som erstattes ved et abonnement på Office 365 ATP. Du kan involvere sluttbrukerne, så de er med på å bygge opp lister over sikre og blokkerte avsendere, samt rapportere spam direkte til Microsoft.
Office 365 ATP er et tilleggsprodukt som krever en egen lisens. Det skjermer deg mot farlige vedlegg og skadelige koblinger. Vedlegg som er sluppet gjennom antivirusbeskyttelsen, skannes for ukjente trusler i en isolert virtuell maskin. Her undersøkes det om det for eksempel er kode som skriver til filsystemet eller registeret. Koblinger analyseres idet du klikker på dem. I tillegg får du en omfattende beskyttelse mot phishing-angrep basert på imiterte eller forfalskede avsenderadresser.
Grunnleggende egenskaper i Office 365 ATP
Klarerte ATP-vedlegg beskytter organisasjonen mot skadelig innhold i e-postvedlegg og filer i SharePoint, OneDrive og Teams. ATP-klarerte koblinger skjermer brukere mot å åpne og dele farlige koblinger i e-postmeldinger og Office. ATP-anti-phishing garderer mot phishing-angrep og konfigurerer sikkerhetstips for mistenkelige meldinger. Du kan se rapporter i sanntid for å overvåke ATP-ytelsen i organisasjonen.
Klarerte ATP-vedlegg
Klarerte ATP-vedlegg sikrer deg mot ukjent skadelig programvare og gir såkalt nulldagers beskyttelse. Meldingen passerer først gjennom flere filtre og blitt skannet av tre antivirusmotorer for kjente virus basert på signaturer. Når vedlegget kommer til ATP, behandles det som mistenkelig og blir omdirigert til et spesielt miljø. Her åpnes det i en isolert container som Microsoft kaller detonasjonskammer.
ATP bruker en rekke maskinlærings- og analyseteknikker for å oppdage mulige ondsinnete hensikter. Det undersøkes om vedlegget inneholder kjørbar kode, gjør forsøk på skrive til registeret eller filsystemet og kopiere seg selv. Hvis ingen mistenkelig aktivitet blir oppdaget, anses vedlegget for å være trygt, og meldingen blir frigitt for levering til postboksen. Skanningen foregår i samme geografiske område som dataene dine er lagret i.
ATP-klarerte koblinger
ATP-klarerte koblinger beskytter brukerne dine proaktivt mot ondsinnete nettadresser i meldinger eller Office-dokumenter. Beskyttelsen er dynamisk. Koblingene skannes først når du klikker på dem og for hver gang på nytt. Det hindrer angripere i først å sende en tilsynelatende tilforlatelig kobling for senere å endre den. Samtidig får du tilgang til trygge lenker du ellers klikker på.
ATP-anti-phishing
ATP-anti-phishing sjekker innkommende e-postmeldinger for kjennetegn på nettfiske. Når brukere er dekket av ATP-policyer for sikre vedlegg og koblinger eller anti-phishing, blir meldingene evaluert av flere maskinlæringsmodeller som undersøker dem inngående. Avhengig av hva slags regelsett du har konfigurert, utføres så passende handlinger. Meldinger kan flyttes til mappen for søppelpost og settes i karantene. ATP oppdager forsøk på å forfalske eller etterlikne avsenderadresser. Algoritmene for å påvise sikkerhetsbrudd og avverge phishing-angrep er avanserte. Microsoft utnytter billioner av signaler fra Intelligent Security Graph og analyserer milliarder av e-postmeldinger hver dag.
Sanntidsrapporter
Trusselbeskyttelse uten synlighet gir en skrantende trygghet. I Sikkerhets- og samsvarsentret finner du omfattende overvåkingsfunksjoner med sanntidsrapporter og detaljerte interaktive innsikter. Det lar deg fokusere på problemer med høy prioritet, som økt mistenkelig aktivitet og angrepsforsøk. Instrumentbordet nøyer seg ikke med å fremheve problemområder, men gir også anbefalinger. Du får opp koblinger for å se og søke i data og muligheten til å utføre raske handlinger.
Avsluttende ord
Vi vet ingenting om metodene som er brukt under angrepet på Stortinget. Det later til å være en form for identitetstyveri. Her skal det bare nevnes at pålogging med totrinnsbekreftelse reduserer faren for at brukerkontoer blir kompromittert med 99,9 prosent. Det blir spennende å følge med videre på hva sikkerhetsekspertene kommer frem til, i den grad funnene blir offentliggjort.
Angrepet i Hedmark følger et klassisk mønster som hver og en av oss kan utsettes for. Det kunne muligens allerede vært fanget opp ved en streng DMARC-kontroll. Høyst sannsynlig hadde en beskyttelse mot nulldagstrusler blokkert meldingene. Det viktigste i vår sammenheng er imidlertid ikke disse enkelttilfellene, men hva du må tenke på i forbindelse med din egen e-postbeskyttelse. Microsoft har nå i betydelig grad forenklet konfigurasjonen av beskyttelseslagene med forhåndsdefinerte policyer.