Artikel top billede

Sådan gør du når netværket står i flammer

Her kan du se, hvordan du skal forholde dig, hvis hackere slår kløerne i dit netværk.

Mareridtet for enhver it-chef er at miste kontrollen over netværket.

Løsningen er at forberede sig med en slagplan, der sætter en solid defensiv i spil, hvis hackerne går på opdagelse i dine data.

Her er en sikkerhedseksperts bedste råd til at slukke ilden, hvis lokummet for alvor brænder.

Har man mistanke om, at man er under et angreb fra hackere, er det væsentligste at identificere, om der er tale om et sikkerhedsmæssigt problem, eller det blot er ufarlige uregelmæssigheder eller driftsforstyrrelser på netværket.

En disciplin, som kræver daglig opmærksomhed.

"I mange virksomheder vil det være gefühl med netværket, der afslører problemer, og det er ret vigtigt, at man tager driftsændringer alvorligt. Jeg har flere gange været ude hos firmaer, hvor det er gået galt, og de efterfølgende fortæller, at der for to måneder siden var nogle uregelmæssigheder, som man ikke gjorde noget ved," fortæller sikkerhedsekspert Johan Møller, der slukker netværksbrænde for firmaet CSIS.

Når du ikke forstår det

Mistanken om, at der er noget galt, kan opstå på mange måder, men kan karakteriseres som hændelser, der ikke kan forklares ud fra et almindeligt driftsbillede.

Et meget sløvt netværk, unormale log-filer eller store mængder udgående internet-trafik er almindelige faretegn.

Hvis man ikke kan udelukke et angreb, skal man indsnævre, hvad der præcis er gang i. Er det en virus, eller er der et aktivt angreb i gang?

Det næste skridt i handlingsplanen er at stoppe skaden, så det ikke bliver værre.

"Fremgangsmåden minder til forveksling om den almindelige førstehjælp, man giver ved personskader eller ulykker," fortæller Johan Møller.

"Når man har set, at der er sket en ulykke, finder man ud af, hvor mange der er kommet til skade og sørger for, at ulykken ikke forværres."

Én naturlig menneskelig reaktion ved et hacker-angreb skal man dog se bort fra.

"Tidligere var det en regel, at man slukkede for de ramte maskiner, men det skal man ikke gøre, hvis man vil efterforske angriberne," lyder rådet fra Johan Møller.

I forhold til en efterforskning bør man nemlig bevare miljø og data så intakte som muligt.

"I stedet for at slukke skal man isolere de inficerede maskiner fra den øvrige del af netværket for at undgå, at smitten breder sig."

Dette skal du endelig huske

Herefter skal man samle data fra maskinerne, så man kan følge bevægelserne gennem netværket.

En efterforskning vil forløbe langt lettere, hvis man har informationer fra den levende maskine, eksempelvis over hvilke netværksforbindelser, der er åbne, og hvilke programmer, der var aktive.

"Hvis man har forberedt sig grundigt, har man et program, der kan gemme indholdet af hukommelsen fra maskinen, så man kan se, hvad der sker på maskinen, mens den kører," fortæller han.

Ved at gemme de ting, hukommelsen arbejdede med kan man tegne et ret tydeligt billede af computeren, hvilket er et af de vigtigste værktøjer i en efterforskning, siger Johan Møller. 
 
Beviser fra harddisken
Det sidste skridt er at sikre sig beviser fra harddisken ved at lave et såkaldt image af diskens systempartition.

Det er dog ikke altid nødvendigt at køre hele beredskabsplanen igennem.

"Det er tidskrævende opgaver, og man er nødt til at tage stilling til, hvor mange kræfter man vil lægge i arbejdet i det enkelte tilfælde," siger Johan Møller.

"Hvis der er tale om vigtige data, og hvis man ønsker en efterforskning, er der ingen vej uden om."

Når efterforskningsgrundlaget er dokumenteret, kan man så gå i gang med genopbygningen af netværket.

"I nogle tilfælde kan det være nok at køre et opdateret antivirusprogram for at fjerne problemerne, men hvis der har været alvorlige hændelser, vil det ofte være nødvendigt at finde et backup-bånd fra en periode, hvor der ikke var problemer," siger han.

Sidste trin er at få netværket tilbage i normaldrift, hvilket er meget virksomhedsspecifikt.
 
Det er knap så stor en arbejdsbyrde i et mindre tømmerfirma i modsætning til en farmaceutisk virksomhed, hvor der er en hel stribe procedurer, som skal følges.

Sådan inddrager du politi og eksperter

Behovet for eksperthjælp eller politianmeldelser afhænger naturligvis af problemets art, men en tommelfingerregel er, at jo før jo bedre.

"Når du er i en situation, hvor dine it-folk føler sig ude på dybt vand, så er det ved at være tid til at få ekstern assistance," siger Johan Møller.

Hvis man har en formodning om, at der kan komme et retsligt efterspil, så er der heller ingen vej uden om politiet.

"Kan man se, at det er en medarbejder, der laver sabotage mod firmaets netværk, gælder det om at få politiet ind så hurtigt som mulig," siger Johan Møller.

Hvis der efterfølgende skal analyseres på et indbrud, kræver det i langt de fleste tilfælde også eksperter til at klare den opgave.

Der er eksempelvis nogle formelle krav til, hvordan man behandler materiale, hvis det skal bruges i en retssag. Krav, som de færreste almindelige it-folk har stiftet bekendtskab med.

Undgå problemerne

Man skal naturligvis altid være på forkant med sikkerhedsproblemerne, og det kræver faktisk ikke de store udgifter.

Langt de fleste virksomheder er ifølge Johan Møller fint dækket ind med et opdateret antivirus-program og en firewall. Han opfordrer dog til, at man sætter sig ind i, hvordan programmerne virker.

"Mange ignorerer alarmer fra antivirussystemet af uvidenhed eller manglende opmærksomhed. Man skal aktivt bruge systemerne til at holde øje med sikkerheden," siger han.

Et helt andet og banalt råd fra eksperten lyder på, at man ikke må slå tingene hen.

"Hvis der er uregelmæssigheder i netværket, er der en grund til det. Det kan være, at det ikke er farligt, men det ved du først, når du har fundet ud af hvad, som er hændt."




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere