Cybersikkerhed, realtidsdata og robuste it-systemer er blevet fundamentet for moderne forsvar.
Førstehjælp til hacker-skader
Hvis netværket kommer ud for en ulykke, er den livgivende førstehjælp alfa og omega.
Som ved almindelig førstehjælp gælder det om at holde hovedet koldt og forsøge at være systematisk i den måde, man angriber problemstillingen på.
Eksperter eller politi bør inddrages, hvis man ikke selv er sikker på, hvad der foregår, eller hvordan det bør håndteres.
Driftsforstyrrelser: Uregelmæssigheder er tegn på problemer. Et meget sløvt netværk, unormale log-filer eller store mængder udgående internet-trafik er almindelige faretegn.
Hvad sker der: Find en forklaring på uregelmæssighederne. Kan de ikke forklares, er det sikkert problemer, som forårsages af tredjepart.
Stop skaden: Nu gælder det om at få stoppe skaden, så den rammer så få maskiner som mulig. Sluk ikke maskinerne, hvis data skal bruges til efterforskning.
Isoler problemerne: Afskærm de dele af netværket, der ikke viser tegn på problemer.
Gem data: Informationer, der skal anvendes til efterforskning, skal dokumenteres. Gem indholdet fra hukommelsen på de ramte computere og lav et image af harddisken.
Luk ned og rens ud: I nogle tilfælde kan det være nok at køre et opdateret antivirus-program. Andre gange kan det være nødvendigt med en backup fra en periode, hvor man er sikker på, at der ikke var problemer.
Analyser: De færreste virksomheder vil være i stand til selv at analysere et hacker-angreb. Det kræver ekspertise.
Sådan sikrer du dig
Langt de fleste virksomheder er fint dækket ind med et opdateret antivirus-program og en firewall.
Men du skal lære at bruge programmerne rigtigt, så du kan opdage uregelmæssigheder.
Vær hele tiden opmærksom på netværkets mønstre, så du kan opdage uregelmæssigheder.
Næste trin på sikkerhedsstigen er et intrusion detection-system, der eventuelt kan være indbygget i en såkaldt UTM-firewall. Sådanne systemer holder automatisk øje med netværket.
Software, der kan gemme indholdet fra hukommelsen på en computer, kan være nyttige i efterforskningen af, hvad der er sket, når uheldet har været ude.
I den helt tunge ende af skalaen har man log-konsolideringssystemer, der kan slå alarm eller drage konklusioner på tværs af eksempelvis log-filer.
Mareridtet for enhver it-chef er at miste kontrollen over netværket.
Løsningen er at forberede sig med en slagplan, der sætter en solid defensiv i spil, hvis hackerne går på opdagelse i dine data.
Her er en sikkerhedseksperts bedste råd til at slukke ilden, hvis lokummet for alvor brænder.
Har man mistanke om, at man er under et angreb fra hackere, er det væsentligste at identificere, om der er tale om et sikkerhedsmæssigt problem, eller det blot er ufarlige uregelmæssigheder eller driftsforstyrrelser på netværket.
En disciplin, som kræver daglig opmærksomhed.
"I mange virksomheder vil det være gefühl med netværket, der afslører problemer, og det er ret vigtigt, at man tager driftsændringer alvorligt. Jeg har flere gange været ude hos firmaer, hvor det er gået galt, og de efterfølgende fortæller, at der for to måneder siden var nogle uregelmæssigheder, som man ikke gjorde noget ved," fortæller sikkerhedsekspert Johan Møller, der slukker netværksbrænde for firmaet CSIS.
Når du ikke forstår det
Mistanken om, at der er noget galt, kan opstå på mange måder, men kan karakteriseres som hændelser, der ikke kan forklares ud fra et almindeligt driftsbillede.
Et meget sløvt netværk, unormale log-filer eller store mængder udgående internet-trafik er almindelige faretegn.
Hvis man ikke kan udelukke et angreb, skal man indsnævre, hvad der præcis er gang i. Er det en virus, eller er der et aktivt angreb i gang?
Det næste skridt i handlingsplanen er at stoppe skaden, så det ikke bliver værre.
"Fremgangsmåden minder til forveksling om den almindelige førstehjælp, man giver ved personskader eller ulykker," fortæller Johan Møller.
"Når man har set, at der er sket en ulykke, finder man ud af, hvor mange der er kommet til skade og sørger for, at ulykken ikke forværres."
Én naturlig menneskelig reaktion ved et hacker-angreb skal man dog se bort fra.
"Tidligere var det en regel, at man slukkede for de ramte maskiner, men det skal man ikke gøre, hvis man vil efterforske angriberne," lyder rådet fra Johan Møller.
I forhold til en efterforskning bør man nemlig bevare miljø og data så intakte som muligt.
"I stedet for at slukke skal man isolere de inficerede maskiner fra den øvrige del af netværket for at undgå, at smitten breder sig."
Førstehjælp til hacker-skader
Hvis netværket kommer ud for en ulykke, er den livgivende førstehjælp alfa og omega.
Som ved almindelig førstehjælp gælder det om at holde hovedet koldt og forsøge at være systematisk i den måde, man angriber problemstillingen på.
Eksperter eller politi bør inddrages, hvis man ikke selv er sikker på, hvad der foregår, eller hvordan det bør håndteres.
Driftsforstyrrelser: Uregelmæssigheder er tegn på problemer. Et meget sløvt netværk, unormale log-filer eller store mængder udgående internet-trafik er almindelige faretegn.
Hvad sker der: Find en forklaring på uregelmæssighederne. Kan de ikke forklares, er det sikkert problemer, som forårsages af tredjepart.
Stop skaden: Nu gælder det om at få stoppe skaden, så den rammer så få maskiner som mulig. Sluk ikke maskinerne, hvis data skal bruges til efterforskning.
Isoler problemerne: Afskærm de dele af netværket, der ikke viser tegn på problemer.
Gem data: Informationer, der skal anvendes til efterforskning, skal dokumenteres. Gem indholdet fra hukommelsen på de ramte computere og lav et image af harddisken.
Luk ned og rens ud: I nogle tilfælde kan det være nok at køre et opdateret antivirus-program. Andre gange kan det være nødvendigt med en backup fra en periode, hvor man er sikker på, at der ikke var problemer.
Analyser: De færreste virksomheder vil være i stand til selv at analysere et hacker-angreb. Det kræver ekspertise.
Sådan sikrer du dig
Langt de fleste virksomheder er fint dækket ind med et opdateret antivirus-program og en firewall.
Men du skal lære at bruge programmerne rigtigt, så du kan opdage uregelmæssigheder.
Vær hele tiden opmærksom på netværkets mønstre, så du kan opdage uregelmæssigheder.
Næste trin på sikkerhedsstigen er et intrusion detection-system, der eventuelt kan være indbygget i en såkaldt UTM-firewall. Sådanne systemer holder automatisk øje med netværket.
Software, der kan gemme indholdet fra hukommelsen på en computer, kan være nyttige i efterforskningen af, hvad der er sket, når uheldet har været ude.
I den helt tunge ende af skalaen har man log-konsolideringssystemer, der kan slå alarm eller drage konklusioner på tværs af eksempelvis log-filer.
Dette skal du endelig huske
Herefter skal man samle data fra maskinerne, så man kan følge bevægelserne gennem netværket.
En efterforskning vil forløbe langt lettere, hvis man har informationer fra den levende maskine, eksempelvis over hvilke netværksforbindelser, der er åbne, og hvilke programmer, der var aktive.
"Hvis man har forberedt sig grundigt, har man et program, der kan gemme indholdet af hukommelsen fra maskinen, så man kan se, hvad der sker på maskinen, mens den kører," fortæller han.
Ved at gemme de ting, hukommelsen arbejdede med kan man tegne et ret tydeligt billede af computeren, hvilket er et af de vigtigste værktøjer i en efterforskning, siger Johan Møller.
Beviser fra harddisken
Det sidste skridt er at sikre sig beviser fra harddisken ved at lave et såkaldt image af diskens systempartition.
Det er dog ikke altid nødvendigt at køre hele beredskabsplanen igennem.
"Det er tidskrævende opgaver, og man er nødt til at tage stilling til, hvor mange kræfter man vil lægge i arbejdet i det enkelte tilfælde," siger Johan Møller.
"Hvis der er tale om vigtige data, og hvis man ønsker en efterforskning, er der ingen vej uden om."
Når efterforskningsgrundlaget er dokumenteret, kan man så gå i gang med genopbygningen af netværket.
"I nogle tilfælde kan det være nok at køre et opdateret antivirusprogram for at fjerne problemerne, men hvis der har været alvorlige hændelser, vil det ofte være nødvendigt at finde et backup-bånd fra en periode, hvor der ikke var problemer," siger han.
Sidste trin er at få netværket tilbage i normaldrift, hvilket er meget virksomhedsspecifikt.
Det er knap så stor en arbejdsbyrde i et mindre tømmerfirma i modsætning til en farmaceutisk virksomhed, hvor der er en hel stribe procedurer, som skal følges.
Førstehjælp til hacker-skader
Hvis netværket kommer ud for en ulykke, er den livgivende førstehjælp alfa og omega.
Som ved almindelig førstehjælp gælder det om at holde hovedet koldt og forsøge at være systematisk i den måde, man angriber problemstillingen på.
Eksperter eller politi bør inddrages, hvis man ikke selv er sikker på, hvad der foregår, eller hvordan det bør håndteres.
Driftsforstyrrelser: Uregelmæssigheder er tegn på problemer. Et meget sløvt netværk, unormale log-filer eller store mængder udgående internet-trafik er almindelige faretegn.
Hvad sker der: Find en forklaring på uregelmæssighederne. Kan de ikke forklares, er det sikkert problemer, som forårsages af tredjepart.
Stop skaden: Nu gælder det om at få stoppe skaden, så den rammer så få maskiner som mulig. Sluk ikke maskinerne, hvis data skal bruges til efterforskning.
Isoler problemerne: Afskærm de dele af netværket, der ikke viser tegn på problemer.
Gem data: Informationer, der skal anvendes til efterforskning, skal dokumenteres. Gem indholdet fra hukommelsen på de ramte computere og lav et image af harddisken.
Luk ned og rens ud: I nogle tilfælde kan det være nok at køre et opdateret antivirus-program. Andre gange kan det være nødvendigt med en backup fra en periode, hvor man er sikker på, at der ikke var problemer.
Analyser: De færreste virksomheder vil være i stand til selv at analysere et hacker-angreb. Det kræver ekspertise.
Sådan sikrer du dig
Langt de fleste virksomheder er fint dækket ind med et opdateret antivirus-program og en firewall.
Men du skal lære at bruge programmerne rigtigt, så du kan opdage uregelmæssigheder.
Vær hele tiden opmærksom på netværkets mønstre, så du kan opdage uregelmæssigheder.
Næste trin på sikkerhedsstigen er et intrusion detection-system, der eventuelt kan være indbygget i en såkaldt UTM-firewall. Sådanne systemer holder automatisk øje med netværket.
Software, der kan gemme indholdet fra hukommelsen på en computer, kan være nyttige i efterforskningen af, hvad der er sket, når uheldet har været ude.
I den helt tunge ende af skalaen har man log-konsolideringssystemer, der kan slå alarm eller drage konklusioner på tværs af eksempelvis log-filer.
Sådan inddrager du politi og eksperter
Behovet for eksperthjælp eller politianmeldelser afhænger naturligvis af problemets art, men en tommelfingerregel er, at jo før jo bedre.
"Når du er i en situation, hvor dine it-folk føler sig ude på dybt vand, så er det ved at være tid til at få ekstern assistance," siger Johan Møller.
Hvis man har en formodning om, at der kan komme et retsligt efterspil, så er der heller ingen vej uden om politiet.
"Kan man se, at det er en medarbejder, der laver sabotage mod firmaets netværk, gælder det om at få politiet ind så hurtigt som mulig," siger Johan Møller.
Hvis der efterfølgende skal analyseres på et indbrud, kræver det i langt de fleste tilfælde også eksperter til at klare den opgave.
Der er eksempelvis nogle formelle krav til, hvordan man behandler materiale, hvis det skal bruges i en retssag. Krav, som de færreste almindelige it-folk har stiftet bekendtskab med.
Undgå problemerne
Man skal naturligvis altid være på forkant med sikkerhedsproblemerne, og det kræver faktisk ikke de store udgifter.
Langt de fleste virksomheder er ifølge Johan Møller fint dækket ind med et opdateret antivirus-program og en firewall. Han opfordrer dog til, at man sætter sig ind i, hvordan programmerne virker.
"Mange ignorerer alarmer fra antivirussystemet af uvidenhed eller manglende opmærksomhed. Man skal aktivt bruge systemerne til at holde øje med sikkerheden," siger han.
Et helt andet og banalt råd fra eksperten lyder på, at man ikke må slå tingene hen.
"Hvis der er uregelmæssigheder i netværket, er der en grund til det. Det kan være, at det ikke er farligt, men det ved du først, når du har fundet ud af hvad, som er hændt."
Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.200 it-professionelle. Du kan glæde dig til oplæg fra mere end 50 talere og...
En kaotisk verden kræver stærk cybersikkerhed, resiliens og digital suverænitet
Mød David Heinemeier, Flemming Splidsboel Hansen, Casper Klynge, Rasmus Knappe, Jens Myrup Pedersen og forfattere som fhv. jægersoldat Thomas Rathsack og adfærdsforsker Henrik Tingleff.
Computerworld afholder d. 4. og 5. november Cyber Security Festival i København - med fokus på sikkerhed, resiliens og digital suverænitet. Det er helt gratis - men reserver din plads allerede nu.
