Gjest Marius B. Jørgenrud Skrevet 19. mars 2019 Del Skrevet 19. mars 2019 – Noen fabrikker er hardere rammet enn andre.Hydro jobber med å nøytralisere angrepet. Bekrefter at pc-parken er slått ut av kryptovirus Lenke til kommentar
Lars-Erik Skrevet 19. mars 2019 Del Skrevet 19. mars 2019 Hvordan kom dette seg inn forbi brannmur, og hvorfor tok ikke anti-virus det? Lenke til kommentar
Theo343 Skrevet 19. mars 2019 Del Skrevet 19. mars 2019 Hvorfor kaller man det et angrep når det er et virus? For å pynte litt på dårlige rutiner i bedriften i media? Disse type virus har da vært kjent i mange år og de aller fleste har etablert gode rutiner for å hindre at det kommer inn via brukeraktivitet. Lenke til kommentar
G Skrevet 19. mars 2019 Del Skrevet 19. mars 2019 Er vel bugs i Windows-arkitekturen som gjør at det får feste (Active Directory stod det å lese et sted)? Lenke til kommentar
Gjest Slettet-t8fn5F Skrevet 19. mars 2019 Del Skrevet 19. mars 2019 (endret) Hvordan kom dette seg inn forbi brannmur, og hvorfor tok ikke anti-virus det? Kanskje fordi det er et målrettet program som utnytter en zeroday exploit som antivirus og andre firmaer i samme gate ikke har oppdaget enda? Endret 19. mars 2019 av Slettet-t8fn5F Lenke til kommentar
m-sandbu Skrevet 19. mars 2019 Del Skrevet 19. mars 2019 (endret) Hvordan kom dette seg inn forbi brannmur, og hvorfor tok ikke anti-virus det? Fordi dette var en ny variant som også var kamuflert som en godkjent digitalt signert fil, som gjorde at den fikk en ny signatur som de fleste AVene ikke hadde noen måte å detektere *fjernet url* kom nok mest sannsynlig forbi epost filter sammen med at noen gjorde endringer i AD for å kunne spre det videre ut Endret 27. september 2019 av Uderzo fjerning av url Lenke til kommentar
Theo343 Skrevet 19. mars 2019 Del Skrevet 19. mars 2019 (endret) Så man vet at filen kom via e-post? Mulig jeg misset det i artikkelen. EDIT:Linken din var bra! Nå har jeg bare skummet den men at man har konfigurert brukerkontoer og AD slik at viruset kunne gjøre endringer i GPOer er litt bekymringsverdig. Selv om det worst case var snakk om en admin konto som da trigget dette viruset via e-post (også litt bekymringsverdig). En annen ting som desverre veldig få gjør er å kjøre antivirus på forskjellige nivåer fra forskjellige leverandører slik at om signaturen for realtime på fil, minne osv. på servere/klienter ikke har blitt fått beskyttelsen så kan proxy, brannmur og annet evt. ha tatt det med signaturer fra andre leverandører. Veldig mange tenker at signaturer fra én leverandør er godt nok. Det samme om man har brannmurer i flere ledd, ikke nødvendigvis best beskyttelse ved å ha alle nivåene fra samme leverandør. Uansett, det viktigste er å ha rutiner for hvordan man håndterer situasjonen når den først har oppstått. Og det at man automatisk peker på og sier "vi har backup" er også litt bekymringsverdig. Jeg håper de har litt bedre rutiner enn det. Endret 19. mars 2019 av Theo343 2 Lenke til kommentar
Jan Kjetil Andersen Skrevet 19. mars 2019 Del Skrevet 19. mars 2019 Min erfaring er at antivirus ikke er nok. Antivirus er et tiltak som virker etter «svarteliste» prinsippet. De programmer som gjenkjennes som kjente og farlige vil da blokkeres. For å ha en beskyttelse mot «null-dags sårbarhet» må man ha en type «Hvitlisting». Dette går ut på at kun programmer som gjenkjennes som ufarlige tillates å eksekvere. Jeg har god erfaring med Microsoft AppLocker til dette. Lenke til kommentar
Øystein Hansen Skrevet 19. mars 2019 Del Skrevet 19. mars 2019 Hvordan kom dette seg inn forbi brannmur, og hvorfor tok ikke anti-virus det? Fordi dette var en ny variant som også var kamuflert som en godkjent digitalt signert fil, som gjorde at den fikk en ny signatur som de fleste AVene ikke hadde noen måte å detektere https://msandbu.org/norwegian-hydro-affected-by-ransomware-attack-lockergoga/ kom nok mest sannsynlig forbi epost filter sammen med at noen gjorde endringer i AD for å kunne spre det videre ut Ja, og kan ikke være en god ide å nekte alle komprimerte (og ekseverbare) filer i epost (attachment-blocking)? Lenke til kommentar
Theo343 Skrevet 19. mars 2019 Del Skrevet 19. mars 2019 (endret) Jan Kjetil: Antivirus er selvsagt kun bare én del av mange innenfor perimetersikring og sikring av driftsmiljøet, det er de fleste klar over. Proxies, Antispam filtre og filblokkering som Øystein nevner er andre og man har så meget mer. Applocker som nevnt men også kodesignering, tillatte cryptochains, protokollnivåer, sertifikater. etc. I tillegg har de fleste brannmursystemer fra SMB i dag også application-level filtrering samt støtte for det man kaller "virtual patching". Dvs. at forsøk på å utnytte kjente sårbarheter som ikke er patchet eller fått en patch ennå likevel blir stoppet i brannmuren. Whitlisting på flere områder er også en viktig komponent. Man bruker "Whitelisting" teknikker også fra gammelt av ved at man sperrer alt og kun åpner for det som er "godkjent", prinsippet er ikke nytt. Men det største problemet her virker her å være hvordan man har satt opp miljøet. Bare det at man her har konfigurert miljøet slik at viruset kan konfigurere og endre GPOer i AD bør være et stort varsku. Det er noen røde lamper mot det man kan si er menneskelig relaterte årsaker. Mennesker gjør feil og derfor viktig å lære av hverandre. Men som regel er problemet at sikkerhet i miljøet ofte nedprioriteres på den altfor fulle gjøremålslisten eller blir utsatt for "paranoid"-pekefingeren inntil det skjer noe slikt som dette. Da får pekefingeren ofte en annen tone. Endret 19. mars 2019 av Theo343 Lenke til kommentar
Jan Kjetil Andersen Skrevet 19. mars 2019 Del Skrevet 19. mars 2019 Jan Kjetil: Antivirus er selvsagt kun bare én del av mange innenfor perimetersikring og sikring av driftsmiljøet, det er de fleste klar over. Proxies, Antispam filtre og filblokkering som Øystein nevner er andre og man har så meget mer. Applocker som nevnt men også kodesignering, tillatte cryptochains, protokollnivåer, sertifikater. etc. I tillegg har de fleste brannmursystemer fra SMB i dag også application-level filtrering samt støtte for det man kaller "virtual patching". Dvs. at forsøk på å utnytte kjente sårbarheter som ikke er patchet eller fått en patch ennå likevel blir stoppet i brannmuren. Whitlisting på flere områder er også en viktig komponent. Man bruker "Whitelisting" teknikker også fra gammelt av ved at man sperrer alt og kun åpner for det som er "godkjent", prinsippet er ikke nytt. Enig i alt dette Theo, men mitt poeng er at mens absolutt alle benytter antivirus, er det faktisk kun et mindretall som benytter et verktøy for whitelisting. Det er ingen ende på hvor mange sikkerhetsprodukter man kan lesse på med, men det er slett ikke alt som gir noen vesentlig sikkerhetsmessig gevinst, selv om det koster masse. Whitelisting er en metode som etter min mening har altfor lite oppmerksomhet ettersom det både er enkelt og kostnadseffektivt. Lenke til kommentar
Nautica Skrevet 20. mars 2019 Del Skrevet 20. mars 2019 Her kunne kanskje kunstig intelligens være utviklet for å overvåke datatrafikk og detektere unormal aktivitet opp mot normal aktivitet og sperre eller slå av systeme før viruser får gjort ugagn. Lenke til kommentar
Tore Rosander Skrevet 20. mars 2019 Del Skrevet 20. mars 2019 Her kunne kanskje kunstig intelligens være utviklet for å overvåke datatrafikk og detektere unormal aktivitet opp mot normal aktivitet og sperre eller slå av systeme før viruser får gjort ugagn. Dette ble jo gjort, aktiviteten ble oppdaget og nettverket ble tatt ned. Produksjonen er i liten grad rammet og at det globale nettverket er nede er hovedsaklig ett sikringstiltak og ikke ett tegn på hvor stor infeksjonen er. Lenke til kommentar
Nautica Skrevet 20. mars 2019 Del Skrevet 20. mars 2019 (endret) Dette ble jo gjort, aktiviteten ble oppdaget og nettverket ble tatt ned. Produksjonen er i liten grad rammet og at det globale nettverket er nede er hovedsaklig ett sikringstiltak og ikke ett tegn på hvor stor infeksjonen er. I dag får vel overvåkeren av systemene beskjed bare når en kjent trussel blir oppdaget ? eller forstår det når det har gått galt. Tenkte mer et en AI kunne fortere forstå at dette ikke er normal trafikk og foreta nødvendige tiltak umiddelbart ved å isolere selv om dette er en ukjent trussel. Endret 20. mars 2019 av Nautica Lenke til kommentar
Gjest Slettet+5132 Skrevet 20. mars 2019 Del Skrevet 20. mars 2019 Her kunne kanskje kunstig intelligens være utviklet for å overvåke datatrafikk og detektere unormal aktivitet opp mot normal aktivitet og sperre eller slå av systeme før viruser får gjort ugagn. De har alt utviklet "kunstig intelligens" for dette (tenk igjen mer et DNN, altså deep neural network, eller sagt enkelt "En avansert form for regressjon"). Problemet er vel bare at det er ikke unormal aktivitet at man får et virus, det er unormalt når viruset har begynt å spre seg, og da er skaden allerede gjort, og det beste man kan gjøre er å stenge ned. Lenke til kommentar
madammim Skrevet 20. mars 2019 Del Skrevet 20. mars 2019 Det er vel økonomiske grunner for dette angrepet siden det er et krypto-virus/løsepenge-virus. Er det ikke snart på tide å forby bitcoin og alle dets varianter på et internasjonalt nivå? Hvorfor skal slike verktøy som gjør kriminelle i stand til å overføre penger "under radaren" få lov til å eksistere? Lenke til kommentar
Theo343 Skrevet 20. mars 2019 Del Skrevet 20. mars 2019 Enig i alt dette Theo, men mitt poeng er at mens absolutt alle benytter antivirus, er det faktisk kun et mindretall som benytter et verktøy for whitelisting. Det er ingen ende på hvor mange sikkerhetsprodukter man kan lesse på med, men det er slett ikke alt som gir noen vesentlig sikkerhetsmessig gevinst, selv om det koster masse. Whitelisting er en metode som etter min mening har altfor lite oppmerksomhet ettersom det både er enkelt og kostnadseffektivt. Ikke uenig med deg i det Lenke til kommentar
sk0yern Skrevet 20. mars 2019 Del Skrevet 20. mars 2019 Whitelisting er en metode som etter min mening har altfor lite oppmerksomhet ettersom det både er enkelt og kostnadseffektivt. Whitelisting kan nok være enkelt i mindre miljøer, men trolig mer komplekst å få gjennomført hos en bedrift som Hydro. Lenke til kommentar
Jan Kjetil Andersen Skrevet 20. mars 2019 Del Skrevet 20. mars 2019 (endret) Whitelisting er en metode som etter min mening har altfor lite oppmerksomhet ettersom det både er enkelt og kostnadseffektivt.Whitelisting kan nok være enkelt i mindre miljøer, men trolig mer komplekst å få gjennomført hos en bedrift som Hydro. Er ikke så sikker på det. Man må uansett ha en en policy for hva slags programvare man tillater og hvordan ny programvare skal klarereres. Man må også ha et bevisst forhold til hvilke mapper eksekverbare filer skal forekomme i, og hvilke sertifikater og programleverandører man stoler på. Et verktøy for hvitlisting sørger for at disse policyene faktisk etterleves. Det gjelder imidlertid å ikke sette urealistiske forventninger. Heller ikke hvitlisting kan dekke absolutt alle mulige forhold, men man har mulighet til å gjøre en sikkerhetsvurdering av hva man skal tillate i de regler som defineres i verktøyet. Eksempelvis kan man kanskje ikke kreve at alle eksekverbare filer er sertifiserte med betrodd sertifikat. Man kan imidlertid kreve at eksekverbare uten betrodd sertifikat er begrenset til visse mapper som man har god kontroll på. Det burde fange opp det aller meste. Endret 20. mars 2019 av Jan Kjetil Andersen Lenke til kommentar
G Skrevet 20. mars 2019 Del Skrevet 20. mars 2019 (endret) Enig i alt dette Theo, men mitt poeng er at mens absolutt alle benytter antivirus, er det faktisk kun et mindretall som benytter et verktøy for whitelisting. Det er ingen ende på hvor mange sikkerhetsprodukter man kan lesse på med, men det er slett ikke alt som gir noen vesentlig sikkerhetsmessig gevinst, selv om det koster masse. Whitelisting er en metode som etter min mening har altfor lite oppmerksomhet ettersom det både er enkelt og kostnadseffektivt. Hvorfor svarteliste og hvitelistebruk. Det holder vel med en form for versjonsbackup av alt, og at block chain gjør at man kan finne ut av "garnnøste" av hva som skjedde? Det må vel finnes ferdige løsninger for dette som lar seg kjøpe? Endret 20. mars 2019 av G Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå