4. Håndtere og gjenopprette

Publisert: 28.08.2017 | Sist endret: 29.08.2017

4.1 Forbered virksomheten på håndtering av hendelser

Beskytte virksomhetens tjenester, informasjon, ressurser og omdømme ved å utvikle og implementere effektive prosesser for hendelseshåndtering for hurtig å kunne oppdage hendelser og effektivt kontrollere og fjerne hendelsesårsaken og gjenopprette integriteten til systemer og nettverk. Dette inkluderer planverk, definerte roller, øving, kommunikasjon og ledelsesoversikt.

Hva gjøre man hvis et dataangrep blir oppdaget kl 18:00 på en fredag, like før en ferieperiode?
- Har man mekanismer for å oppdage angrepet hurtig?
- Er telefonlisten oppdatert?
- Har man betalt for at underleverandører og støttepersonell kan trå til på kort varsel?
- Hva skal man gjøre hvis nøkkelpersoner er på ferie i utlandet?
Ved oppdagelse og spredning av skadevare som Wannacry 1.0/2.0 må man reagere hurtig for å hindre omfattende skadefølger. Virksomheten har ofte bare en time eller to på seg fra skadevaren oppdages til de må ta en avgjørelse på situasjonen skal håndteres.
- Skal brannmurer stenges?
- Skal strømmen trekkes ut fra sentrale servere?
- Har man tjenester som må isoleres fra øvrig IKT-infrastruktur?
- Fungerer sikkerhetskopier hvis man må resette alle servere?
God planlegging, et oppdatert og veltestet planverk og tilknytning til en døgnkontinuerlig vaktordning kan bety vinn eller forsvinn for virksomheter når dataangrep inntreffer. Er din virksomhet beredt?

Hvorfor er dette viktig?

Angrep i cyberdomenet er nå så vanlig at det har blitt en del av dagliglivet. Selv store, teknisk sofistikerte virksomheter med mye ressurser har utfordringer med å holde følge med frekvensen og kompleksiteten på dataangrep. Spørsmålet er ikke «om» en virksomhet blir offer for et vellykket dataangrep, men «når». Det er for sent å utarbeide gode prosedyrer, rapporteringsrutiner, datainnsamling, ledelsesansvar og kommunikasjonsstrategier når hendelsen inntreffer. Disse må utarbeides og øves i god tid i forveien for å gjøre virksomheten i stand til å forstå, håndtere og gjenopprette normaltilstanden. Uten en plan og en virksomhetsprosess for hendelseshåndtering er det ikke sikkert at virksomheten vil oppdage at et angrep er i gang, og hvis angrepet først oppdages, er det stor sannsynlighet for at virksomheten ikke følger gode prosedyrer for begrense skaden, fjerne angriperens tilstedeværelse og gjenopprette normaltilstand på en effektiv og sikker måte. Angrep vil da kunne få et større omfang og påføre virksomheten større skade, infisere flere systemer og hente ut mer sensitive data enn hvis effektive prosesser for hendelseshåndtering var på plass. I enkelte tilfeller kan det være nødvendig å la en aktør være aktiv i virksomhetens IKT-infrastruktur for å forstå omfanget av kompromitteringen.  

Anbefalte tiltak

ID

Beskrivelse

4.1.1

Etabler et planverk for hendelseshåndtering som ivaretar behovet for virksomhetskontinuitet i krise- og beredskapssituasjoner. Planverket bør inkludere personellroller for håndtering av hendelser og definere de ulike fasene innen hendelseshåndtering.

4.1.2

Tildel jobbtitler og plikter for håndtering av maskinvare og nettverk til spesifikke roller i virksomheten. Dersom dette må gjøres ad-hoc når en hendelse inntreffer kan det allerede være for sent.

4.1.3

Utarbeid avtaler med underleverandører slik at de kan reagere hurtig og inngår som en del av hendelsesteamet der dette er hensiktsmessig.

4.1.4

Utarbeid og distribuer kontaktinformasjon for interne og eksterne nøkkelpersoner. Alternative kommunikasjonskanaler bør også vurderes.

4.1.5

Definer ledelsespersonell som vil supportere hendelseshåndteringsprosessen ved å fungere som beslutningstakere i nøkkelroller.

4.1.6

Utarbeid retningslinjer som omfatter hva som forventes av hele virksomheten fra hendelsen oppdages til den avsluttes, mekanismer for rapportering og hva slags informasjon som skal inkluderes i hendelsesvarslingen. Rapporteringen bør også inkludere varsling til korrekt sektor-CERT i henhold til juridiske og regulatoriske krav for informasjon til andre virksomheter og eventuelt støtte til håndtering av hendelsen.

4.1.7

Test og øv planverk jevnlig slik at denne er godt innøvd for involvert personell. Slike tester bør også inkludere relevante underleverandører og bør kombineres med «Red Team»-øvelser.

4.1.8

Revider og oppdater planverket jevnlig, og i etterkant av øvelser, større hendelser eller angrep. Revisjonen bør gjøres minst en gang i året.

4.2 Vurder og kategoriser hendelser

Rettidig og korrekt vurdere og kategorisere hendelser slik at de blir håndtert effektivt, med riktig prioritet og involverer nødvendige ressurser og personell.

Hvorfor er dette viktig?

Kategorisering av hendelser er viktig for å kunne håndtere hendelser med riktig prioritet, ressursbruk og innen nødvendig tid. Hvis det tar lang tid fra en hendelse blir oppdaget til den blir varslet, prioritert og håndtert kan skadeomfang, ressursbruk og gjenopprettingstid bli betydelig større enn hvis hendelsen hadde blitt håndtert tidlig. Feilaktig kategorisering kan føre til at en virksomhet bruker mye tid og krefter på uvesentlige hendelser, mens viktigere hendelser går under radaren. Manglende involvering av interne og eksterne beslutningstagere kan føre til at hendelsen eskalerer og aktiviteter sprer seg til andre systemer og virksomheter fordi det ikke hurtig nok settes inn reaktive tiltak. Ved skadevare av en viss kompleksitet vil de færreste klare å se reelt skadeomfang før i etterkant av hendelsen. For mange virksomheter vil det være nødvendig å hente kompetanse utenfor egen virksomhet for riktig vurdering og kategorisering av hendelser.

Når en hendelse oppstår vil det alltid være en diskusjon på om man skal stenge ned tjenester, sette inn tiltak eller sitte stille og bygge kompetanse om hva som skjer. Dette er en svært vanskelig vurdering som krever kompetente observatører, og dersom man velger feil sti kan skadene bli store. Dersom man eksempelvis stenger ned for tidlig kan det være vanskelig å rydde opp i etterkant. Det å stenge ned en tjeneste vil også kunne medføre konsekvenser for virksomhetens leveranser. Virksomheter må derfor tilstrebe at alle relevante ressurser sitter rundt bordet når beslutningen skal tas.

FIGUR 6 - Eksempel på klassifiseringsregime for hendelser

Anbefalte tiltak

ID

Beskrivelse

4.2.1

Gjennomgå loggdata og samle inn andre relevante data om hendelsen for å oppnå et godt beslutningsgrunnlag. Dette kan innebære innhenting og sammenstilling av data fra flere kilder, gjennomføre tester eller måling for å verifisere eller avkrefte en hendelse. Metode og omfang vil avhenge av type sikkerhetshendelse som har oppstått.

4.2.2

Gjennomfør en vurdering for å avgjøre om hendelsen er en mulig eller bekreftet sikkerhetshendelse eller om det er falsk alarm.

4.2.3

Kategoriser hendelsen i henhold til klassifiseringsregime og varsle nødvendige roller og interessenter i henhold til gjeldende varslingsprosedyrer.

4.2.4

Sørg for at alle involverte enheter loggfører alle aktiviteter, resultater og relevante avgjørelser for senere analyser. Personell som håndterer hendelsen bør etablere en tidslinje for egne og trusselaktørens aktiviteter.

4.3 Kontroller og håndter hendelser (effektivt)

Håndtere hendelser korrekt og med riktige ressurser slik at spredning og konsekvenser minimeres og slik at normaltilstand opprettholdes eller gjenopprettes effektivt.

Hvorfor er dette viktig?

Handlingsmønster vil avhenge av hva slags type hendelse som har oppstått. Det er for eksempel forskjell på om en hendelse akkurat har oppstått og eskalerer i omfang eller om en hendelse har pågått over lengre tid, og er i en «stabil» fase. Under er eksempler på anbefalte handlinger ved ulike scenarier.
Scenario 1
Ved omfattende spredning av skadevare som selvspredende kryptovirus – kast deg rundt og stopp angrepet!
Scenario 2
Dersom «noen» har fått fotfeste i virksomheten og man ser at tilgangen har vært der i en lengre periode – vent, observer, forstå, handle. Er virksomheten utsatt for en avansert aktør med godt fotfeste, kan feil handling føre stil at aktøren går i dvale eller benytte mindre synlige angrepsmetoder. Dette vil gjøre det vanskeligere å avklare skadeomfang, sikre bevis og fjerne aktøren fra virksomheten.

Når en hendelse inntreffer er det fort gjort å slå alarm og sette himmel og jord i bevegelse. Det er da viktig å beholde roen, men samtidig varsle og involvere de riktige personene hurtig. Dersom virksomheten ikke forstår omfanget av et dataangrep, hvilke deler av IKT-infrastrukturen som er rammet og håndterer dette riktig, kan konsekvensene bli katastrofale.

Oppskriften er å følge fastsatte prosedyrer basert på klassifisering av hendelsen og involvere personell med spesialkompetanse på IKT-miljøet og den daglige driften. Uansett type hendelse vil det være en del felles prinsipper som sil gjelde. Hendelsen må undersøkes i form av utbredelse og skadepotensiale og hendelsesdata og situasjonsbildet bør holdes så oppdatert som mulig gjennom hele håndteringen av hendelsen. Man må være forberedt på eventuell eskalering og nye, samtidige hendelser og sørge for god kommunikasjonsflyt mellom involverte parter.

Reaktive tiltak må settes i gang så snart man har nok informasjon til å iverksette dette. En tommelfingerregel er at man har 2 timer fra «noe» skjer i Europa til man har tatt en beslutning i egen virksomhet på hvordan man skal agere. Alle aktiviteter og avgjørelser bør logges slik at man i etterkant kan følge utviklingen. Interne og eksterne som er berørt av hendelsen bør, så langt det lar seg gjøre, holdes oppdatert om situasjonen.

Når en hendelse har oppstått vil tillit til tjenester, systemer og IKT-infrastruktur naturlig nok svekkes. Effektiv hendelseshåndtering vil bidra til å gjenopprette dette slik at man igjen oppnår en tiltrodd og sikker tilstand i IKT-miljøet og tilhørende tjenester.  

Anbefalte tiltak

ID

Beskrivelse

4.3.1

Undersøk hendelsen(e) som definert i henhold til klassifiseringsregime og kartlegg omfang og påvirkning på forretningsprosesser.

4.3.2

Undersøk om hendelsen er under kontroll og gjennomfør nødvendige reaktive tiltak. Dersom hendelsens omfang øker og ser ut til å få alvorlige konsekvenser på virksomhetens forretningsprosesser bør kriseresponsaktiviteter iverksettes ved å eskalere til krisehåndteringsfunksjonen. Eksempler på reaktive tiltak er:

  • Allokering av interne og eksterne menneskelige ressurser for å håndtere hendelsen.
  • Innkapsling og blokkering av offensive handlinger for å hindre spredning.
  • Terminering av truende eller kompromitterende aktiviteter i systemer, for eksempel stenge ned kompromitterte, interne servere som kan benyttes av angripere for videre angrep på systemer og IKT-infrastruktur.

 

4.3.3

Oppdater hendelsesdata og situasjonsbilde underveis for best mulig datagrunnlag til håndtering av hendelsen.

4.3.4

Iverksett gjenopprettingsplan i løpet av, eller i etterkant av hendelsen. Tiltakene vil variere avhengig av type hendelse, men kan inkludere:

  • Reaktivere redundante ressurser som ble tapt eller skadet under hendelsesforløpet.
  • Reinstallere maskin- og programvare på rammede komponenter.
  • Gjenopprette konfigurasjonsinnstillinger, med eventuelle tilpasninger.
  • Gjenopprette tjenester som ble stoppet under hendelsesforløpet.

4.3.5

Koordiner og kommuniser med interne og eksterne interessenter underveis i hendelseshåndteringen. Dette kan være intern drift, ledelsen, interne eller eksterne avdelinger som blir påvirket av hendelsen.

4.3.6

Loggfør alle aktiviteter underveis i hendelseshåndteringen og sikre elektroniske bevis.

4.3.7

Gjennomfør aktiviteter etter hendelsen, herunder:

  • Etterforsking for å finne rotårsak til hendelsen, inkludert:
  • Type skadevare
  • Trusselaktør
  • Angrepsvektor
  • Verktøy
  • Operasjonsmåte, hvordan hendelsesforløpet utviklet seg og hvilke bevegelser og aksjoner trusselaktøren gjennomførte
  • Oppsummerende rapport som ledelsen kan forstå og ta stilling til.
  • Kommunikasjon til relevante parter, inkludert sektorvise responsmiljøer og/eller NSM NorCERT.

4.4 Evaluer og lær av hendelser

Lære av hendelser og gi forbedringsinnspill til sikringstiltak, hendelsesprosesser, opplæring av personell og oppdatering av gjeldende prosedyrer.

Hvorfor er dette viktig?

Når en hendelse er ferdig håndtert og lukket er det viktig at virksomheten hurtig identifiserer og lærer fra gjennomførte aktiviteter og handlinger og sørger for at konklusjoner blir gjennomgått og tatt tak i. Dersom dette ikke gjøres vil mye av kunnskapen og erfaringen fra håndterte hendelser forsvinne, og man vil ofte gjøre de samme feilene om igjen neste gang en hendelse oppstår. Det kan i tillegg være at det oppdages nye sårbarheter, eller behov for nye, eller forbedrede sikringstiltak underveis i håndteringen av hendelser, som kan forhindre at fremtidige situasjoner oppstår. Man ender ofte opp med en rekke potensielle forbedringer og tiltak, men det deles ofte inn i tre hovedområder:

  1. Nye eller endrede krav til sikringstiltak av teknisk eller ikke-teknisk art. Dette kan inkludere oppdatering av bevisstgjøringsmateriell til brukere og oppdatering av sikkerhetsretningslinjer.
  2. Ny eller endret trussel- og sårbarhetsinformasjon som kan føre til endring av virksomhetens metodikk for risikovurdering.
  3. Endringer i planverk for hendelseshåndtering, prosesser, prosedyrer, rapporteringsformat, organisasjonsstrukturer, og så videre.

Anbefalte tiltak

ID

Beskrivelse

4.4.1

Identifiser erfaringer og læringspunkter («lessons learned») fra sikkerhetshendelsen slik at både de momenter som virket videreføres og de som ikke virket optimalt kan forbedres.

4.4.2

Kartlegg og gjennomgå identifiserte, kompromitterte sikringstiltak og oppdater eller forny disse for å hindre at en tilsvarende hendelse gjenoppstår.

4.4.3

Gjennomgå, identifiser og forbered virksomhetens risikovurderinger der det er oppdaget verdier, sårbarheter, trusler eller tiltak som ikke er adressert i eksisterende risikobilde.

4.4.4

Gjennomgå effektiviteten på prosesser, prosedyrer, rapporteringsformater og organisatoriske strukturer i forhold til å respondere på hendelser. Oppdater prosesser og planer for hendelseshåndtering basert på læringspunktene.

4.4.5

Kommuniser og del erfaringsresultatene med relevante interessenter og bruk reelle historier fra hendelseshåndtering i opplæring og bevisstgjøring av ansatte.

4.4.6

Gjennomfør evalueringer av prosesser og personell tilknyttet hendelseshåndtering ved jevne mellomrom.