Stjålet data: Slik beskytter du deg etter et cyberangrep
Etter et cyberangrep stjeles ikke bare åpenbare filer, men også tekniske data som passord og systemlogger. Denne digitale kartleggingen av selskapet selges deretter på Dark Web til nye angripere, noe som fører til flere angrep. Løsningen er å proaktivt overvåke lekkasjer med Dark Web Monitoring og implementere 24/7-overvåking og respons med en MDR-tjeneste for å kunne handle umiddelbart på trusler.
Fem angrep på ett år
Ditt selskap rammes av et klassisk ransomware-angrep. Når angrepet oppdages, handler dere helt etter boka ved å ikke betale, slette alt og gjenopprette miljøet fra backup.
Kort tid etter blir dere angrepet igjen. Samme prosedyre, slette og gjenopprette. Men så skjer det igjen, totalt fem ganger på ett år selv om dere har fulgt hendelseshåndteringsrutinen til punkt og prikke.
Problemet i dette tilfellet er at gjenoppretting av systemene ikke løste den opprinnelige sårbarheten. For hvert angrep ble dessuten mer data stjålet som ga angriperne nye nøkler og mer kunnskap om selskapet.
Fra innbrudd til handelsvare: Slik selges dine stjålne data videre
Hva var det som skjedde, og hva skjer egentlig med dine data etter et innbrudd?
Datainnsamlingen av mer enn bare filer
Når angripere stjeler dataene deres, er det mer enn den åpenbart sensitive informasjonen, som kundeinformasjon eller finansielle opplysninger, som går tapt. De sugd også opp systemene for data om data, såkalt metadata, som konfigurasjonsfiler, nettleserhistorikk, lagrede passord, sesjonskapsler, systemlogger og interne nettverkskart. Informasjon som skaper en ekstremt verdifull, digital tegning av ditt selskap.
Foredling og salg på Dark Web
Samtidig som teamet deres arbeider med hendelseshåndtering, får deres stjålne data et nytt, risikofylt liv. Log Sellers, datameglere på Dark Web, kjøper opp lekkede data fra hundrevis av angrep, strukturerer dem og selger dem videre i søkbare databaser som "startkit" for nye trusselaktører som ønsker å angripe et spesifikt selskap.
Det kan handle om en gammel, glemt tjenestekonto med et svakt passord som blir en ny vei inn eller interne prosjektnavn som brukes til å lage ekstremt overbevisende spear phishing-mail.
Samtidig som teamet deres jobber med hendelseshåndtering, får deres stjålne data et nytt, risikofylt liv
Bryt syklusen: Proaktive skritt for å stoppe gjentakende angrep
For å bryte denne syklusen kreves det et skifte fra reaktiv brannslukking til en proaktiv strategi.
Oppdag eksponering med Dark Web Monitoring
Dark Web Monitoring er en tjeneste som kontinuerlig søker gjennom Dark Web, kriminelle forum og databaser etter bedriftens domener, ansattes e-postadresser, lekkede passord, IP-adresser og annen sensitiv informasjon.
Dette kan gi en tidlig varsling. I stedet for å vente på neste angrep, får du vite at sensitiv informasjon er til salgs og kan handle proaktivt. Hvis det for eksempel handler om en ansatts påloggingsdetaljer, kan man umiddelbart sørge for at passordet byttes og øke overvåkingen av kontoen.
Døgnkontinuerlig overvåkning og respons med MDR
Managed Detection and Response (MDR) er en sikkerhetstjeneste med eksperter som overvåker bedriftens nettverk 24/7. Dette er et avgjørende supplement til mer tradisjonelle beskyttelser. Et antivirus leter etter kjente trusler. En MDR-tjeneste identifiserer avvikende aktivitet i miljøet ditt, som når noen prøver å bruke en gammel pålogging eller bevege seg sidelengs i nettverket.
Men kanskje enda viktigere enn å identifisere trusler, er å kunne handle raskt. MDR-teamet er på plass for å raskt kunne isolere deler av nettverket ditt eller stenge en konto innen noen minutter, døgnet rundt, hver dag.
Med riktig verktøy på plass kan dere raskere identifisere og handle på den opprinnelige sårbarheten og stoppe etterfølgende forsøk i en tidlig fase.
Å bare tilbakestille systemet uten å tette den opprinnelige sårbarheten er som å la døren stå ulåst etter et innbrudd.
Gjør bedriften din til et uinteressant mål
Et cyberangrep er ofte en del av en prosess, ikke en isolert hendelse. Stjålne data lever videre og gjenbrukes. Å kun gjenopprette systemer uten å tette den opprinnelige sårbarheten er som å la døren stå ulåst etter et innbrudd. Det inviterer til nye angrep. Den eneste veien fremover er proaktivitet og synlighet.
Å investere i proaktive sikkerhetsløsninger tar dere fra å være et lett bytte til et motstandsdyktig og uinteressant mål. Når du vet hva som deles om bedriften din gjennom Dark Web Monitoring, og med eksperter som overvåker systemene dine døgnet rundt, kan dere bryte den onde sirkelen.
5 vanlige spørsmål og svar om stjålet data og hvordan dere beskytter dere etter et angrep
- Hva er Dark Web Monitoring?
Dark Web Monitoring er en tjeneste som aktivt søker gjennom vanskelig tilgjengelige deler av internett, inkludert kriminelle forum, etter lekket informasjon knyttet til ditt selskap, som ansattes passord eller interne dokumenter. Det gir en tidlig advarsel slik at dere kan handle før informasjonen utnyttes i et nytt angrep. - Hva er forskjellen på antivirus og MDR (Managed Detection and Response)?
Antivirus reagerer på kjente trusler, som en spesifikk skadelig fil. MDR er en tjeneste der sikkerhetseksperter overvåker nettverket ditt 24/7 for å oppdage og reagere på mistenkelig atferd, som en uautorisert pålogging eller uvanlig datatrafikk. MDR kan altså stoppe helt nye og ukjente angrep. - Holder det ikke å gjenopprette fra backup etter et angrep?
Nei. En gjenoppretting fra backup løser ikke den opprinnelige sårbarheten som gjorde angrepet mulig. I tillegg kan data som ble stjålet under angrepet, som passord og nettverkskart, brukes til å angripe dere på nytt umiddelbart. - Hvordan brukes stjålet data til å lage nye angrep?
Stjålet data, som interne prosjektnavn eller informasjon om deres systemer, brukes til å lage svært troverdige og målrettede nettfiskings-e-poster (spear-phishing). Gamle, glemte påloggingsopplysninger kan også gjenbrukes for å gi angripere en enkel vei inn i systemene deres. - Hvorfor fortsetter selskaper å bli angrepet av samme gruppe?
Når en angriper har lært hvordan IT-miljøet i ditt selskap fungerer, blir dere et "komfortabelt" mål. De vet hvor svakhetene er og kan gjenbruke kunnskapen sin. I tillegg kan de selge denne kunnskapen videre til andre kriminelle, noe som skaper en ond sirkel av angrep.
