God cybersikkerhed handler i høj grad om at være forberedt og tage sine forholdsregler, inden man bliver ramt af et cyberangreb. Men at forberede sig på det store cyberangreb rejser også det store spørgsmål: Har vi gjort det godt nok? Er der noget, vi har overset?

 

Det er her, en sårbarhedsanalyse eller en "penetrationstest", ofte blot kaldet "pentest", kan hjælpe. Under kontrollerede forhold udsætter man sine systemer for nogle af de værktøjer, en hacker ville bruge, for at blive klogere på, hvor der er svage punkter i forsvarsværkerne omkring it-systemerne.

 

Center for Cybersikkerhed hjælper myndigheder, virksomheder og Forsvaret med at højne it-sikkerheden ved at gennemføre sårbarhedsanalyser. Formålet med hver test er ikke at vise, at de tekniske specialister kan komme forbi sikkerhedsforanstaltninger, men derimod at finde frem til, hvor der kan ske forbedringer. 

 

"Vi starter altid med et møde, hvor vi laver en forventningsafstemning og aftale med den organisation, vi skal ud til. De har måske nogle forestillinger om, hvad de vil få ud af det, men vi kan hjælpe dem ved at komme med vores idéer. Men deres teknikere kender jo deres systemer og ved som regel også, hvor guldet ligger begravet. De ved også, hvor det vil gøre mest ondt og have størst konsekvenser," fortæller it-specialist 'Andreas'.

 

Snyder på vægten

Hvor det gør ondt er ofte forskelligt, men for mange organisationer er smertegrænsen for, hvornår det ville være et alvorligt problem, hvis det var et rigtigt hackerangreb, nået et godt stykke, før hackeren har opnået fuld kontrol over netværket.

 

"Det er ikke altid, at vi skal gå efter 'domain admin'. Nogle gange vil it-chefen sige, at hvis I kan komme ind på min pc, så er det slut," forklarer 'Andreas'.

 

Begrebet 'domain admin' refererer til, at Windows-baserede netværk bruger Microsofts Active Directory til at administrere, hvem der har adgang til hvad, og hvilke data og programmer de må læse, slette, eller eksekvere. Domain admin er en kategori af brugere, som kan administrere alle rettigheder på dette netværk, så har man fået adgang som domain admin, så kan man få adgang til alt på netværket.

 

De rigtige hackere, som går målrettet efter en organisation, har god tid til at lave den rekognoscering, der er første trin i et avanceret cyberangreb. Det er svært at simulere i den type sårbarhedsanalyser, som Center for Cybersikkerhed udfører.

 

"Vi gør meget ud af at fortælle, at vi har et begrænset tidsrum. Derfor gør vi som regel ikke som et egentligt 'Red Team', men snyder lidt på vægten. Vi starter normalt ikke uden for hegnet, men beder for eksempel om at få en almindelig brugerkonto, så vi kan se, hvad vi kan derfra," forklarer 'Andreas'.

 

'Red Team' er et begreb, som bruges om et hold sikkerhedseksperter, der har til opgave at forsøge at trænge ind i it-systemerne med alle de kneb, der ville blive brugt i et ægte angreb. Det involverer ofte 'social engineering', hvor man for eksempel sender en mail med en forfalsket afsender. For at få fuldt udbytte af et 'Red Team' angreb, er det nødvendigt, at organisationen har et 'Blue Team', som aktivt arbejder for at forsvare it-systemerne. 'Red Team' er derfor en teknik til sårbarhedsanalyse, som stiller store krav til rammerne omkring analysen.  

 

En frisk laptop

Et sårbarhedsanalyseteam består som regel af to til tre personer, der samarbejder om at løse opgaven. Ud over at have afstemt forventningerne på forhånd, så har holdet også fået grundlæggende systemdokumentation, og det er aftalt, hvis der er systemer, der ikke må røres ved.

 

"Nogle gange har vi også lavet en scanning for kendte sårbarheder, inden vi kommer. For hvis vi kommer ud, og det så viser sig, at der eksempelvis ikke er patchet for 'EternalBlue', så er det alligevel game over," siger 'Andreas'.

 

'EternalBlue' er det populære navn for den sårbarhed i Windows, som blandt andet blev udnyttet af WannaCry og NotPetya til at sprede sig på interne netværk og til sårbare computere, der var eksponeret ud til internettet.

 

"Vi har altid en frisk laptop med, hvor vi har standardværktøjer som for eksempel Kali Linux. Derefter sætter vi scanninger i gang. Det er for eksempel nmap eller en scanning af Active Directory," forklarer 'Andreas'.

 

Værktøjet 'nmap' bruges til at afsøge et netværk og kortlægge, hvilke computere, it-systemer og it-tjenester, der er synlige, hvilke programmer der kører på computerne, og en masse anden viden om netværket, der er nyttig både for en hacker og for den, der skal forsvare netværket.

 

Derudover kan holdet bruge en række forskellige teknikker til at på fat i passwords eller password-hashes, som kan bruges til at få adgang til systemerne som andre brugere, der har flere rettigheder.

 

"Vi kan nu også lave social engineering. Dermed kan vi gennemføre mere realistiske test af sikkerheden" siger 'Andreas'.

 

Når man gennemfører sårbarhedsanalyser, er det vigtigt, at man behandler personoplysninger i overensstemmelse med reglerne. Lov om Center for Cybersikkerhed giver CFCS et klart lovgrundlag at arbejde på og indeholder regler for CFCS’ behandling af personoplysninger.

 

Sårbarhedsanalyse

Selvom undersøgelsen kaldes en sårbarhedsanalyse, så er det ikke så interessant for holdet at finde egentlige sårbarheder i softwaren, som kan udnyttes med velkendte exploits. Undersøgelsen skal bredt afdække, hvor it-systemerne er sårbare, og derfor handler det ikke om kun at finde den letteste eller hurtigste vej til målet.

 

"Det er mere lærerigt at se på, om vi for eksempel kan udnytte services, der kører med systemrettigheder. Vi kan også bruge teknikker som 'password spraying' for at se, om vi kan få adgang ved at anvende hyppigt brugte passwords," forklarer 'Andreas'.

 

Det er væsentligt for opgaven, at holdet og organisationen har aftalt, hvor langt holdet kan gå. Hvis det er et netværk, der er sat op til en øvelse, så kan alt i princippet være et fair mål inden for opgaven. Men det er ikke tilfældet, hvis det er 'rigtige' it-systemer, som bruges i den daglige drift.

 

"Det er vigtigt med scoping i den indledende fase. Vi har en opgave med at fortælle, hvilke konsekvenser der er ved undersøgelsen og forklare, at vi ikke bare kommer og lægger netværket ned. På de driftskritiske systemer kunne vi for eksempel aftale, at vi blot får lov til at logge ind og se, om der er installeret de seneste opdateringer," fortæller 'Andreas'.

 

Nysgerrige spørgsmål

Formålet med sårbarhedsundersøgelsen er i sidste ende at gøre organisationen opmærksom på de svage punkter. Derfor er det også en vigtig del af holdets opgave at hjælpe organisationen til at blive klogere.

 

"Vi beder som regel om at få et lokale, hvor vi kan sidde uforstyrret, fordi vi tit har behov for at snakke indforstået med hinanden. Men folk synes jo, det er spændende, når vi kommer ud, så én af os kan let bruge en tredjedel af sin tid på at snakke med folk. Men der også en høj grad af awareness i det, vi laver," siger 'Andreas'.

 

Det er ikke kun værterne for testen, der er nysgerrige. Det er også en vigtig egenskab for sårbarhedsanalytikerne. Det er svært på et lille hold at specialisere sig, og det er nyttigt, hvis alle er generalister.

 

"Vi lærer af hinanden og af opgaven. Vi er et team, der har været under opbygning, så vi har sørget for altid at have en ny med, så de kan lære på jobbet. Og jeg lærer også altid selv noget. Det er både vigtigt at være en holdspiller og at kunne suge ny viden til sig rigtig hurtigt," siger 'Andreas'.

 

En løftestang til bedre sikkerhed

Sårbarhedsanalysen munder ud i en afrapportering, som ikke er beregnet til at pege fingre af nogen, men i stedet skal pege på, hvor der kan sættes ind for at forbedre sikkerheden. Og for it-organisationen kan det være en hjælp at få eksterne eksperter til at demonstrere, hvor der skal ske forbedringer.

 

"I starten, hvor jeg lavede de her undersøgelser, handlede det meget om at få 'domain admin'. I dag handler det mere om at vise organisationen, hvilken vej den skal gå. Med en undersøgelsesrapport i hånden kan teknikerne gå til cheferne og sige, at her er vi sårbare. Teknikerne ved måske godt, hvor det kniber, men de kan bruge en rapport fra os som løftestang til at bringe problemerne frem i lyset, så de kan blive løst," siger 'Andreas'.

 

"Vi var ude hos en organisation, hvor vi fandt en masse ting. De brugte så vores rapport som løftestang, og da vi kom tilbage senere, så kunne vi se, at de havde gjort noget ved det. Nu havde de låst os ude, og det var en fed oplevelse," fortæller 'Andreas'.

 

Teknikkerne og værktøjerne er som udgangspunkt almindeligt kendte og anvendes også af andre end CFCS. Men som en del af FE har CFCS adgang til efterretningsoplysninger, som er med til at kvalificere arbejdet. CFCS udfører primært sårbarhedsanalyser på statslige netværk og på netværk hos virksomheder, der varetager samfundsvigtige funktioner. Og med analyser hos en organisation som Forsvaret er jobbet alt andet end rutinepræget.

 

"Det er et fedt arbejde. Jeg har ikke haft to uger, der var ens. Det er personligt meget tilfredsstillende. Vi kommer ud på meget forskellige steder, og du får nogle oplevelser, du ikke ville få andre steder," siger 'Andreas'.

 

Center for Cybersikkerheds sårbarhedsanalyser er en del af centerets forebyggende arbejde, som blandt andet også omfatter rådgivning og vejledning om cyber- og informationssikkerhed og oplysning om cybertruslen mod Danmark.

 

Center for Cybersikkerhed søger løbende nye sårbarhedsanalytikere. Hold øje med vores ledige stillinger på www.cfcs.dk. Du kan også gå ind på www.FEchallenges.dk og prøve kræfter med nogle af de udfordringer, du kan komme til at møde som ansat i Center for Cybersikkerhed.

Sidst opdateret 14. november, 2023 - Kl. 13.10