1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket?
|
|
- Rebecca Søgaard
- 9 år siden
- Visninger:
Transkript
1 1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket? En forudsætning i denne situation er, at der eksisterer kapacitet til at erkende og dokumentere, hvorvidt man er hacket, og til at kunne fastslå omfanget. Det kræver, at der i organisationen er tilstrækkelig logning på plads, kapacitet til at analysere de indsamlede logs og et opdateret overblik over egen ITinfrastruktur. Erkende angrebet: Hvis man har mistanke om, at et eller flere af ens systemer er blevet kompromitteret, bør man først og fremmest undersøge egne logs for tegn på IT-angreb. Typisk handler det om at spore kommunikation fra et internetdomæne gennem egen firewall, routere til den PC eller server, der har kommunikeret. Det bør ligeledes undersøges, hvilken kommunikation PC'en eller serveren ellers har foretaget og hvordan, om der er oprettet / ændret filer, om antivirus er opdateret og aktivt, og om system- eller applikationsloggen viser tegn på unormal aktivitet. Det er vigtigt i denne situation at have de kritiske briller på og nøje vurdere, om det angreb der undersøges, er det eneste eller primære IT-angreb på organisationen, eller om der er andre og flere angreb i gang samtidigt. Denne vurdering er afgørende, når angrebets omfang og skadevirkning efterfølgende skal fastslås. GovCERT kan bistå statslige myndigheder med rådgivning i den konkrete situation. Kontakt GovCERT ved mistanke om hacking, og forsøg at have følgende oplysninger klar: Hvilke systemer er under angreb? (OS, IP-adresser, domæne) Hvilke konsekvenser vurderes angrebet at kunne have? (tyveri af følsomme oplysninger, nedetid, adgang til andre systemer) Hvordan blev angrebet opdaget? Er der særlige karakteristika ved angrebet? Hvilke foranstaltninger er blevet iværksat, og hvilke forventes at kunne have en effekt? Hvilken slags logs er tilgængelige, er der mulighed for at øge logning ved igangværende angreb? Er angrebet blevet politianmeldt? Kan relevante parter indrages? (Må GovCERT f.eks. tage kontakt til teleudbyder) Relevante kontaktpersoner og deres telefonnumre og -adresser Når angrebet er erkendt, og der er tilstrækkelig vished om omfanget af angrebet, bør man forsøge at
2 standse angrebet og isolere de berørte systemer så vidt som muligt. Herefter kan man igangsætte en undersøgelse af hændelsen uden at risikere yderligere kompromittering. IT-angreb bør hurtigst muligt anmeldes til Politiet, som vil vurdere, om der er behov for en egentlig efterforskning. GovCERT kan bistå med kontakten til Politiet. Det sidste (og ofte mest ressourcekrævende) skridt er derefter oprydningsarbejdet efter hændelsens afslutning. 1.1 Første fase: Akut-fasen Stands angrebet Stop adgang til/fra internettet inkl. Stop interne servere og/eller services, der kan viderebringe inficering via f.eks. file-shares Angrebets omfang For at kunne spore angrebets oprindelse, samt identificere omfanget af kompromitteringen, er det vigtigt, at man sørger for at sikre blandt andet logfiler. Afhængig af angrebstypen vil man muligvis kunne finde relevante oplysninger i forskellige typer logfiler: Netværkslogs: Firewall, DNS, IDS, proxy, NetFlow fra netværksenheder Serverlogs: Web server logs, applikationslogs, event logs, lokal IDS/firewall, scheduled tasks I tilfælde af, at der ikke logges, bør der hurtigst muligt slås relevant logning til, der sendes til et centralt samlingssted. I forbindelse med undersøgelsen af logfilerne er det vigtigt at identificere, hvordan det er lykkedes angriberne at tilegne sig adgang til systemerne. Drejer det sig f.eks. om en kendt sårbarhed, der har været udnyttet? Kontakt GovCERT Ring til GovCERT på vores vagtnummer og giv os så mange informationer om hændelsen som muligt. Vi vil først stille nogle spørgsmål for at hjælpe os til at forstå hændelsen bedre. Vi opretter derefter en sag, hvori al relevant information omkring hændelsen vil blive registreret, og som kan være til hjælp i sagens undersøgelse Anmeld sagen til Politiet Det Nationale IT-Efterforskningscenter (NITEC) bistår Politiet i sager vedrørende hacking samt andre typer af elektronisk kriminalitet. Vi råder normalt kunder til at anmelde sager vedr. hacking til NITEC de kan kontaktes telefonisk på eller via it-kriminalitet@politi.dk
3 1.2 Anden fase: Oprydning Identificer misbrugte brugerkonti Check filer og s, der er tilknyttet de kompromitterede brugerkonti Check andre servere, hvor de misbrugte konti benyttes Geninstallation af berørte systemer Geninstallation: Efter hændelsens afslutning bør alle berørte systemer geninstalleres for at sikre, at der ikke efterlades malware eller bagdøre på dem. Data, der skal genskabes, bør genindlæses fra en backup, der vides at være sikker. Opdateringer: Alle systemer bør så vidt muligt opdateres med de seneste sikkerhedspatches Ændring af passwords Som minimum bør passwords tilhørende alle kompromitterede konti ændres. Hvis muligt, bør alle administrative konti ligeledes ændres, herunder både dem, der er tilknyttet brugere og services, samt lokale konti og domæne-konti Best practice: Alle passwords i hele domænet bør om muligt ændres Check flytbare medier Undersøg flytbare medier, såsom USB-diske, CD'er, DVD'er og USB-nøgler, der kunne have været i kontakt med de inficerede systemer. Eventuelt inficerede medier bør formateres eller bortskaffes for at undgå geninficering via netværket.
December 2013. Cyberforsvar der virker. Cyberforsvar, der virker
Cyberforsvar der virker NOVEMBER DECEMBER 2013 1 Forord Cybertruslen mod Danmark er reel. Danske offentlige myndigheder og private virksomheder er dagligt udsat for forstyr rende eller skadelige aktiviteter
Læs mereKrav til informationssikkerhed
Krav til informationssikkerhed Af Peter Blume, Jura, KU Studerende Christina Jensen går i banken for at hæve et beløb på sin bankkonto. Til sin forfærdelse opdager hun, at kontoen er lænset og står i minus.
Læs mereKære medarbejder og leder
Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang
Læs mereUdløbet af Downloads. En hentet version af eschool udløber samtidig med, at et abonnement for eschool udløber.
Betingelser for brug af eschool Brug af eschool service og dit abonnement til vores eschool er underlagt følgende vilkår og betingelser. Læs venligst disse vilkår og betingelser omhyggeligt. 1. Aftalen.
Læs mereBetingelser for MobilePay by Danske Bank
Forbrugere Betingelser for MobilePay by Danske Bank Gælder fra 20. februar 2015 Indledning MobilePay by Danske Bank er en mobilbetalingsløsning (i det følgende benævnt MobilePay) fra Danske Bank A/S, der
Læs mereIndholdsfortegnelse. Forord...4. 1. Indledning...6
Vejledning til bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr, Cookie-bekendtgørelsen. 2. udgave, april 2013 Indholdsfortegnelse
Læs mereIt-sikkerhedstekst ST1
It-sikkerhedstekst ST1 Flere faktorer i login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST1 Version 1 Juli 2014 Flere faktorer i login Når en person skal foretage login på
Læs mereInformationssikkerhed i det offentlige
Informationssikkerhed i det offentlige KMD Analyse Briefing April 2015 HALVDELEN AF DE OFFENTLIGT ANSATTE KENDER TIL BRUD PÅ INFORMATIONSSIKKERHEDEN PÅ DERES ARBEJDSPLADS DANSKERNE USIKRE PÅ AT UDLEVERE
Læs mereBetingelser for MobilePay by Danske Bank
Forbrugere Gælder fra 18. juni 2015 Betingelser for MobilePay by Danske Bank Indledning MobilePay by Danske Bank er en mobilbetalingsløsning (i det følgende benævnt MobilePay) fra Danske Bank A/S, der
Læs mereAnbefalinger til kommuner vedrørende brugerstyring i forbindelse med kommunalreformen
Anbefalinger til kommuner vedrørende brugerstyring i forbindelse med kommunalreformen Videnskabsministeriet i samarbejde med KL November 2005 > Anbefalinger til kommuner vedrørende brugerstyring i forbindelse
Læs mereForøg omsætningen ved at skabe større kundetillid
RAPPORT: FORØG OMSÆTNINGEN VED AT SKABE STØRRE KUNDETILLID Rapport Forøg omsætningen ved at skabe større kundetillid Den hemmelige ingrediens i opskriften på online succes Forøg omsætningen ved at skabe
Læs mereNational strategi for cyber- og informationssikkerhed. Øget professionalisering og mere viden
National strategi for cyber- og informationssikkerhed Øget professionalisering og mere viden December 2014 INFORMATIONSSIKKERHED OG CYBERSIKKERHED I denne strategi anvendes to begreber: Informationssikkerhed
Læs mereProcedure for Novozymes Whistleblower Hotline.
Procedure for Novozymes Whistleblower Hotline. Novozymes Whistleblower Hotline er oprettet for at understøtte Novozymes forpligtelse til at sikre en ansvarlig og etisk korrekt virksomhedsadfærd. Ved at
Læs mereBetingelser for MobilePay
Betingelser for MobilePay MobilePay by Danske Bank er et e-pengeprodukt fra Danske Bank A/S, der kan downloades som en app til mobile enheder. Her kan du læse produktets betingelser. 1. Aftalens parter
Læs mereUdveksling af oplysninger mellem kommuner, politiet og anklagemyndigheden samt i børnehuse. oktober 2013
1 Udveksling af oplysninger mellem kommuner, politiet og anklagemyndigheden samt i børnehuse oktober 2013 Udveksling af oplysninger mellem kommuner, politiet og anklagemyndigheden samt i børnehuse Kapitel
Læs mereSIKKER PÅ NETTET - TRYG SELVBETJENING
SIKKER PÅ NETTET - TRYG SELVBETJENING Din kontakt med det offentlige starter på nettet www.borger.dk DET OFFENTLIGE BLIVER MERE DIGITALT Oplysninger om folkepension og andre offentlige ydelser, ændringer
Læs mereGod skriftlig kommunikation
God skriftlig kommunikation 2 Åbenhed Ligeværdighed Dialog Kære medarbejder Norddjurs Kommune har i længere tid haft fokus på, hvordan vi kan forbedre vores især skriftlige kommunikation med borgerne.
Læs mereANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel
ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele,
Læs mereSikker ensartet og effektiv brug af medicin Sikker ensartet
Sikker ensartet og effektiv brug af medicin Sikker ensartet - regionernes medicin politik for det danske sundhedsvæsen og effektiv brug af medicin Regionernes medicinpolitik for det danske sundhedsvæsen
Læs mereIndhold. Digital post. Digital Post
Indhold Digital Post Hvad modtager jeg i min digitale postkasse? Hvem er det, der står bag den digitale postkasse? Hvilke oplysninger registrerer vi om dig? Kan jeg sende digital post til det offentlige?
Læs mereAbonnementsvilkår for bredbånd fra GEA-SAT ApS
Abonnementsvilkår for bredbånd fra GEA-SAT ApS 1. Generelt Disse abonnementsbetingelser gælder for datatjenesten "Internet via satellit" herefter kaldet tjenesten leveret af Astra / Eutelsat og distribueret
Læs mereRÅDEN OVER VEJ ILLUSTRERET BRUGERREJSE // EDS 2014
RÅDEN OVER VEJ ILLUSTRERET BRUGERREJSE // EDS 2014 Mike er 39 år og direktør og ejer af en mellemstor stilladsudlejningsvirksomhed med lidt over 20 ansatte. Kunderne spænder fra entreprenørvirksomheder
Læs mereKom godt i gang. Kom godt i gang. Indhold
Kom godt i gang Indhold Indledning.....2 Hovedmenu.....4 Oprettelse af brugere.....6 Organisationer og personer.....9 Aktiviteter... 11 E-mails... 14 Tilbud salgspipeline... 16 Enkle tilpasninger... 18
Læs mereHvad gør vi når UNI-Sikkerhed og Sektornet forsvinder med udgangen. Vejledning til skoler
Hvad gør vi når UNI-Sikkerhed og Sektornet forsvinder med udgangen af 2014? Vejledning til skoler Indhold 1 Indledning... 3 2 Hvad sker der, hvis vi ikke foretager os noget?... 4 3 Hvilke IP-adresser benyttes?...
Læs mereBRANCHEVEJLEDNING TIL KONTORARBEJDSPLADSER OPSKRIFTER PÅ ARBEJDSGLÆDE GOD TRIVSEL - EN FÆLLES OPGAVE FOR ET GODT ARBEJDSMILJØ
BRANCHEVEJLEDNING TIL KONTORARBEJDSPLADSER OPSKRIFTER PÅ ARBEJDSGLÆDE GOD TRIVSEL - EN FÆLLES OPGAVE FOR ET GODT ARBEJDSMILJØ _ 00 GOD TRIVSEL FORORD FORORD Med baggrund i den danske arbejdsmiljølovgivning,
Læs mereTrådløst LAN hvordan sikrer man sig?
Trådløst LAN hvordan sikrer man sig? Trådløse acces points er blevet så billige, at enhver der har brug for en nettilsluttet computer et andet sted end ADSL modemmet står, vil vælge denne løsning. Det
Læs mereENLIG ELLER SAMLEVENDE?
ENLIG ELLER SAMLEVENDE? Vejledning til enlige forsørgere, der modtager børnetilskud eller økonomisk fripladstilskud HVAD VIL DET SIGE AT VÆRE ENLIG SOM MOD- TAGER AF BØRNETILSKUD ELLER ØKONOMISK FRIPLADSTILSKUD?
Læs mere- Er din virksomhed klar?
Ansvarlig virksomhedsadfærd i en globaliseret verden - Er din virksomhed klar? OECD s retningslinjer om ansvarlig virksomhedsadfærd Hvor begynder og slutter den enkelte virksomheds ansvar i en global virkelighed?
Læs mereHar du været udsat for en forbrydelse?
Har du været udsat for en forbrydelse? Denne pjece indeholder råd og vejledning til dig En straffesags forløb Når politiet f.eks. ved en anmeldelse har fået kendskab til, at der er begået en forbrydelse,
Læs mereForandringer og det psykiske arbejdsmiljø. Indsigt, redskaber og teknikker til AMO-medlemmerne
Forandringer og det psykiske arbejdsmiljø Indsigt, redskaber og teknikker til AMO-medlemmerne Forandringer og deres indvirkning på det psykiske arbejdsmiljø Forandringer på arbejdspladsen I dag er forandringer
Læs mere