SAVE SAVE (Social Engineering and Vulnerability Assessment Framework) var et projekt, der skulle påvise, at Social Engineering er en trussel for den kritiske infrastruktur i Danmark og samtidig komme med anbefalinger til, hvordan man håndterer risikoen. DBI udførte projektet i samarbejde med GTS-instituttet Alexandra Instituttet, der arbejder med IT-teknologi og -forskning. Resultaterne fra projektet blev fremlagt på to workshops i begyndelsen af 2016 under stor bevågenhed fra både danske og internationale interessenter. Brand & Sikring Det eneste, man kan » gøre, er at undervise i det og gøre det klart, hvor stor skade selv en lille handling kan have. Christian W. Probst, lektor, DTU Compute hedens styringsnetværk, hvilket førte til ødelæggelse af virksomhedens maskiner, beretter Christian W. Probst. Et andet eksempel på phishing så vi tidligere på året, hvor flere virksomheder modtog mails fra det, der så ud til at komme fra deres direktør, der bad om en omgående pengeoverførsel til et kontonummer. SMSer er specielt vellykkede Konsekvenserne ved et vellykket angreb kan altså være store, og derfor er det ekstra relevant at tage resultaterne fra SAVE-projektet alvorligt. - Vi udarbejdede et rammeværk for angrebene baseret på vores viden om, hvordan angreb finder sted. Vi researchede virksomhederne, bl.a. på deres hjemmeside og de semiåbne sider, der ikke dukker op i søgemaskiner, men er tilgængelige, hvis man ved, hvad man leder efter. Ved research kan man finde ud af, hvilke systemer virksomhederne bruger og identificere de medarbejdere, der har adgang til systemet, så man ved, hvem man skal angribe, forklarer Dennis Hansen, der er Open Source Intelligence (OSINT)-konsulent hos DBI og DBI’s ansvarlige for projektet. Derefter fulgte seks forskellige typer angreb. Bl.a. spoofede emails, som umiddelbart ser ud til at komme fra en kollega fra virksomheden, men som består af links eller PDF-filer, der indeholder malware. Eller rettere kunne indeholde malware, for i realiteten blev det blot registreret, om linket eller PDF-filen blev åbnet. - 47% af alle angrebene gik igennem. Det siger en hel del. Og af i alt 185 angreb blev kun syv indberettet til virksomhedernes IT-afdelinger, nærmeste chef eller andre i virksomhederne. Det er ikke meget. Specielt smishing (dvs. spoofede SMSer, der ser ud, som om de kommer fra en, man allerede har en SMS-samtale med) havde en høj succesrate. Selv folk, der var informeret om, at de ville blive angrebet, faldt i, fortæller Dennis Hansen. - Det er svært at sige præcist, hvor gode de danske virksomheder er til at gardere sig imod denne type angreb, og hvor mange der reelt finder sted. Men overordnet er jeg overrasket over, hvor mange angreb der lykkedes, og hvor let det var at komme igennem selv i virksomheder, der håndterer kritisk infrastruktur, siger Jonas Lindstrøm, der er cryptography engineer hos Alexandra Instituttet og ligeledes deltog i SAVE-projektet. Eneste sikring er bevidsthed Projektet er afsluttet, men rammeværket for at simulere angreb har bestemt ikke udtjent sin rolle. Det danner nu udgangspunkt for den service, som DBI udbyder til virksomheder, der ønsker at sikre sig bedre mod Social Engineeringangreb. Ydelsen består grundlæggende af to ting: træning af med- » IT-kriminalitet er den eneste form for kriminalitet, der er stigende. Jonas Lindstrøm, cryptography engineer, Alexandra Instituttet arbejdernes bevidsthed om Social Engineering og simulerede angreb. - Undervisningen fokuserer på, hvordan man begår sig sikkert, hvad man som medarbejder skal holde øje med, og hvad man skal gøre, hvis der sker en hændelse. Angrebene simuleres og viser, hvor der er huller i sikkerheden. Samtidig er servicen skalérbar i forhold til virksomhedens behov for sikring, fortæller Dennis Hansen. Og netop den type awarenesstiltag er det eneste effektive virkemiddel mod Social Engineering. - Målet med Social Engineering er ofte tyveri af data eller regulært tyveri. Og det er vanskeligt at beskytte sig mod det. Det eneste, man kan gøre, er at undervise i det og gøre det klart, hvor stor skade selv en lille handling kan have, siger Christian W. Probst. Enhver virksomhed, der er ældre end fem år, har prøvet at blive angrebet, og udfordringen vil kun vokse i fremtiden. - Mere og mere kommer på internettet i dag, og det giver flere muligheder for angreb. Selvom kriminaliteten i Danmark generelt er faldende, er IT-kriminalitet voldsomt stigende, siger Jonas Lind- •strøm. 29
Download PDF fil
Se arkivet med udgivelser af Brand & Sikring her