Reportage: "Jeg er kommet for at blive klogere på APT, som er et sikkerhedområde, der betyder meget på min arbejdsplads i Rigspolitiet. Det er egentlig ikke et emne, der er direkte relateret til mit daglige arbejde, men jeg synes, det er vigtigt at følge med, når det handler om it-sikkerhed," siger Ib Sofussen fra Rigspolitiet.
Den holdning deler han med knap 100 andre it-folk, der har trodset hovedstadens morgentrafik, og er mødt op på Hotel Scandic i Sydhavnen i København for at høre om et af de mest påtrængende sikkerhedsemner i øjeblikket: Hvordan beskytter man sig mod Advanced Persistant Threat-angreb (APT-angreb).
De mange it-folk er kommet for at høre, hvad blandt andet eksperter fra Center for Cybersikkerhed/Forsvarets Efterretningstjeneste og virksomheder som KMD, Fortinet og sikkerhedsfirmaet CSIS har gjort sig af erfaringer på området.
Vedvarende angreb
"Spionage mod statslige institutioner og danske virksomheder via internettet udgør fortsat den alvorligste cybertrussel mod Danmark. Truslen er særlig alvorlig fra statslige eller statsstøttede angreb i form af såkaldte Advanced Persistent Threats."
Sådan vurderer Forsvarets Efterretningstjeneste APT-truslen i den risikovurdering, der er udsendt i 2014.
Du kan læse mere her: Forsvarets Efterretningstjeneste: Denne type it-angreb er den største trussel lige nu - otte it-advarsler fra efterretningstjenesten
Advanced Persistent Threat, eller APT-angreb, adskiller sig meget fra de traditionelle metoder, som almindelige, eller skal vi sige, traditionelle hackere benytter sig af.
Der er tale om mere planlagte og intelligente angreb baseret på en række oplysninger, som angriberen har indsamlet om en virksomhed eller om konkrete personer i en virksomhed.
Det kan eksempelvis være ved overvågning eller via sociale medier og LinkedIn, der har meget præcise beskrivelser af sine brugere.
"For få år siden mente mange, at jeg havde en sølvpapirhat på, når jeg talte om it-sikkerhed og APT. Det mener de ikke mere," siger Ebbe b. Petersen, der er chef i Center for Cybersikkerhed.
"Vi er alle et dagligt mål for it-angreb via telefoner eller Facebook. Men de målrettede APT-angreb er en særlig trussel, der går direkte efter forskningsresultater, firmakritiske data eller andre følsomme data."
Advanced Persistent Threat er primært en hovedpine for virksomheder og myndigheder, men ikke det store problem for private borgere. Derfor er det også virksomhedsfolk, der er mødt op i Sydhavnen.
Traditionelt skyder it-kriminelle med spredehagl for at ramme så mange potentielle ofre som mulig. APT-angrebet har det modsatte udgangspunkt.
Danmark er nummer 97
Disse angreb går efter bestemte mål og personer eksempelvis via spear phishing. Det kan være i form af mails til udvalgte personer i virksomheden med indhold, der relaterer sig til arbejdet vedkommende udfører.
Når angriberen har fået adgang til netværket gennem egen-tildeling af rettigheder og udrulning af malware, så handler det om at holde så lav profil som mulig for ikke at blive opdaget.
"Danmark ligger nummer 97 på en leverandørliste over de lande, der er mest truede. Vi ligger med andre ord ikke direkte i skudlinjen, men bare et angreb kan være nok til at problemerne eskalerer. Vi kender kun halvdelen af den malware, der florerer i øjeblikket, og der bliver flere og flere angreb fra regeringer og lignende. Det er den reelle trussel," siger Ebbe B. Petersen.
Sikkerhedsfirmaet Symantec vurderer, at der i gennemsnit går otte måneder fra et angreb sættes ind mod en virksomhed, til det bliver opdaget, og kampen for at fjerne problemerne kan sættes ind.
Hvad er op og ned i APT i Danmark?
KMD's koncernsikkerhedschef er en af de virksomhedsledere, der har APT inde på livet hver dag, og han følger således trusselsbilledet på nært hold.
"Vi er en af de virksomheder, der konstant er under angreb," siger Rasmus Theede, vice president i KMD's group quality and security-afdeling.
Han peger på, at APT ikke er et nyt, men et tiltagende problem.
"Det første angreb i denne kategori skete, før der er noget, der hedder internet, hvor NASA blev hacket. Men midt i 2000 begyndte det at tage fart, og det nye er, at angriberne - ikke nødvendigvis angrebene - er langt mere avancerede."
Der er dog ingen af de gængse sikkerhedskontroller, der kan lukke for APT-angreb.
"Angriberne kan ikke bare sendes i karantæne eller slettes, fordi vi har opdaget dem. De bliver ved på nye måder. Vores antivirussystemer fanger eksempelvis kun halvdelen af den malware, der rammer os. Derfor er brugeradfærd ekstremt vigtigt."
Han peger på, at det handler om at se på adfærden i virksomheden i kombination med teknologi, der skal til for at stoppe problemerne. Du skal få hjælp fra mange kanter, både teknologiske og fra kloge hjerner.
"90 procent af alle sikkerhedsproblemer sker på basis af basale problemer i netværket som eksempelvis manglende opdateringer. Få styr på det. De næste 9,9 procent er avancerede angreb, mens de sidste 0,1 procent er angreb, vi ikke kan gøre noget ved, og hvor der skal renses op," siger Rasmus Theede.
Millioner af alarmer
Statistikken viser da også, at der sker noget i kongeriget Danmark.
Center for Cybersikkerhed har op til en million sikkerhedsalarmer om ugen fra danske netværk. Langt hovedparten er dog i den knap så alvorlige ende af skalaen.
Hovedet skal således holdes koldt i dette kaos af kode.
"DDoS kan virke alvorligt for dem, der bliver ramt, men det er trivielt for os. Vi har udfordringen i de målrettede angreb, og vi er specielt nervøse for, at der opstår anarki, hvor alle kan angribe alt fra atomanlæg til forskervirksomheder," siger Ebbe B. Petersen fra Center for Cybersikkerhed .
"Når kode til eksempelvis Stuxnet bliver modificeret af almindelige kriminelle, så bliver jeg nervøs. Vi har ikke set de alvorlige angreb mod infrastruktur i Danmark, men det er en risiko, vi skal forholde os til. Hackere er de innovative 'forretningsfolk' i øjeblikket. De it-kriminelle kan deres kram."
Der er to ting, du skal huske i kampen mod udefrakommende:
Backup og log-overvågning. Ligeledes handler det om, at man skal sørge for, at det ikke bare er en eller to ting, der skal gå galt, før en hacker er igennem. Der skal flere teknologi-lag på sikkerheden.
"Det er de vigtigste værktøjer til bekæmpelse af APT-angreb," siger Ebbe B. Petersen.
"Og glem så alt om at bruge USB-nøgler. Det er usikker sex i netværket."
Hvordan får man topledelsen i tale om denne problemstilling?
"APT fylder mere og mere i firmaer og i mediebilledet. Det handler om information, men ofte kommer interessen desværre først efter, det er gået galt."
Live APT-angreb mod ...
Ifølge sikkerhedsbranchen er APT allerede noget, der sætter grå hår i hovedet på danske virksomhedsledere.
Blandt andet fordi det er svært at forstå.
"APT er ofte meget diffust, når det omtales, eksempelvis i pressen, men der helt konkret. Der er APT-aktiviteter i dansk internetrum," fortæller Peter Kruse, der er teknisk direktør i sikkerhedsfirmaet CSIS, og han eksemplificerer:
"I år er 46 danske virksomheder ramt af spear phishing-angreb, og en af hovedserverne i Stuxnet stod i Glostrup."
Peter Kruse har påtaget sig opgaven at skaffe sig adgang til ATP-infektioner i kritisk dansk infrastruktur - live.
"Det er forbudt at tage billeder, da det er en konkret virksomhed, som IP-adresserne henviser til," starter han med at sige, før han griber til tasterne.
"Det er nemt at finde sikkerhedshuller i eksempelvis SCADA-systemer, da det kun er leverandørerne, der udvikler til dem og holder øje med sikkerheden. Der er også masser af websider, der sælger 0-dagssårbarheder til disse systemer," siger Peter Kruse.
"Jeg vil gerne vise, at det ikke er tom snak," siger han, mens han taster Danmark ind som mål i sit angrebsværktøj.
Herefter henter han en oversigt over APT-sårbarheder.
Han vælger en, der er knyttet til energisektoren.
"De domæner, der bliver ringet ud til, er indgangen til energisektoren," siger han.
"De ligger i nøje udvalgte installationer," siger han.
Der er næsten 100 APT-infektioner på hans oversigt.
"Der er APT i Danmark," lyder det fra sikkerhedseksperten.
Læs også:
Advarsel til danske CIO'er: Her er de vigtigste sikkerheds-issues i 2015
It-chefer skal slå i bordet med det samme: It-sikkerhed er også bestyrelsens problem