Artikel top billede

Sådan gør du når netværket står i flammer

Her kan du se, hvordan du skal forholde dig, hvis hackere slår kløerne i dit netværk.

Mareridtet for enhver it-chef er at miste kontrollen over netværket.

Løsningen er at forberede sig med en slagplan, der sætter en solid defensiv i spil, hvis hackerne går på opdagelse i dine data.

Her er en sikkerhedseksperts bedste råd til at slukke ilden, hvis lokummet for alvor brænder.

Har man mistanke om, at man er under et angreb fra hackere, er det væsentligste at identificere, om der er tale om et sikkerhedsmæssigt problem, eller det blot er ufarlige uregelmæssigheder eller driftsforstyrrelser på netværket.

En disciplin, som kræver daglig opmærksomhed.

"I mange virksomheder vil det være gefühl med netværket, der afslører problemer, og det er ret vigtigt, at man tager driftsændringer alvorligt. Jeg har flere gange været ude hos firmaer, hvor det er gået galt, og de efterfølgende fortæller, at der for to måneder siden var nogle uregelmæssigheder, som man ikke gjorde noget ved," fortæller sikkerhedsekspert Johan Møller, der slukker netværksbrænde for firmaet CSIS.

Når du ikke forstår det

Mistanken om, at der er noget galt, kan opstå på mange måder, men kan karakteriseres som hændelser, der ikke kan forklares ud fra et almindeligt driftsbillede.

Et meget sløvt netværk, unormale log-filer eller store mængder udgående internet-trafik er almindelige faretegn.

Hvis man ikke kan udelukke et angreb, skal man indsnævre, hvad der præcis er gang i. Er det en virus, eller er der et aktivt angreb i gang?

Det næste skridt i handlingsplanen er at stoppe skaden, så det ikke bliver værre.

"Fremgangsmåden minder til forveksling om den almindelige førstehjælp, man giver ved personskader eller ulykker," fortæller Johan Møller.

"Når man har set, at der er sket en ulykke, finder man ud af, hvor mange der er kommet til skade og sørger for, at ulykken ikke forværres."

Én naturlig menneskelig reaktion ved et hacker-angreb skal man dog se bort fra.

"Tidligere var det en regel, at man slukkede for de ramte maskiner, men det skal man ikke gøre, hvis man vil efterforske angriberne," lyder rådet fra Johan Møller.

I forhold til en efterforskning bør man nemlig bevare miljø og data så intakte som muligt.

"I stedet for at slukke skal man isolere de inficerede maskiner fra den øvrige del af netværket for at undgå, at smitten breder sig."

Dette skal du endelig huske

Herefter skal man samle data fra maskinerne, så man kan følge bevægelserne gennem netværket.

En efterforskning vil forløbe langt lettere, hvis man har informationer fra den levende maskine, eksempelvis over hvilke netværksforbindelser, der er åbne, og hvilke programmer, der var aktive.

"Hvis man har forberedt sig grundigt, har man et program, der kan gemme indholdet af hukommelsen fra maskinen, så man kan se, hvad der sker på maskinen, mens den kører," fortæller han.

Ved at gemme de ting, hukommelsen arbejdede med kan man tegne et ret tydeligt billede af computeren, hvilket er et af de vigtigste værktøjer i en efterforskning, siger Johan Møller. 
 
Beviser fra harddisken
Det sidste skridt er at sikre sig beviser fra harddisken ved at lave et såkaldt image af diskens systempartition.

Det er dog ikke altid nødvendigt at køre hele beredskabsplanen igennem.

"Det er tidskrævende opgaver, og man er nødt til at tage stilling til, hvor mange kræfter man vil lægge i arbejdet i det enkelte tilfælde," siger Johan Møller.

"Hvis der er tale om vigtige data, og hvis man ønsker en efterforskning, er der ingen vej uden om."

Når efterforskningsgrundlaget er dokumenteret, kan man så gå i gang med genopbygningen af netværket.

"I nogle tilfælde kan det være nok at køre et opdateret antivirusprogram for at fjerne problemerne, men hvis der har været alvorlige hændelser, vil det ofte være nødvendigt at finde et backup-bånd fra en periode, hvor der ikke var problemer," siger han.

Sidste trin er at få netværket tilbage i normaldrift, hvilket er meget virksomhedsspecifikt.
 
Det er knap så stor en arbejdsbyrde i et mindre tømmerfirma i modsætning til en farmaceutisk virksomhed, hvor der er en hel stribe procedurer, som skal følges.

Sådan inddrager du politi og eksperter

Behovet for eksperthjælp eller politianmeldelser afhænger naturligvis af problemets art, men en tommelfingerregel er, at jo før jo bedre.

"Når du er i en situation, hvor dine it-folk føler sig ude på dybt vand, så er det ved at være tid til at få ekstern assistance," siger Johan Møller.

Hvis man har en formodning om, at der kan komme et retsligt efterspil, så er der heller ingen vej uden om politiet.

"Kan man se, at det er en medarbejder, der laver sabotage mod firmaets netværk, gælder det om at få politiet ind så hurtigt som mulig," siger Johan Møller.

Hvis der efterfølgende skal analyseres på et indbrud, kræver det i langt de fleste tilfælde også eksperter til at klare den opgave.

Der er eksempelvis nogle formelle krav til, hvordan man behandler materiale, hvis det skal bruges i en retssag. Krav, som de færreste almindelige it-folk har stiftet bekendtskab med.

Undgå problemerne

Man skal naturligvis altid være på forkant med sikkerhedsproblemerne, og det kræver faktisk ikke de store udgifter.

Langt de fleste virksomheder er ifølge Johan Møller fint dækket ind med et opdateret antivirus-program og en firewall. Han opfordrer dog til, at man sætter sig ind i, hvordan programmerne virker.

"Mange ignorerer alarmer fra antivirussystemet af uvidenhed eller manglende opmærksomhed. Man skal aktivt bruge systemerne til at holde øje med sikkerheden," siger han.

Et helt andet og banalt råd fra eksperten lyder på, at man ikke må slå tingene hen.

"Hvis der er uregelmæssigheder i netværket, er der en grund til det. Det kan være, at det ikke er farligt, men det ved du først, når du har fundet ud af hvad, som er hændt."




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere