Af Rasmus Elm Rasmussen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
I efteråret blev Alt om DATA og magasinets webserver ramt af et angreb. Hackere udnyttede en svaghed i Alt om DATAs website – i de WordPress-baserede plugins.
Det havde flere konsekvenser, og en af sideeffekterne var, at moderselskabets domænenavn blev sortlistet hos en række af de nettjenester, der registrerer spamaktiviteter, og som mailudbydere trækker viden fra. Mails fra Alt om DATAs moderselskab, Audio Media, blev derfor afvist, inden de nåede frem til modtageren, eller mails udefra kom aldrig igennem til Audio Media. Nu er angrebet neutraliseret, hacker-koderne fjernet, og Alt om DATA er lagt over på en helt ny webserver hos Netgroup.
[irp]
I dette sidste kapitel af fire taler vi med Netgroups administrerende direktør Finn Vagner for at se angrebet i et større perspektiv – som en del af en generel skærpet sikkerhedssituation for virksomhederne i dag.
Netgroup beskriver sig selv som leverandør af de bedste, sikreste og mest stabile hosting- og driftsløsninger på markedet. Og netop drift af webserver og tilhørende tjenester er det kritiske punkt for mange danske virksomheder. Det kan blive meget dyrt for en webshop at være ude af drift bare nogle timer, men også for andre virksomheder – som det skete for Audio Media – kan alvorlige driftsforstyrrelser få ubehagelige konsekvenser.
Mærsk-angrebet ændrede alt
Ifølge Finn Vagner er det ikke kun antallet af angreb mod virksomheders it-infrastruktur, der er i stigning.
”Angrebene er blevet meget mere komplekse, end de tidligere var. De it-kriminelle er blevet dygtigere til at snige koder ind, så de ikke bliver opdaget. Det er vigtigere end nogensinde med en proaktiv strategi. Fra uønskede koder kommer ind, til de bliver opdaget, går der i gennemsnit 200 dage,” fortæller han.
Derfor fortæller vi denne historie
I de senere år har vi set spektakulære og voldsomt kostbare hackerangreb på store virksomheder – herunder en mastodont som rederivirksomheden A.P. Møller - Mærsk. I efteråret var det så mediehuset Audio Media, der kom til at opleve, hvor kritisk sikkerhedssituationen er blevet på nettet.
Vi har valgt at fortælle historien om det voldsomme angreb på vores webserver, og hvilke konsekvenser det fik, fordi vi mener, at åbenhed er det stærkeste våben mod de kriminelle kræfter, der hvert sekund året rundt forsøger at undergrave den centrale infrastruktur, som nettet har udviklet sig til at blive. Og fordi, det er vores opfattelse, at der er masser af lærdom i netop den kritiske situation, som Alt om DATA og audio.dk endte i – og kom velbeholdent ud af.
”Vi har i mange år ikke haft fokus nok på sikkerhed. Vi har gået for stille med det. Men efter ransomware-angrebet på Mærsk-koncernen og andre virksomheder sidste år blev det pludselig meget nemmere at tale sikkerhed med vores kunder. Den slags angreb har der været mange af i udlandet. Men vi skulle opleve et stort angreb i Danmark, før vi herhjemme tog situationen alvorligt. Derfor er jeg glad for, at Audio Media har været så åbne om det angreb, som denne virksomhed har været udsat for,” siger Finn Vagner.
[irp]
Men hvad kan man lære af de angreb, man har set de seneste år?
”Vi kan sørge for at holde operativsystemet opdateret. Men vi holder også applikationslaget opdateret for mange af vores kunder. Og det er kritisk. Vi kan for eksempel sørge for at holde en WordPress-løsning opdateret, så der ikke er svagheder i plugins, som hackere kan udnytte – sådan som det skete med Alt om DATA,” svarer Finn Vagner.
[irp]
”Når der kommer opdateringer, som lukker sikkerhedshuller, er det vigtigt at få dem implementeret med det samme. På nettet kan man læse, hvilke sikkerhedshuller der er blevet fjernet, men det kan hackerne også, så de leder efter de steder, hvor man endnu ikke har fået opdateret.”
Ifølge adm. direktør Finn Vagner, Netgroup, vil flere kunder fremover købe ind på proaktiv logning, der er et godt våben til at afsløre hackere.Logning kan være proaktiv
Et andet stærkt våben mod de it-kriminelle er logning – dvs. registrering af hændelser på server-, applikations- og netværksniveau. Netgroup kan logge alt, hvad der sker – det kalder man en reaktiv log. Men fremover vil man ifølge Finn Vagner se endnu mere til en anden type logning, den proaktive log, hvor man analyserer hændelserne for på den måde at fange angreb, inden de når at gøre skade.
Abonnenterne blev ikke ramt
Alt om DATAs abonnenter blev ikke påvirket af hackerangrebet. Ingen data blev kompromitteret, ødelagt eller videresendt. Årsagen er, at abonnentdatabasen er helt adskilt fra webserveren, også i fysisk forstand. Den administreres af en selvstændig virksomhed, som er specialiseret i abonnementshåndtering. Dette firma har intet databasefællesskab med hverken Audio Medias hostingselskab eller med Audio Media selv.
”SIEM, der står for security information and event management, er vores proaktive logning, hvor vi sammen med en ekstern partner kigger på forskellige mønstre i de hændelser, vi registrerer, og løbende sammenligner dem med normalmønstre. Hele denne proces er automatiseret – den foregår ved at give forskellige hændelser forskellige scorer – og på den måde kan vi hjælpe kunderne med at fange og stoppe angreb på et langt tidligere stadium end ellers,” forklarer Finn Vagner.
[irp]
SIEM er et godt redskab i det ”våbenkapløb”, der hele tiden foregår mellem sikkerhedsfolk og it-kriminelle. Ifølge Finn Vagner vil flere kunder fremover købe ind på SIEM, selvom det er en dyrere løsning end en reaktiv log.
”Der er rigtig mange penge i omløb blandt de it-kriminelle,” siger Finn Vagner.
Hos Audio Media handlede det om at trække virksomhedens server ind i et botnet med den hensigt at ”mine” kryptovaluta eller at bruge serveren som en del af et større angreb.
”Vi ser en del DDoS-angreb (distributed denial-of-service attack, red.), hvor hackerne fjerner en server fra nettet i en periode. Det kan være for at vaske penge hvide. Kursen på virksomheden falder måske som følge af angrebet. Mafiafolkene bag angrebet køber op i aktien og sælger så igen til en højere kurs, når virksomhedens drift på ny er normaliseret,” forklarer Finn Vagner, der vurderer, at det er nemmere end nogensinde at gennemføre sådan et angreb.
[irp]
”It-kriminalitet kan i dag købes som en service nærmest, som var det enhver anden form for ydelse. Forbryderne betaler for eksempelvis kreditkortoplysninger med deres eget kreditkort. De kriminelle organisationer bag har endda en økonomiafdeling og en supportafdeling. Den sidste kan du kontakte, hvis du ikke er tilfreds med hele ydelsen og måske få refunderet noget af din betaling. Så professionaliseret er det blevet.”
”Vi kommer alle utvivlsomt til at bruge flere penge på at beskytte os fremover,” slår Finn Vagner fast.
En fortælling i fire dele
Vi fortæller historien i fire kapitler. I kapitel 1 i Alt om DATA nr. 5 beskrev vi, hvordan en uopdaget svaghed i et plugin i Alt om DATAs WordPress-kode førte til et alvorligt og overraskende angreb på websitet – et angreb, der pludselig viste sig også at få konsekvenser for mailsystemet.
I Alt om DATA nr. 7 bragte vi kapitel 2, hvor vi fortalte historien om, hvordan det lykkedes at stoppe angrebet – og forklarede, hvordan et sådan angreb overhovedet kan slippe ind gennem WordPress.
I kapitel 3 fra Alt om DATA nr. 9 fokuserede vi på genetableringen af webserveren og sitet.
Her bringer vi den sidste artikel i serien. I et interview med hostingselskabet Netgroup sætter vi fokus på sikkerhedsberedskab og ser på angrebet i lyset af den almindelige sikkerhedssituation i danske virksomheder.