Av Erik Stol Øyan
Dette er det de fleste virksomheter merker når en trusselaktør starter et cyberangrep: ingenting.
I cybersikkerhet er det noe som kalles for “dwell time”, også forstått som tiden en trusselaktør bruker på å sondere og kartlegge en virksomhet før de utnytter sårbarheter til å oppnå målene sine. Denne tiden varierer basert på mange faktorer, slik som målene til trusselaktøren, hvor sofistikert trusselaktøren er, og hvor god virksomhetens overvåkning er.
For 8-9 år siden kunne trusselaktører bruke månedsvis inne i infrastrukturen til en virksomhet før de slo til, men dette ser nå ut til å være i ferd med å endre seg. En CrowdStrike-rapport fra 2019 viser at den gjennomsnittlige tiden trusselaktører brukte på kartlegging var om lag 60 dager, mens rapporten året etter viste rundt 30 dager. Bedre overvåkningsløsninger, men også mer sofistikerte trusselaktører, bidrar til å redusere dette antallet dager.
Det er eksempler på slike hendelser også i Norge. I desember i fjor opplevde Norgeshus akkurat dette, da de ble utsatt for et cyberangrep. Undersøkelsene i etterkant viste at to trusselaktører hadde vært inne i infrastrukturen deres, der den ene hadde brukt en måneds tid på å forberede angrepet, før den andre trusselaktøren begynte å kryptere filer.
Først av alt: kudos til Norgeshus for å dele informasjon om angrepet. Delingskultur er viktig for å få en enda bedre forståelse av trusselbildet vi står ovenfor.
Hva bør du og din virksomhet gjøre?
Nummer 1: bygg motstandsdyktighet gjennom å ha tilstrekkelig med sikkerhetstiltak på plass: vit hva du har og hvordan du beskytter det. NSM sine grunnprinsipper er et meget godt sted å starte.
Nummer 2: ha en plan for hva du gjør om du skulle bli utsatt for et angrep. Ofte kan dette være veldig utfordrende å håndtere selv, men ved å for eksempel gjennomføre øvelser og utarbeide planer for hvem som gjør hva, hvor, når og hvordan ved et cyberangrep, er en god start.
留言