It-sikkerhedsvirksomheden Dubex har et cyber defence center, som overvåger kundernes data og tjekker for små og store angreb. Centret er døgnbemandet, og de 40 cyber security analytikere arbejder i treholdsskift. Foto: Dubex
En historie om et fiskeakvarie og et kasino i Las Vegas.
Her starter Danni Bach Pedersen, når han skal forklare, hvor stor en cybertrussel vi står overfor i dag.
Akvariet med fisk var nemlig en gruppe ondsindede hackeres vej ind, da de startede et cyberangreb mod kasinoet i Las Vegas i 2017.
Fiskeakvariet havde forskellige sensorer, der kunne måle og regulere alt fra vandets temperatur til fiskenes foder, og sensorerne var koblet på internettet – altså en IoT-løsning, der kunne styres på afstand.
Da hackerne ville ind og stjæle data, tog de en genvej og gik ind gennem akvariet og sensorerne, og herfra havde de nem adgang til resten af kasinoets netværk.
Når vi skal beskytte vores kunder, kigger vi ikke kun på, om de har en stor server, der kan blive angrebet.
Historien om akvariet i den selvlysende, amerikanske by er ifølge Danni Bach Pedersen et godt billede på, at hackerne i dag kan angribe både virksomheder og private folk fra alle leder og kanter – og at de kriminelle bliver mere og mere snu i deres metoder.
- Så når vi skal beskytte vores kunder, kigger vi ikke kun på, om de har en stor server, der kan blive angrebet. Vi har også fokus på alt det udenom, siger Danni Bach Pedersen.
Han arbejder i it-sikkerhedsvirksomheden Dubex, hvor han står i spidsen for deres cyber defence center.
Centret overvåger kundernes logdata, og hvis der er noget, som ser mistænkelig ud, tjekker folkene i centret, om der er et hackerangreb i gang. Hvis pilen peger på et angreb, sender de en alarm til kunden og sætter gang i en redningsaktion.
1.500 alarmer i døgnet
Cyber defence centret får fem milliarder logs ind fra kunderne i døgnet – og hver dag er der omkring 1.500 alarmer, som indikerer et stort eller lille angreb.
Hackerne sover aldrig, så derfor er centret bemandet 24/7. Dubex har omkring 40 cyber security analytikere i centret, og Simon Koldkur Nielsen er en af dem.
Han er uddannet i it-sikkerhed på KEA og startede hos Dubex for godt to år siden.
Simon Koldkur Nielsen er både med til at overvåge kundernes data og alarmere om eventuelle angreb, men han sidder også og udvikler de metoder og use cases, som afgør, hvordan den tekniske overvågning af de mange logs, Dubex får i hænderne hver eneste dag, skal fungere.
- Jeg laver for eksempel små scripting-opgaver, der kan automatisere ting. Primært er jeg med til at definere angrebstyper, og hvordan vi kan opdage dem, siger han.
Primært er jeg med til at definere angrebstyper, og hvordan vi kan opdage dem.
Dubex bruger også såkaldt threat intel fra alle mulige andre sikkerhedsfirmaer rundt i verden, forklarer Danni Bach Pedersen.
- Og så laver vi også manuel threat hunting. Det vil sige, at vi hver anden time kigger alle logs igennem og ser, om der er et eller andet, som systemerne ikke trigger på, fordi vi ikke har set det før, men som ser mærkeligt ud. Altså en zero day-alarm.
For tre år siden resulterede det arbejde i, at Dubex fandt en alvorlig sårbarhed i Microsoft Exchange. En kinesisk spionagegruppe havde fingrene nede i en server, men det blev altså opdaget af Dubex, og efterfølgende sendte Microsoft en opdatering på gaden for at få kineserne ud af systemet igen.
Simon Koldkur Nielsen er uddannet i it-sikkerhed på KEA og har arbejdet hos Dubex i Søborg i godt to år. Foto: Dubex
Pludselig eksploderer alting
Simon Koldkur Nielsens vej ind i it-sikkerhed var en generel interesse i it. Han har altid gamet og leget med tech-ting, han kunne skille ad og samle igen, men da han kastede sig over cyber-delen, fandt han hurtigt ud af, at det var her, hans store passion for alvor lå.
- Jeg syntes, at det var virkelig sjovt, da jeg begyndte at lære at hacke lidt, og det var også virkelig spændende at lære, hvordan computeren snakker ud til internettet og får data tilbage, siger Simon Koldkur Nielsen.
- Og så er det fedt, at it-sikkerhed er så praktisk. Du skal ikke bare sidde og lære en eller anden teori. Du bruger alle de ting, du har lært, konstant i din hverdag.
Hvad er en ekstra sjov dag på kontoret for dig?
- For os er det sjovt, når der sker noget slemt. Det er selvfølgelig ikke særlig sjovt for kunderne, men det er fedt for os, når vi finder et angreb, hvor vi i starten måske tænker, at det ikke rigtig er noget – men så undersøger det og finder ud af, at det faktisk er rigtig, rigtig slemt.
Nogle gange kan det starte stille og roligt, men så kan vi finde ud af, at det er ret farligt.
Et eksempel kunne være, at en bruger besøger en hjemmeside, som egentlig ikke ser så farlig ud til en start, fortæller Simon Koldkur Nielsen. Bagefter kan han og kollegerne se, at maskinen begynder at downloade nogle filer og installerer alt muligt, som gør, at maskinen pludselig snakker til en farlig internetside.
- Vi reagerer ud fra den undersøgelse, vi laver, og er der underlig adfærd, indikationer eller decideret forbindelser mod en kendt command and control server, så ved vi, at det er noget rigtig skidt i gang, siger Simon Koldkur Nielsen
- Nogle gange kan det starte stille og roligt, men så kan vi finde ud af, at det er ret farligt, og lige pludselig eksploderer det bare – og det er fedt, at man kan være med til at finde de her ting.
Dubex' cyber defense center får hver dag fem milliarder logs fra kunderne, og centret håndterer omkring 1.500 alarmer i døgnet. Foto: Dubex
Den helt store knap
Dubex har lavet it-sikkerhed siden 1997, og i dag har virksomheden en lang række produkter på hylden. Der er eksempelvis overvågning og alarmering i cyber defence centret, en anden gruppe laver pentesting og simulerer angreb med red team-kasketten på, og et tredje hold står for hele compliance-delen.
Derudover har Dubex også et incident response team, fortæller Danni Bach Pedersen. Det er dem, der stiller op, hvis der bliver trykket på den helt store knap, og et alvorligt angreb er i gang.
- Det er Superman, Batman og Catwoman, der kommer løbende. Det kan være, at der er brug for, at vi stiller med 20 mand, og så gør vi det, men det kan også være, at det blot er to mand, der er nødvendigt.
Hvor ofte trykker I på den store knap?
- Det gør vi hver uge.
Det er langt fra alle alarmer, der udløser et tryk på den store knap. Størstedelen bliver håndteret af de 40 analytikere i cyber defence centret, som er med til at sikre, at en lille hændelse ikke vokser sig stor.
Fire sæt menneskeøjne
Cyber-folkene arbejder i Dubex’ SIEM-system (security information and management-system, red.), som via machine learning hjælper med at overvåge og analysere de mange milliarder logdata, der kommer ind hver dag.
Systemet har indbygget alle de use cases, som Simon Koldkur Nielsen og kollegerne har udviklet, og når noget trigger, og systemet finder noget mistænkeligt, kommer det første sæt menneskeøjne på sagen.
Her tjekker analytikeren, hvad der er foregået, og hvorfor systemet har reageret. Hvis han eller hun kan se, at der godt kunne gemme sig noget alvorligt, bliver der hevet fat i en kollega. Der skal nemlig altid være to sæt menneskeøjne på en hændelse, før der bliver slået alarm, og kunden får besked.
Tredje gang på en dag, man automatisk lukker CEO’en ude, fordi han har tastet sit password forkert, så bliver han altså sur.
Alle 1.500 alarmer, som Dubex undersøger hver eneste dag, bliver altså håndteret manuelt, understreger Danni Bach Pedersen. I dag er der flere og flere af alarmerne, der efterfølgende kan fikses helt automatisk – og det kan være en kæmpe styrke, fordi responstiden på den måde bliver barberet helt ned.
- Det er noget, kunderne efterspørger mere og mere – men man skal virkelig have styr på sine ting, for tredje gang på en dag, man automatisk lukker CEO’en ude, fordi han har tastet sit password forkert, så bliver han altså sur. Så det kan også være lidt farligt, hvis man automatiserer alting.
Danni Bach Pedersen har arbejdet med sikkerhed i en lang årrække – bl.a. hos Politiet, Forsvaret, KPMG og PFA – inden han startede hos Dubex sidste år. Foto: Dubex
Aldrig 100 pct. sikker
Selvom Danni Bach Pedersen, Simon Koldkur Nielsen og de andre Dubex-folk hver dag sidder og hjælper deres kunder med at afværge hackerangreb, ved de godt, at der i deres branche ikke findes nogen garantier.
Intet kan nogensinde blive 100 pct. sikkert – ikke engang et fiskeakvarie i et kasino i Las Vegas – og er det egentlig ikke lidt irriterende?
- Det er vigtigt at blive så sikker som muligt, men man skal også acceptere, at man aldrig bliver 100 pct. sikker, og derfor skal man se på at lave mest mulig beskyttelse for de penge, der er til rådighed. Det er yderst sjældent, at der er ubegrænset penge til sikkerhed, så best value for money er den model, jeg ville gå efter, siger Danni Bach Pedersen.
- Det er vigtigt, at vi fokuserer på at begrænse angrebene så meget som muligt, men vi skal også stadig have vores frihed. Vi skal have den der freedom of movement både i vores arbejde og i vores privatliv.
Bliver man ekstra bekymret, når man ser så mange angreb hver eneste dag?
- Jeg ville nok være mere bekymret, hvis jeg ikke arbejdede med it-sikkerhed. For selvom der sker en masse ting, så sidder vi også et sted, hvor vi rent faktisk gør noget, og det giver også håb.
- Vi ved, at vi er med til at gøre tingene bedre – og det at kunne gøre noget er sjovere end at sidde udenfor og bare være nervøs, siger Danni Bach Pedersen.
Hver dag møder Simon Koldkur Nielsen og kollegerne et hav af angreb – men hvordan ser de typisk ud?
Eksempel 1: Kommandoer i rækkefølge
Vi har lavet en use case, der går på, at hvis der bliver observeret nogle kommandoer i en bestemt rækkefølge efter hinanden, er det mistænkeligt.
Det kan eksempelvis være en kommando, som kan se ens firewall-indstillinger, en hvor man kan give sig selv administratorrettigheder, og en hvor man kan kopiere passwords fra en fil, som er krypteret.
De er måske ikke så mistænkelige i sig selv og hver for sig, men når de alle sammen kommer i rækkefølger, begynder det at blive mistænkeligt.
Eksempel 2: Password spraying attack
En anden use case reagerer, når der er en masse logins på den samme maskine, hvor der er fejlet med det samme brugerlogin. Det kunne tyde på, at der var nogen, som var kommet ind på den her maskine.
I et eksempel har der været 222 loginforsøg på hver bruger, og det indikerer noget, der hedder password spraying attack. Det er, hvor man prøver det samme kodeord på alle brugere i organisationen.
Det kunne for eksempel være Sommer2022. Det er et meget klassisk kodeord, så hackerne prøver det på alle brugere for at se, om der er nogen, der ikke har fået skiftet deres password.
Eksempel 3: Credential dumping
En tredje use case handler om credential dumping. Det handler om, at der på en maskine ligger en masse credentials, som er krypteret – og dem kan man faktisk hive ud, hvis man bruger de rigtige værktøjer.
I et eksempel er det brugt et værktøj, der hedder Mimikatz. Det er et hack tool, hvor man så kan hive alle de her passwords ud fra maskinen. Og så kan man offline sidde og prøve at fjerne krypteringen fra dem, så man kan få det rigtige password.