Forensic

Sikkerhetsetterforskning etter dataangrep

Enten du er under angrep eller har blitt angrepet av cyberkriminelle, så er en av de viktigste tiltakene du kan gjøre å finne ut hva som har skjedd.
Hvis du klarer å finne ut hvordan angriperne har kommet inn på nettverket ditt, tatt over brukerkontoene dine, eller tatt ned en av dine servere vil du kunne hindre at det skjer igjen.

I et dataangrep er du også pliktig å rapportere eventuelle stjålne eller eksponert sensitiv data. Dette kan være svært utfordrende uten en partner for ikt sikkerhet.
I verste fall må du også hente ut sikre bevis i en eventuell forsikringssak eller rettsak i etterkant.

3 steg ved sikkerhetsbrudd

  • 1. Innhente informasjon

    Vi begynner med å samle informasjon fra server, nettverk og mobilenheter avhengig av hendelsen så mye som mulig. Hente ut forensic data. Klone bilder, nettverkslogg, logg fra datamaskiner. Finne bevis.

  • 2. Analysere data

    Gjennomgang av alle loggene og analyserer data. Vi prøver å validere og finne ut av problemet. Eksempel ved serverrelaterte problemer så sjekker vi alle hendelser, innlogg og mislykkede pålogginger. Ved kompliserte hendelser bruker vi flere ulike verktøy for å prosessere data først og deretter kvalitetsikres dette med en manuell gjennomgang ved slutten av funnene. Da får vi et mer helhetlig bilde av hendelsen.

  • 3. Rapportering

    Du får en rapport med løsninger slik at dette ikke skjer igjen. Dere får også vite hvor stor innvirkning det har vært, og hvordan bedriften din kommer seg etterpå. Den endelige forensic rapporten vil inneholde metode for angrep, hvordan angriperne potensielt har kommet seg inn og rammet din bedrift, hvem de potensielle aktørene er og anbefalinger for å hindre tilsvarende angrep igjen.

Hva kan være årsaken bak sikkerhetsbruddet?

Ransomware

Alle dine filer på arbeidsstasjonen eller servere har blitt kryptert og dine data er låst inntil du betaler en vanligvis stor sum penger. Du er derimot ikke garantert å få filene dine tilbake og vil ikke være sikret mot å bli angrepet på nytt.

Insider i bedriften

En ansatt kan med viten eller uhell ha lekket bedriftssensitiv informasjon til de kriminelle. Det kan være så enkelt som et klikk på en skadelig lenke i en epost eller en nettside som lurer en bruker til å gi fra seg sin brukerinformasjon. I enkelte tilfeller kan det også være en misfornøyd ansatt eller tidligere ansatt som fortsatt har tilgang til bedriftens systemer, som med viten har gitt angripere tilgang. Cyberon vil forsøke å innhente så mye informasjon som mulig for å avdekke årsaken til hendelsen, og deretter fremlegge bevisene for eventuelle videre rettslige skritt.

Cryptojacking

Overtakelse av din datamaskin med hensikt å utvinne digital valuta. Forekommer oftest i de organisasjoner med fravær av sikkerhetsrutiner og overvåking. Ansatte som ikke har begrenset tilgang og surfer på nettet kan treffe på usikre sider eller laste ned data som gir de kriminelle tilgang. Du merker ikke stort på din PC annet enn litt tregere ytelse hvis du er oppmerksom. Dette kan være tegn på at datamaskinen din blir brukt som et verktøy av kriminelle. Cryptojacking kan også utvikle seg til ransomware hvis de kriminelle anser din bedrift som et lukrativt mål.

Sikkerhetskultur

Angripere utnytter mangel på sikkerhetskultur i bedriften og kan med letthet benytte metoder som phishing, hvor de sender ut eposter med formål å lure intetanende brukere til å gi fra seg sine brukerdetaljer eller laste ned skadelig kode. Snakk med oss om cyber security awareness training for din bedrift.

Hør mer om cyber-etterforskning i on demand webinaret:
På innsiden av kriminelle organisasjoner