Så kan skadan minimeras vid en phishing-incident

Alla organisationer måste vara beredda på att cyberkriminella då och då kommer att lyckas lura anställda till att göra misstag. Vilken konsekvens misstaget leder till beror naturligtvis på en rad olika saker som exempelvis attacktyp, vilken behörighet den drabbade har och tiden från detektion till mitigering.

I den här artikeln kommer vi titta vi närmare på hur skadan kan minimeras i händelse av att en anställd har lurats av ett phishing-mail.

Isolera den infekterade klienten

Om en angripare lyckats lura en anställd och det finns en misstanke om att skadlig kod har installerats på klienten, så behöver den isoleras från andra klienter genom att den placeras på ett eget nätsegment, alternativt tas offline. Det görs för att undvika att den skadliga koden sprids vidare till andra enheter inom organisationen och att konsekvenserna blir större.

Det är främst när det är fråga om ransomware, där enheten låses och filer krypteras, som det är viktigt att snabbt koppla bort klienten från nätverket för att förhindra att command-and-control-servrar inte hinner kommunicera med den infekterade enheten. Det skulle i så fall kunna förhindra att filer krypteras.

Det man dock bör ha i åtanke när det gäller isolering av klienten, är att det finns en risk att ett sådant agerande försvårar incidentutredningen, men också att en sofistikerad angripare förstår att någon är de på spåren och att de då försöker dölja sina spår.

Dra nytta av loggning och övervakning

En förutsättning för att kunna göra en ordentlig utredning av en eventuell incident är loggning och larm från system och infrastruktur. På så vis går det få trafikinformation gällande vem som har talat med vem. Det går också att skapa sig en tidslinje för att se när olika saker har inträffat.

Genom att titta på indicators of compromise, IP-adresser, hostnamn, filhashar, användarbeteende med mera så går det att skapa sig en bild över incidentens omfattning och allvarlighetsgrad.

Återställ till ett stabilt läge

I efterdyningen av incident vill varje organisation så snabb som möjligt återgå till “business as usual”. Först och främst handlar det om att skapa sig en bild av incidenten, är det bara den enskilda klienten som är berörd, så kan det räcka med återställa den och säkerställa att den är fri från skadlig kod. Är det fler enheter eller delar av ett nätverk som har påverkats kan det krävas fler åtgärder, som exempelvis återställning från säkerhetskopior.

Det kräver dock att säkerhetskopior sparas ned kontinuerligt, helst separat från övrig infrastruktur, men också att återställning väl fungerar. Allt för ofta ser vi exempel på när återställningen inte fungerar som det ska och mycket arbete går förlorat.

Bli en lärande organisation

Alla organisationer kan drabbas av en säkerhetsincident. Genom att gå igenom händelseförloppet i detalj och reda ut vad som var avgörande, kan ni bli en lärande organisation som bättre kan arbeta för att undvika att samma sak händer igen. Dessutom är det ett utmärkt tillfälle för att ställa er frågan: hur kan vi i framtiden upptäcka att något liknande händer?

Vill ni minska risken för phishing-attacker?

Med hjälp av både utbildande och reaktiva insatser kan vi hjälpa din organisation att bli mer motståndskraftig mot phishing-attacker. Hör av dig, så berättar vi mer om hur vi kan hjälpa dig.