Vasileios Mavroeidis (t.v.), Kamer Vishi

– Når alt fra kjøleskaptermometeret til hele strømforsyningen kan bli utsatt for angrep via internett, er vi som samfunn blitt mye mer sårbare, sier Vasileios Mavroeidis (t.v.) og Kamer Vishi. Foto: Dag Inge Danielsen/UiO

De lager cyberforsvar som tar sekunder, ikke måneder

Cyberangrep med katastrofale følger kan skje i løpet av sekunder. De siste ukene er både Hydro og Visma rammet. Å stoppe slike angrep og rydde opp kan ta uker og måneder. Men nå kommer et standardisert språk som gjør det mulig å sette inn effektive mottiltak raskt.

Av Dag Inge Danielsen
Publisert 26. mars 2019

Samfunnets infrastruktur og måten vi kommuniserer på, er blitt stadig mer komplisert. De siste årene har det vokst fram en hel bransje rundt sikkerhet. Rutere, svitsjer og annet kommunikasjonsutstyr har sikkerhetsfunksjoner og innstillinger som må konfigureres, oppdateres og overvåkes.

Dette kan utnyttes av kriminelle og fiendtlige krefter. For å forhindre og stanse cyberangrep må prosesser automatiseres og teknologiene lære å snakke sammen.

– En mengde ulike teknologier er i bruk. For å få alt til å fungere sammen, er det mye som må programmeres manuelt. Automatiserte systemer kan riktignok i en viss utstrekning oppdage sårbarheter, avvik og sikkerhetsbrudd. Men mottiltak kan ta lang tid. Dermed kan en angriper ubemerket komme på innsiden av en stor organisasjon og være der i ukes- og månedsvis – og manipulere informasjon, stjele hemmeligheter eller sette kritisk infrastruktur ut av drift.

Dette forklarer Vasileios Mavroeidis, som er stipendiat ved Institutt for informatikk (IFI) ved Universitetet i Oslo.  Sammen med Kamer Vishi, som også er stipendiat her, har han i tre år jobbet for å lage et standardisert, åpent språk: OpenC2.

OpenC2 er utviklet for maskin-til-maskin-kommunikasjon. Dermed blir det mulig å koordinere og kontrollere alt som skal til for et effektivt forsvar mot cyberangrep.

200 dager før angrep oppdages

Bransjens egne undersøkelser har vist at det i snitt tar mer enn 200 dager før avanserte cyberangrep blir oppdaget, altså over et halvt år. Deretter tar det 77 dager før problemene er fikset og systemene gjenopprettet. Så det er et stort og alvorlig problem vi som samfunn står overfor. 

I februar ble det kjent at norske Visma var blitt utsatt for et slikt angrep. Og i forrige uke ble Norsk Hydros datanettverk infisert av et løsepengevirus. Seks dager etter skriver de at de er i gang med gjenoppretting av IT-systemene, men at de foreløpig ikke vet hverken hvor lang tid det vil ta eller hva angrepet har kostet dem.

– Den store utfordringen er at alt er så komplekst og at systemene ikke snakker sammen. Løsningen er automatisering og orkestrering. Dette er buzzword du hører overalt. Forutsetningen for å lykkes med automatisering og orkestrering er et åpent språk som alle typer maskinvare, programvare, kommunikasjonsplattformer og -protokoller kan forstå, påpeker Mavroeidis.

45 organisasjoner – ett språk

Mavroeidis og Vishi er med i et team som består av over 100 personer fra 45 organisasjoner, firmaer, institusjoner og statlige myndigheter. Arbeidet er organisert gjennom OASIS (Organization for the Advancement of Structured Information Standards), et internasjonalt nonprofit konsortium som jobber for åpne standarder, der IFI/Universitetet i Oslo er medlem.

Cybersikkerhet

OpenC2 (Command and Control): Et språk som muliggjør entydig kontroll med teknologier for cyberforsvar. Arbeidet organiseres av OpenC2 Forum. Mer informasjon på openc2.org

JSON (JavaScript Object Notation): Formatet som OpenC2 benytter.

CTI (Cyber Threat Intelligence):  Omfatter blant annet en kunnskapsbase om tidligere utførte cyberangrep samt standarder for utveksling av detaljert informasjon om slike angrep.

IDS (Intrusion Detection System): System for å identifisere og stanse cyberangrep.

APT (Advanced Persistent Threat): Omfattende angrep utført av kriminelle eller etterretningsorganisasjoner som går inn i et system og er der ubemerket over lengre tid, det vil si mange måneder, ofte iverksatt av en stat eller en stor virksomhet – av økonomiske eller politiske grunner.

Phishing (nettfiske): Kriminell aktivitet i form av digital snoking etter sensitiv informasjon, som passord og kredittkortnumre. Skjer ofte i form av e-poster med vedlegg, forekommer på stadig nye og utspekulerte måter.

Automation and orchestration: Brukes om automatisering og samordning av mange ulike, ofte komplekse prosesser og datasystemer. Kan blant annet gi bedre oversikt, mer kontroll, bedre arbeidsflyt og mer effektiv utnyttelse av ressurser.

De to sikkerhetsekspertene jobber tett sammen med aktører på begge sider av Atlanteren. Blant de største er National Security Agency (NSA) i USA, det amerikanske forsvarsdepartementet, Cisco, McAfee, Symantec, Palo Alto, Anomali, Splunk, New Context, AT&T og NATO.

Også University of North Carolina at Chapel Hill og Carnegie Mellon University er med. Universitetet i Oslo er det eneste europeiske universitetet som deltar.

Teknologier som ikke snakker sammen

De to jobber spesifikt med de delene av OpenC2 som utvikler spesifikasjoner for cyberforsvar. Deres nyeste arbeid er en spesifikasjon for brannmurer.

– Hvis du er en større organisasjon, har du ikke bare én sikkerhetsløsning implementert. I tillegg til ulike sikkerhetsløsninger har du mange brannmurer som kommer fra forskjellige leverandører, ofte innebygd i ulike duppeditter, og de bruker forskjellig teknologi. Det er i grunnen logisk, for du er sårbar hvis du har én brannmurteknologi og den blir kompromittert, forklarer Mavroeidis.

Problemet er bare at hvis det skjer en hendelse, tar det lang tid å respondere. Først skal man analysere hva som har skjedd, så må man finne ut hva som skal gjøres for å stoppe angrepet – og deretter konfigurere de ulike brannmurene. I disse prosessene er det mange runder med utveksling av informasjon mellom servere og brannmurer. Og mye kan gå galt når ting skjer manuelt.

Med et felles, standardisert sikkerhetsspråk er det mulig å sende ut én kommando. Det kan gjøres med ulike nivåer av automatisering. Og kommandoer kan gå rett til brannmuren uten mange mellomledd.

Hvordan stoppe angrep?

En annen utfordring ligger i å identifisere at et angrep er underveis – for å kunne stanse det i tide.

– De som står bak angrepene er smarte og bruker svært sofistikerte metoder. For eksempler endrer de hele tiden små detaljer, slik at automatisk angrepsdeteksjon ikke skal slå inn. Utveksling av informasjon om utførte angrep er derfor en viktig funksjon.

Ved å bruke OpenC2 i kombinasjon med digital trusseletterretning (Cyber Threat Intelligence-CTI) har vi mulighet for å gjenkjenne deler av tidligere angrepsmønstre og sette i verk forsvarsprosedyrer på sekundet – før skaden har skjedd, forklarer Vishi.

Han understreker samtidig at vi må være realistiske. Det er ikke slik at OpenC2 vil løse alle sikkerhetsutfordringer. Men det kommer til å bli en stor hjelp.

Etisk hacking

– Hvorfor denne interessen for cyber security?

– Interessen har alltid vært der. Jeg har vært fascinert av hacking så lenge jeg kan huske, og jeg så de underligste filmene om datahackere da jeg vokste opp i Hellas, forteller Vasileios Mavroeidis.

– Da jeg begynte på bachelorgraden i datasystemer i Athen, tok jeg et kurs der jeg lærte hvor enkelt det er å knekke passord på trådløse systemer. Jeg ble helt bergtatt. Dette ville jeg lære mer om.

Mavroeidis tok en mastergrad i informasjon og nettverkssikkerhet før han kom til UiO for å ta en doktorgrad i cybersikkerhet. Før dette jobbet han som sikkerhetsanalytiker for en av de største sikkerhetsleverandørene.

Også Kamer Vishi vokste opp med en dragning mot hackernes spennende verden. Etter fullført utdanning som dataingeniør i hjemlandet Kosovo, tok han en mastergrad i etisk hacking på Gjøvik.

Givende å bidra

Når man som universitetsansatt samarbeider med noen av IT-bransjens største aktører, møter man mange fordommer om akademia. Disse gjør Mavroeidis og Vishi sitt beste for å motbevise:

– Jeg er veldig stolt av det jeg holder på med. Det er utrolig givende å bidra til samfunnet og fellesskapet på denne måten, sier Vishi, som har opparbeidet seg et omfattende personlig nettverk etter mange år innen cybersikkerhet.

Det samme gjelder hans kollega: 

– Gjennom årene har vi samarbeidet med en lang rekke firmaer og organisasjoner og deltatt i sikkerhetsprosjekter av mange slag. Da får du et omfattende, internasjonalt kontaktnett, og det er mye av forklaringen på at vi nå sitter i en arbeidsgruppe sammen med folk fra Bank of America, National Security Agency og NATO, sier Vasileios Mavroeidis.

– Hvorfor er ikke OpenC2 på plass for lengst, når behovet er så stort?

– For ti år siden var det noen få aktører som leverte utstyr som trengs for at datamaskiner kan snakke sammen. Da var det enklere å holde oversikten og kontrollere det hele. Nå er listen over leverandører og teknologier mye mer omfattende, og «alt» har innebygd sikkerhet, sier han.

– Dessuten omgir vi oss i hverdagen med stadig flere smarte dingser som kommuniserer via nettet. Når alt fra kjøleskaptermometeret til hele strømforsyningen kan bli utsatt for angrep via internett, er vi som samfunn blitt mye mer sårbare.

– Det er dette vi nå gjør noe med, og det er veldig moro at Universitetet i Oslo er en del av løsningen!

Opprinnelig skrev vi at inntrengere var inne i Vismas systemer i månedsvis før det ble oppdaget. Det hadde vi ikke grunnlag for.

Emneord: Informatikk