En sak som jag har börjat medverka i är Microsofts väldigt intressanta ”Immersion Workshops”, där man inte bara sitter och lyssnar på en föreläsning, utan rent av är med.
Microsoft Immersion Workshops är en serie praktiska, interaktiva workshops som är utformade för att hjälpa deltagare att upptäcka och utforska Microsofts teknik- och produktportfölj. Man kan säga att det är ”reklam för Microsoft”, men det är inte riktigt rätt att säga det heller, eftersom man lär sig mycket på dessa workshops.
Dom leds alltid av experter från Microsoft och deltagarna får lära sig om produkter som Microsoft 365, Microsoft Teams, Dynamics 365, Azure och Power Platform. Vilket görs på ett traditionellt sätt, via teams och powerpoint.
Efter den initiala presentationen av produkterna man ska arbeta med så får deltagarna möjlighet att arbeta med verkliga scenarier och använda de senaste verktygen och teknikerna från Microsoft för att lösa problem och utforska möjligheter. Workshopsen är utformade för att vara interaktiva och engagerande, med möjlighet att ställa frågor och diskutera med experter och andra deltagare.
Genom Microsoft Immersion Workshops får deltagarna en djupare förståelse för Microsofts teknologier och hur de kan användas för att öka produktiviteten, förbättra samarbetet och lösa affärsproblem på ett mer effektivt sätt. Workshopsen är lämpliga för både tekniska och icke-tekniska deltagare och är anpassade efter olika nivåer av teknisk kompetens och erfarenhet.
Dom jag har varit med i fram till nu är bägge inriktade på datasäkerhet och cyberattacker, vilket är ämnen som ligger mig varmt om hjärtat. Jag är långt ifrån en expert och Microsofts verktyg har inte direkt varit bland mina favoriter. Men det är samtidigt väldigt intressant och jag verkar vara rätt så bra på det, eftersom jag kommit på andra plats i båda scenarios.
Hur går en cyberattack till egentligen?
Man kan generellt säga att en cyber-attack har fyra olika steg för att lyckas. Till skillnad från vad många tror så är det inte som på TV, att man knappar lite på ett tangentbord och sedan är det klart. Många gånger involverar hackningar och dataintrång väldigt sofistikerade och genomtänkta processer och steg som kan ta månader att genomföra. Låt oss titta lite närmare på stegen, rent generellt.
- Steg 1 – Phishing / Spearphishing
Hackern kommer att utföra rekognoscering och forska om målet. Sedan kommer denne att skicka ut ett e-post meddelande med en kod som ger access till användarens konto. Oftast så skickas breven ut till många användare över en lång tid, i hopp om att någon klickar på länken och kör den bifogade filen. Det är också rätt så vanligt att dom håller ett bra tema i sitt meddelande, kanske någon inom finansavdelningen gällande fakturor, eller någon i lagerlokalen med mycket trovärdiga e-postmeddelanden om problem med paketleveranser. Attacken är omedelbar och upptäcks aldrig av användaren själv. En hundradel där skärmen flimrar till, sedan är det klart. - Steg 2 – Upprätta central uthållighet
Angriparen behöver undvika upptäckt och säkra sin ”befälscentral” i användarens system, ofta genom att använda en ”lay low and go slow”-approach. Genom att först säkra ett eller flera användarkonton så kan hackern vara säker på att även om denne upptäcks i något försök att ta sig vidare i systemet så finns det ”backup konton” att fortsätta attacken med. Det är väldigt sällan man utgår från ett enda användarkonto för att driva attacken vidare. - Steg 3 – Lateralt rörelsemönster
Så snart som möjligt efter att ha upprättat uthållighet, kommer hackern att initiera ett så kallat lateralt rörelsemönster. Med detta menas att dom arbetar sig igenom systemet utan att försöka ta sig djupare in rent säkerhetsmässigt. Man börjar att rekognosera och sniffa ut andra nätverksresurser som de kan kompromettera. Efter ett tag så har angriparen ett ofattbart hårt grepp om systemet och kan slutligen gå till sista steget. - Steg 4 – Infektera
I det sista steget i attacken så infekteras så många slutpunkter med ransomware som möjligt, eller genom att man ändrar startkoden, etc.
Vad som händer efteråt är olika, beroende på vad syftet med attacken är. En sak kan man vara helt säker på i alla fall, vilket är att anfallet inte kommer på en gång, som på film. Attacken kommer när anfallaren redan har alla kort på handen och rent tekniskt inte går att stoppa längre. Det är just därför som det är viktigt att upptäcka och förhindra anfall så fort som möjligt.
Hur fungerar Microsofts Immersion Workshops egentligen?
När man börjar så är det en genomgång med produkterna som Microsoft erbjuder, samt diskussioner runt dom senaste funktionerna som introducerats. När scenariot startar så får man tillgång till en virtuell maskin (VM) där man fritt får nyttja alla tekniska lösningar från Microsoft. Scenariot är uppbyggt så att man ser enheter som skrivare, trådlösa accesspunkter, användare och servrar. Samt att man har tillgång till loggfiler och annat användbart för flera månader tillbaka.
Det känns faktiskt som att man sitter på ett verkligt system, som har funnits och använts i många år, vilket gör att scenariot känns verkligt på alla sätt.
Man får olika frågeställningar, som ”Vilken IP-adress initierades attacken ifrån?”, eller liknande. Sedan är det upp till en själv att leta reda på och svara på frågan. Om man svarar rätt får man poäng, svarar man fel så får man tips (som oftast är helt värdelösa) men kostar poäng. Om man svarar fel så förlorar man alltså poäng och efter tillräckligt många fel (typ 3, tror jag) så får man svaret presenterat, men får inga poäng alls.
Samtidigt som du sitter och arbetar med dessa frågor, så gör ett 30-tal andra säkerhetsexperter och gör samma sak. Det går att öppna en separat sida och se ”leaderboards”, där man får se hur man ligger till i poäng och tid jämfört med andra ”spelare”. Detta var lite stressande för mig under första scenariot, men under andra scenariot så försökte jag att inte låtsas om det överhuvudtaget.
Här är en kort beskrivning om dom två scenarios jag varit med i tidigare.
Shadow Hunter
I detta scenario så har en hackare tagit sig in via en oskyddad kamera på företaget och ens jobb, som säkerhetsansvarig, är att ta rätt på hur och förhindra vidare spridning. Även att se till att detta inte upprepas. förstås.
När man introduceras så är hackern redan i steg 3, där lateral förflyttning redan påbörjats. Det är med andra ord väldigt kort om tid att förhindra en fullskalig infektion.
Ett väldigt intensivt scenario som, på grund av tekniska problem med min VM, blev väldigt stressigt. Jag slutade dock som tvåa av över 30 andra säkerhetsexperter, vilket jag var väldigt stolt över. Hela scenariot tog 5-6 timmar att lösa och jag belönades med en Microsoft Security Agent titel, vilket jag var så stolt över. =)
Into The Breach
Det andra scenariot involverar ett försök till anfall via ransomware. Man fick i uppgift att lösa problem som var attacken initierats ifrån, vilka källor som blivit påverkade och även återställa systemet till normal drift igen.
I och med att steg 4 redan var igång när scenariot började så fanns det väldigt liten tid att lösa problemen. Scenariot tog runt 5 timmar och slutade med att man hittade enheten som var grunden till attacken, samt användarna som blivit kompromissade längs vägen.
Även i detta scenario slutade jag på andra plats, men bara 50 poäng från förstaplatsen och det var faktiskt en klantig felstavning som orsakade detta.
Truesec
Hela workshoppen leds av det Svenska säkerhetsföretaget Truesec. Vilket är en fantastisk grupp av människor med otroliga kunskaper inom just datasäkerhet. Det speciella med Truesec är att dom inte är ”utbildare”, utan personer som arbetar med säkerhet 24/7. Det kan därför snabbt bli väldigt tekniskt och komplicerat när dom ska förklara något, men jag försöker hänga med så gott det går ändå.
Truesec är dock ingen liten aktör på världsmarknaden utan arbetar i nära samarbete med Microsoft. Dom har högkvarteret i Stockholm, men finns även i Malmö, Karlskrona, USA (Florida), Danmark, Finland och Tyskland.
Det är ett gäng med elit-anti-hackers med djupa kunskaper om datasäkerhet, grundat i verkliga händelser och med lång erfarenhet.
Slutligen
Microsofts Immersion Workshops är gratis att gå. Det är trots allt i grund och botten marknadsföring för Microsoft vi pratar om. Om du eller ditt företag har IT ansvariga som kanske skulle tjäna på att lära sig mer om datasäkerhet (vilket företag har inte det?) så rekommenderar jag dessa workshops. Som sagt kostar dom ingenting mer än tid och kan i slutänden visa sig lönsamma som tusan. =)
Jag vill samtidigt förtydliga att detta kanske känns som reklam för Microsoft, vilket inte är tanken. Jag delar bara med mig av mina egna erfarenheter och upplevelser. Jag får inget betalt för att skriva något om Microsoft, Truesec eller något annat företag jag kan ha nämnt ovan. Bara så att ni vet. =)
Ha en riktigt bra dag så hörs vi snart igen.