Världsläget har förändrats sedan förra veckan. Det vi ser är en ökad aktivitet från Ryssland gentemot Ukraina både militärt och civilt). Europa och EU parlamentet har nyligen godkänt kraftiga ekonomiska sanktioner mot Ryssland i ett led och som ett fördömande av detta krig.
Det som pågår under ytan är ett cyberkrig i den nya så kallade cyber-domänen. Vi ser mer aktivitet från nationella aktörer och dess associerade APT (advanced persistent threat) grupper mer än tidigare från Ryssland, riktade mot Ukrainas infrastruktur och myndigheter. Internationella APT grupper har också ökat sin aktivitet gentemot Ryssland. Vi ser också att olika ”haktivist-grupper” ökar sin aktivitet (bland andra Anonymous) mot Ryssland och dess infrastruktur.
Vi förutser en ökning av aktiviteter under de kommande dagarna och veckorna. Med detta så ökar risken att bli drabbad som företag eller myndighet inom Europa. Vi har tidigare exempel på detta då Maersk och andra internationella företag blev drabbade av NOT-Petya 2017 just som en följd av en attack mot Ukraina. Vad kan ni göra?
Våra rekommendationer med dagens information är att:
1. Börja Logga trafik
Aktivera NetFlow (spårar NAT-trafik, sessioner) om ni inte redan har detta aktivt på era brandväggar och lagra denna data i en sökbar yta under den närmaste tiden. Denna data kommer att bli absolut nödvändig i utrednings syfte, oavsett om man har blivit drabbad eller inte av cyberattacker. NetFlow ger även möjligheten att kunna utföra en lättare hotövervakning och verkligen precisera hoten geografiskt.
2. Begränsa er trafik
Exkludera visa GeoIP:n (från vissa länder/regioner under denna tid) – ex. om ni inte gör affärer med Ryssland eller har ett aktivt behov av att kunna kommunicera med dem. Geo-Blockera dessa länder under denna tid.
3. Undersök er trafik
Aktivera SSL dekryptering av utgående trafik om möjligt, vilket möjliggör att kunna se angrepp i krypterade tunnlar.