Att jobba med cybersäkerhet är långt ifrån odramatiskt. Dagligen uppdagas nya skandaler och sårbarheter upptäcks och utnyttjas i system och mjukvaror. Men hur ska man som företag förhålla sig till denna föränderliga cyberhotbild som aldrig tycks stanna upp?
Vi måste lära oss av befintliga intrång och de tillvägagångssätt som antagonisten utnyttjar och från det bygga skydd i form av en lökprincip. Säkerhet i flera lager där vi i ett tidigt skede kan upptäcka eventuella försök till intrång.
System och klienter hos användare kan fungera som en slags honeypot eller intrångsindikator eftersom dessa tidigt blir utsatta för angrepp och används som en språngbräda in i andra IT-system.
"Det är bättre att helt stänga ner ett osäkert IT-system än att låta informationen sippra ut. Men vilken chef vågar ta ett sådant beslut?"
Jonas Lejon, cybersäkerhetsexpert
Vi vet att utvecklare av säkerhetssystem och produkter ligger några år efter antagonisterna och därför är det viktigt att vi snabbt kan förändra och bygga om våra IT-system. Och även när säkerhets-systemen och funktionera kommer ikapp med antagonisterna så försöker de lura oss: “Är du säker på att du vill aktivera makron i detta dokument?”
Och att på global nivå stänga av viktiga funktioner för verksamheten är omöjligt eftersom det alltid är verksamheten som går före säkerhet får vi höra. Men som säkerhetsexpert håller jag inte med: Det är bättre att helt stänga ner ett osäkert IT-system än att låta informationen sippra ut. Men vilken chef vågar ta ett sådant beslut?
5 åtgärder som försvårar för antagonisterna
Under ett offentligt föredrag berättade chefen för NSA:s offensiva cyberoperationer, Tailored Access Operations (TAO) vilka de största utmaningarna antagonisterna har när de bryter sig in i IT-system.
Det som gör att system blir svårare att bryta sig in i enligt NSA-chefen är:
- System som automatiskt uppdaterar sig själv med nya patchar
- Isolerade system
- Säkra standardvärden
- Nätverksloggning och spårbarhet
- Bra separation mellan enheter, fjärruppkopplingar och partners
Några av de nya trenderna som antagonisterna använder är att använda systemets egna verktyg mot sig själv, vilket kallas living-of-the-land. Med det menas att PowerShell exempelvis används för att plantera bakdörrar (implantat) vilket gör det svårt för antivirus-system att upptäcka detta.
Och för att upptäcka och förmildra skador efter denna typ av intrång så måste systemen uppdateras med stöd för loggning och spårbarhet. Även dessa loggar bör samlas upp och analyseras centralt, se exempelvis SIEM-lösningar.
När tittade du senaste på vilka Word-makron eller PowerShell-script som exekverades i Er organisation?
Du kan läsa fler artiklar av Jonas Lejon på hans blogg Kryptera.se och på hans företag Triop AB.
