Artikel top billede

Efter 20 år i it-sikkerhedsbranchen: Her er fem barske sandheder fra kendt sikkerhedsekspert

Hvor reel en trussel er mobiltelefoner egentlig? Er det medarbejderne som er truslen mod firmaets data? Og hvorfor bliver amerikanske tjenester ved med at halte på sikkerheden? Få svaret når en sikkerhedsekspert taler ud til Computerworld.

Med 20 års erfaring hos det japanske sikkerhedsfirma Trend Micro har Raimund Genes set lidt af hvert. 

Ud over at erhverve sig en CTO-titel har Raimund Genes, som har base i München, også udviklet en sund skepsis over for skrækscenarierne, som sikkerhedsbranchen ofte stiller op med. 

For hvor reel en trussel er mobiltelefoner egentlig? Er det medarbejderne, som er truslen mod firmaets data? Og hvorfor bliver amerikanske tjenester ved med at halte på sikkerheden? 

De spørgsmål har Computerworld stillet Raimund Genes over en frokost i København i et forsøg på at komme bag om alle udmeldingerne om it-sikkerhed. 

1. Om medarbejderne som en trussel: "Alle er en trussel - du vil altid have sure medarbejdere, du vil have salgsfolk som tager databasen med sig. Hvis folk vil have dine data, så får de den. Det er naivt at tro andet. "

Du kan selv gøre meget med en ordentlig klassificering af dokumenter - og så arbejde seriøst med hvem der har adgang til hvad.

Men husk at NSA også havde dataklassificering, men i sidste ende var det en insider som Snowden, der stak af med alle deres hemmeligheder.

De målrettede angreb kommer ofte udefra.

Fra blandt andedt zero-dag sårbarheder som bliver solgt til efterretningstjenester og stater, som betaler meget mere for ukendte sårbarheder end firmaer som Google eller Microsoft.

Så du vil blive breached - og du skal investere i noget som opdager det. Så tidligt som muligt.

Og når du er blevet angrebet, så nuker du alt for ofte straks systemet.

Men når du gør det, så advarer du gerningsmændene.

Og vil de stoppe med at angribe, fordi du har stoppet hullet? Eller finder de en anden vej?

Så jeg opfordrer til, at man lader penetreringen køre for at observere. Se hvem der står bag - det kunne være en konkurrent. Og orienter så myndighederne, så har du i det mindste beviser at arbejde med.

Til mange angrebsanalyser er sandboxing fint, men det er værd at huske, at moderne malware ser om den er landet på den rigtige maskine - altså hos den rigtige medarbejder i et målrettet angreb.

Og så bruger malwaren såkaldte sandbox evasion techniques.

Det er derfor, at vi hos Trend Micro arbejder med individuelle sandboxes, som er en komplet kopi af offerets maskine.

Du kan også lokke angriberne ind på bestemte områder og give dem noget at lege med. Det er som en spionroman, hvor man kan føde angriberne falske oplysninger og holde dem beskæftiget."

2. Om hvad der kendetegner et sikkerhedsværktøj: "Hos Target var der 30.000 log entrys hver eneste dag. Hvem i alverden kan holde øje med det?"

"Et godt værktøj holder øje med alle steder og ikke kun nogle populære porte som http, ftp og lignende. Men du skal huske at tænke på, at det ikke er den eneste angrebsvej. Du kan lægge USB-drev på parkeringspladsen foran firmaet eller en af de 100 andre veje ind.

Angriberne ved, at http er monitoreret på standardporte, så de finder netop andre veje. Der skal dine værktøjer kigge hen - og se på det interne netværk. Det handler selvfølgelig om ressourcer, og du kan ikke nå det alt sammen i realtime, i stedet skal du sniffe internt.

Og værktøjet skal hjælpe dig. Hos Target (amerikansk supermarkedskæde som blev hacket, red.) var der 30.000 log entrys hver eneste dag. Hvem i alverden kan holde øje med det?

Så et godt breach protection system vil filtrere støjen væk.

Vi ser på alle de entrys, men så tjekker vi op imod godkendte filer fra for eksempel Microsoft og så kan vi reducere det ned til 20-30 beskeder om dagen.

Så i sidste ende handler det om hvad du kan kapere og hvad du vil se.

Du kan også tænke smart inden. Skal du rende og opdatere antivirus på centrale systemer som bare skal køre?

Hvorfor ikke lave en lock-down på de kritiske systemer og holde dem sådan?

Så i stedet for at lede efter millioner af malware med scanninger som ikke rigtigt virker mere så har du to-tre processer som er godkendt - og alt andet er bare lukket."

3. Om hvordan vi kommer ud af den onde cirkel af data-tab: "Lige nu kommer der sådan noget pjat med at 75 procent af alle phishing-angreb sker i USA, men det er kun fordi at de faktisk rapporterer dem der. "

"Regeringer må stille krav. Jeg ser frem til EU's data protection regulation kommer ud og bliver til lov i Europa engang i 2018. For der kommer kravet, om du skal rapportere om, at du er blevet angrebet.

Lige nu kommer der sådan noget pjat med, at 75 procent af alle phishing-angreb sker i USA, men det er kun fordi, at de faktisk rapporterer dem der.

I Europa er der et kæmpe mørketal, fordi angreb og succesfulde penetreringer ikke skal rapporteres.

Men mange firmaer er stærkt imod. Det er jeg ikke, jeg synes det er fantastisk. For det vil gøre sikkerhed mere synligt, mere alvorligt og gøre det til noget som kommer op på bestyrelsesplan.

Specielt når man taler om bøder på op til fem procent af omsætningen.

Men lige nu så tager sikkerhedsfolkene skraldet.

Jeg har hørt at en CSO (Chief Security Officer, red.) overlever 1,6 år i gennemsnit i jobbet.

Så som en headhunter fortalte mig, så gælder det om at få en god exit package med i din kontrakt.

Jeg har mere ondt af den stakkels lille firma, hvis ene mand skal stå for alt det her alene - og som ender med at få skylden uden at have en fin gylden faldskærm at falde tilbage på. Det er derfor, at det skal op på bestyrelsesniveauet, så bestyrelsen får et medansvar."

4. Om wearables og internet of things som en trussel: "Truslen mod mobile enheder er så godt som ikke eksisterende i Europa"

"Hvis du bliver i de officielle apps stores eller Google Play Store så er du stort set sikker. Truslen mod mobile enheder er så godt som ikke eksisterende i Europa. Men i Rusland og Kina vil ingen betale for apps, så der er massere af alternative app stores. Og det er en trussel.

Men vi har millioner af skadelige android malware versioner vi har kigget på - og 95 procent er russisk eller kinesisk og kræver sådan en telefon.

Men der er så meget hype om sikkerheden med de mobile enheder. Men hvorfor egentligt?

Apples nye smartwatch er en et godt eksempel. Firmaer prøver at forstå det. Jeg kender mange firmaer som ikke er med på BYOD (når medarbejdere kan tage deres egne enheder med på job, red.) og som siger, at du ikke må tage din egen telefon med. Folkene i firmaerne hader det.

Men de har så en firmatelefon. Men nu har de Apple-uret. Tror du de efterlader det derhjemme?

Løsningen er ikke at forbyde alting. Jeg argumenterer i stedet for at lave et zero-trust miljø hvor man ikke skelner mellem ekstern og intern trafik, men behandler det alt sammen som potentielt farligt.

Men med alt den fokus på mobiler, forbrugere og wearables så er det værd at huske, at risikoen er større for firmaerne.

Systemerne er ofte ældre og patchcycles kan være helt op til 3 til 6 måneder bag efter de officielle opdateringer - og så har firmaernes data som er værdifulde for fremmede regeringer eller for konkurrenter."

5. Om hvorfor sikkerheden halter igen og igen på amerikanske tjenester: "Jeg har hørt fra bankerne at det er fordi en PIN-kode vil få forbrugerne til at tænke sig om inden de handler. "

"Ser man på Target angrebet, så var malware var kendt og gik efter deres kassesystemer.

Når man ser et kassesystem i USA så tager de oftest en kopi af kreditkortets magnetstribet. Her i Europa bruger vi chippen og PIN-koden. Men ikke i USA.

Jeg har hørt fra bankerne at det er fordi en PIN-kode vil få forbrugerne til at tænke sig om inden de handler.

I hvert fald er risiko-appetitten større i USA hos virksomheder, men risiko management er noget helt andet. Det er som om man trækker lidt på skuldrene af identitetstyveri og svindel med kreditkort - det er en del af det at bruge sit kort.

Og så er to-faktor godkendelse (hvor login kræver to forskellige komponenter for logge ind, red.) ikke særligt udbredt. Flere banker har bare sådan et almindeligt password.

Det er derfor man i stedet får de dumme spørgsmål om ens mors pigenavn eller ens kæledyr da man var barn.  

Så længe den holdning findes hos de store tjenester, så skaber det muligheden for at andre nemt får adgang til dine data."

Læs også: "Jeg har været et dyrt bekendtskab for KMD, men jeg tænker også, at KMD har fået en del ud af det"