Artikel top billede

Her er hackernes foretrukne arbejds-metode

En bestemt klassisk hackermetode anvendes i 97 procent af alle sikkerheds-brud. Alligevel har sikkerhedsfolkene åbenbart problemer.

Computerworld News Service: SQL-injektion er blevet anvendt i hackerangreb i over 10 år, og de it-sikkerhedsprofessionelle burde være mere end dygtige nok til at beskytte mod denne teknik.

Alligevel er SQL-injektion en del af billedet i hele 97 procent af alle tilfælde af kompromittering af data på verdensplan, påpeger Neira Jones, der er chef for betalingssikkerhed hos finansvirksomheden Barclays. 

Neira Jones mener, at hackere udnytter virksomheders utilstrækkelige og ofte forældede informationssikkerheds-praksis.
Med henvisning til de seneste tal fra Storbritanniens National Fraud Authority oplyser hun , at identitetstyveri årligt koster Storbritannien 24 milliarder kroner og påvirker over 1,8 millioner mennesker.

"Datakompromittering vil statistisk set med sikkerhed forekomme," fremhæver Jones.

"Ser man på, hvad offentligheden bekymrer sig om, så er beskyttelsen af personfølsomme oplysninger faktisk på samme niveau som forhindring af kriminalitet."

Sådan fungerer SQL-injektion

SQL-injektion er en teknik til at indsætte fremmed kode, der udnytter sårbarheder i et websites software.

Herved kan angriberen blive i stand til at foretage enhver SQL-forespørgsel eller -kommando på database-serveren via den kompromitterede webapplikation.

I oktober 2011 plantede angribere eksempelvis skadelig JavaScript på Microsofts ASP.Net-platform.

Dette fik de besøgendes browsere til at indlæse en iframe med et ud af to skadelige og uautoriserede websites, som forsøgte at installere malware på den besøgendes pc ved hjælp af flere forskellige såkaldte drive-by-angreb mod browseren.

Microsoft har i hvert fald siden 2005 selv leveret information til ASP.Net-programmører om, hvordan man beskytter mod SQL-injektion.

Alligevel lykkedes det dette angreb at påvirke cirka 180.000 websider.

Neira Jones argumenterer for, det er nødvendigt, at  datakriminalitet og databeskyttelse rykker højere op på bestyrelsernes dagsordener.

Ét skridt af gangen

For at det skal komme til at ske, er it-sikkerhedscheferne nødt til at vurdere risikoniveauet i deres organisationer og tage det hele ét skridt af gangen.

"Jeg siger altid, hvis nogen siger APT (advanced persistent threat, eller på dansk avanceret vedvarende trussel, såsom spionage eller terrorisme udført eller støttet af en fjendtlig stat eller organisation, red.), at en engel dør i himlen, for det er ikke ATP'er, der er problemet," siger Jones.

"Dermed ikke sagt, at de ikke eksisterer, men lad os lige løse de grundlæggende problemer først. Er man fuldstændigt sikker på, at man ikke er sårbar overfor SQL-injektioner? Og har man kodet sin webapplikation på en sikker måde?"

Generelt tager det seks til otte måneder for en organisation at finde ud af, at dens data er blevet kompromitteret i et angreb, tilføjer Neira Jones.

Ved at kende sin risikoprofil og træffe nogle enkle, proaktive foranstaltninger såsom modellering af trusselsscenarier kan man dog ifølge Jones forhindre op mod 87 procent af alle angreb.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk IT-sikkerhedsdag 2022 - identificer, beskyt og forsvar

IT-sikkerhedstruslerne mod virksomhederne er i takt med tiden blevet større og værre, fordi virksomhederne er mere end nogensinde før afhængige af data og IT. Det stiller krav til de IT-ansvarlige, der konstant skal tage bestik af det skiftende trusselniveau. Det kræver blandt andet, at it-sikkerhed bliver sat på den strategiske dagsorden i virksomhederne – men hvordan?

25. januar 2022 | Læs mere


Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere






CIO
Sådan tager top-CIO Pernille Geneser livtag med 40 år gamle it-systemer i Stark Group med 10.000 medarbejdere