Artikel top billede

(Foto: Computerworld US/CSO)

Sikkerhedsbranchen må tage sig sammen: Kunderne har brug for én samlet løsning

Klumme: Siden det første angreb for 27 år siden er mængden af avanceret ransomware steget voldsomt. Værktøjerne til at håndtere det findes, men virksomhederne kæmper unødigt med at håndtere dem. Sikkerhedsbranchen må på arbejde.

Kan du huske de største begivenheder i 1989?

Bortset fra Berlinmurens fald og opfindelsen af World Wide Web, så var 1989 også året, hvor vi så verdens første brug af ransomware.

Her var det den trojanske hest AIDs der, når den blev installeret, krypterede brugerens filer og krævede 189 dollar sendt til en postboks i Panama for at 'forny licensen' af filerne.

Siden da er mængden af ransomware-angreb eksploderet, og det er i dag et af de mest omtalte fænomener inden for it-sikkerhed.

Oftest går angrebene ud over hospitaler, forsyningsselskaber, virksomheder og kommuner af alle størrelser.

En ny rundspørge blandt danske kommuner viser blandt andet, at 9 ud af 10 har oplevet brud på it-sikkerheden i 2016.

Ransomware nævnes som en af de mest almindelige typer af angreb, hvor Lyngby-Taarbæk Kommune eksempelvis har været ramt tre gange i indeværende år.

Andre studier bekræfter samme tendens, og der er således ingen tegn på, at truslen fra ransomware er ved at aftage.

Det skyldes den simple årsag, at metoden tilbyder de kriminelle en både nem og gennemtestet måde at tjene penge på.

Men hvordan kom det så vidt, og hvordan kan virksomheder og offentlige institutioner beskytte sig selv?

Fra simple skærmlåse til avanceret kryptering

Ligesom de fleste typer af malware kommer ransomware fra inficerede filer vedhæftet i e-mails, vildledende pop-ups og noget så enkelt som at besøge kompromitterende hjemmesider.

Ransomwaren udgør en trussel for virksomheder ved, at den enten låser skærmen eller krypterer vigtige filer.

I det første scenarie fryser computeren, mens hackerens krav for at låse skærmen op typisk vises på skærmen.

Selv om dette er til stor gene for brugeren, er det som regel mere overkommeligt, da malwaren normalt kun påvirker den enkelte computer og er relativ nem at fjerne - det er med andre ord en forholdsvis primitiv form for ransomware.

På den anden side er ransomware, der benytter sig af filkryptering, en større og mere reel trussel, der dukkede op i 2013 med Cryptolocker, som den første kendte og vidt udbredte ransomware.

Denne metode gør det muligt at spærre brugeres filer og data permanent, både på enkelte computere eller på tværs af hele virksomhedens netværk.

Denne form for angreb er siden eksploderet, da det er relativt nemt at forvrænge data via kryptering, indtil offeret har betalt en løsesum.

I takt med, at selve ransomwaren er blevet mere sofistikeret, er metoderne til at benytte det i angreb også blevet mere varierede.

SamSam-varianten, som kom frem i januar 2016, bruger ikke e-mails, men går i stedet efter ubeskyttede servere til at kryptere store mængder data.

Cerber, der blev kendt i februar, er en af de mest anvendte typer af ransomware i år og indeholder en lydbesked med en række krav via Microsoft Speech API.

Vi har også set ransomware med en virus' egenskaber, som kan inficere maskiner gennem USB-enheder.

De mange nye typer af ransomware peger alle i én retning: Ransomware er ikke længere en 'one size fits all'-form for cyberangreb - det kan ramme næsten alle typer enheder via forskellige kanaler og sprede sig videre derfra.

Forberedt på fremtidens trusler?

Ransomware har altså udviklet sig eksponentielt siden det første angreb i 1989.

Samtidig skal it-afdelinger i dag også tage højde for, at angreb ikke længere kun begrænser sig til organisationens servere og computere, men også involverer rekordmange mobile devices, cloudbaserede apps og et stigende antal IoT-enheder.

Disse værktøjer forbedrer produktiviteten hos medarbejderne, men de medfører også nye risici, der gør det langt mere komplekst at forsvare sig mod det konstant stigende antal trusler fra ransomware-angreb og andre typer af malware.

Vores seneste sikkerhedsrapport i Check Point viser blandt andet, at der er sket en ni-dobling i mængden af ukendt malware i 2015 med 12 millioner nye typer af malware opdaget hver måned

Desværre er vores bevidsthed om ransomware og metoderne til at bekæmpe nye trusler generelt ikke vokset med samme hast som hackernes teknikker.

De fleste organisationer anvender stadig primært traditionelle værktøjer som antivirus, der udelukkende fungerer ved "detection" af angreb og ikke "prevention".

For at bekæmpe de nye former for cyberangreb, bliver vi nødt til at udvikle vores forsvarsteknikker tilsvarende.

Det gælder særligt på to områder: Flerlags it-sikkerhed og integreret security management, der samler organisationens cyberforsvar i én samlet sikkerhedsløsning.

Stop angrebene før de sker

Kampen mod mere kendt og ukendt malware, forskellige angrebstyper og behovet for at beskytte flere enheder, gør det nødvendigt for organisationer at anvende beskyttelse i flere lag.

Der findes ingen enkeltstående teknologi eller teknik, der kan tilbyde total beskyttelse mod alle former for angreb.

Derfor skal organisationer kombinere flere forskellige værktøjer, der både baserer sig på detection og prevention, som det ofte kategoriseres på engelsk.

Moderne beskyttelse sker bedst gennem en kombination af traditionelle teknikker til at opdage angreb, som signaturbaseret antivirus og trusselsforebyggende teknologier, som Next Generation Firewall, sandboxing og CPU-trusselsemulering.

Selv om opdateret antivirus og anden beskyttelse baseret på virussignaturer er vigtigt i et ethvert sikkerhedssystem, kan moderne ransomware nemt omgå det, og derfor er det ikke længere nok i sig selv.

Gå ud fra, at alle filer er inficerede

For at stoppe ransomware og anden ny malware skal virksomheder og organisationer blokere det, inden det får inficeret netværket. Her er avanceret beskyttelse som udpakning af trusler og avanceret 'sandboxing' de bedste værktøjer.

Udpakningen af trusler er baseret på en simpel antagelse: Størstedelen af ransomware og malware er gemt i normale filtyper - Word, PDF'er og så videre. - og sendes ud via e-mail.

Set fra et sikkerhedssynspunkt kan man med fordel gå ud fra, at alle vedhæftede filer i mails altid er inficerede - og på den måde fjerne alle potentielle trusler fra mailen, før den leveres til brugeren.

Det sker ved, at vedhæftede dokumenter i e-mails bliver dekonstrueret i email-gatewayen, og mistænkeligt indhold (som makroer og eksterne links) fjernes.

Dokumenter kan derefter rekonstrueres med sikre, kendte elementer og sendes videre til brugeren.

Dette kan gøres på få sekunder og fjerner risikoen for inficerede filer, uden at det forsinker arbejdet.

Avanceret ‘sandboxing' (trusselemulering) fungerer parallelt med udpakningen af filer.

Med dette element inspiceres indkommende filer for mistænksomme elementer på et mere avanceret niveau end traditionel antivirus ved hjælp af adskillige indikatorer.

Yderligere kan avancerede "sandkassemiljøer" gennemskue de undvigelsesteknikker, der er indbygget i ransomwaren fra afsenderen og blokere potentielle angreb, før de kommer ind i systemet. Dette er en af de bedste metoder til at opdage nye og ukendte angreb og de mere sofistikerede og sjældne nul-dags-sårbarheder.

Mange brande, få brandmænd

Desværre bliver de mange sikkerhedsløsninger og -værktøjer, som organisationerne investerer i til at bekæmpe det stigende antal trusler og angreb, hurtigt en uoverkommelig ressourcemæssige opgave for it-afdelingerne, der skal håndtere dem.

Det kræver alt for mange penge og it-professionelle at overvåge og administrere de mange forskellige systemer i våbenkapløbet med hackerne.

Med den konstante udvidelse af organisationers netværk og løsninger, skal it-team og sikkerhedsvirksomheder i stedet ændre den traditionelle tilgang til sikkerhed fra enkeltstående, individuelt styrede sikkerhedssystemer til at fokusere på integrerede helhedsløsninger, der kan håndtere sikkerhed i et samlet "best-of-breed" system.

Arkitekturen i moderne sikkerhedssystemer skal kunne integrere styringen af mobile enheder, IoT og cloudsystemer under én samlet managementløsning.

Fremtidens løsninger vil kunne overvåge og håndtere virksomhedens sikkerhed fra ét sted og vil samtidig være åbne og fleksibel nok til kunne rumme de forskellige typer af teknologi, der er nødvendig for beskyttelse i flere lag.

Hvis det skal lykkes organisationer at bevæge sig fra traditionel it-sikkerhed med separate systemer til samlede sikkerhedsløsninger, der også forebygger og tager højde for hele organisationens sikkerhed, må vi også kigge indad inden for it-sikkerhedsområdet.

Ønskescenariet er kun muligt, hvis også vi som teknologivirksomheder bliver bedre til at integrere vores produkter, så organisationer ikke længere skal slås med silobaserede løsninger, der ikke taler sammen, men i stedet bidrager til at skabe overblik og frigive ressourcer.

Helhedsorienterede sikkerhedsstrategier og -løsninger og bedre samarbejde internt i branchen og mellem kunder og sikkerhedsleverandører er den eneste vej frem, hvis vi skal have en chance mod morgendagens trusler som ransomware.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.