Hur skyddar vi oss mot zero-day-attacker?
Hur skyddade är vi egentligen mot IT-attacker? Frågeställningen blev högaktuell på IDC IT Security Conference som nyligen hölls i Göteborg. Säkerhetsexperten Magnus Sköld höll ett engagerande föredrag där han presenterade en hotbild som de flesta av oss inte kände till. Det framkom bland annat att uppskattningsvis 80 procent av Sveriges företag hyser infekterade enheter.
Det kallas allmänt för RSA-hacket. För tre år sedan drabbades amerikanska säkerhetsföretaget RSA för en av de mest uppmärksammade cyberattackerna någonsin. RSA är en av de ledande aktörerna inom kryptering och nätverkssäkerhet, men det krävdes inte mer än ett till synes oskyldigt e-postmeddelande för att göra bolagets välbekanta RSA-dosor värdelösa över en natt när väsentlig information spred sig över världen inom loppet av en millisekund.
– Det är de här tidsaspekterna vi talar om i IT-säkerhetssammanhang, påpekar Magnus Sköld som är security engineer på företaget Check Point Software Technology.
Han håller ett välbesökt föredrag på det återkommande eventet IDC IT Security Conference i Göteborg där han ger en klar och ganska skrämmande bild av hur verkligheten ser ut när det gäller virtuella hot. Inte bara mot datorer utan också mot till exempel surfplattor och mobiltelefoner. Han föreläser under rubriken Zero-day, det vill säga riktade attacker som inte är kända sedan tidigare, och därför svåra att värja sig mot. Det var en sådan attack som drabbade RSA och det är dessvärre något vi tvingas vänja oss vid, enligt Magnus Sköld.
Vanliga filformat
Det handlar om skadlig mjukvara, eller kod, som utan vår vetskap tar sig in i våra elektroniska enheter med olika uppdrag på agendan. Beredskapen – och kunskapen – är, enligt Magnus, relativt bristfällig bland såväl privatpersoner som företag och organisationer.
– Förr fick man en exe-fil i ett mail som man uppmanades att öppna men det var längesedan man övergav den metoden. Numera gömmer sig skadlig kod i vanliga pdf- och Office-filer som vi av gammal vana öppnar utan att ana oråd, säger han och ger ett exempel på hur förövarna jobbar.
Man kan till exempel studera en platsannons på internet där det ofta anges vilka programvaror, och till och med vilka versioner av desamma, som det aktuella företaget använder. Ett till synes oskyldigt CV skickas i en pdf-fil till mottagaren som öppnar den. Därmed är skadan skedd. I fallet med RSA var det öppnandet av en Excel-fil som visade sig få katastrofala följder. Och problemet är långt mycket mer utbrett än vad många tror. En undersökning visar att uppskattningsvis 80 procent av Sveriges företag har infekterade enheter.
– Tack vare Sveriges rykte som en nation med stort teknologiskt kunnande är vi extra utsatta för den här typen av attacker och faktum är att i stort sett vem som helst kan utföra dem med relativt enkla verktyg, säger Magnus Sköld.
Med andra ord, bilden av den traditionella datahackern i en källare med mössan neddragen över öronen och Joltcolan bredvid tangentbordet är sedan länge inaktuell. De som vill ställa till skada kan skaffa sig verktygen förhållandevis enkelt, och det gäller att skydda sig därefter.
Omöjliga att upptäcka
Så vari består dessa hot? Enligt Magnus är det framför allt två typer som dominerar mer än andra; attacker via så kallade botar och det man kallar för DDoS-attacker, det vill säga koordinerade överbelastningsattacker i syfte att slå ut servrar och datacentraler.
– Dessa är i mångt och mycket två sidor av samma mynt eftersom botar i många fall har till uppgift att genomföra DDoS-attacker. Dess övriga huvudsyften är annars att stjäla information som laddas upp på internet samt att skicka spam. Botar kontaktar olika C&C-center (Command and Control) som ger boten olika instruktioner. Problemen med botar är att de inte upptäcks av vanliga antivirusprogram. En del är oerhört sofistikerade så tillvida att de skiftar identitet med korta mellanrum. Det innebär att de blir mer eller mindre omöjliga att åtgärda även om de mot förmodan upptäcks, förklarar Magnus Sköld.
Motåtgärder
Motåtgärderna går att dela in i fyra olika steg; emulering, inspektion, förebyggande och delning. Det handlar om att simulera hotet i en säker miljö och ta reda på hur det tar sig uttryck på olika operativsystem. Hotet stoppas och information skickas till en molntjänst där anslutna aktörer erhåller ett realtidsskydd.
– Problemet är att allt inte går att emulera eftersom det är mycket resurskrävande och därmed påverkar användarupplevelsen, säger Magnus som betonar vikten av flera olika lager av säkerhet.
– I grunden krävs förstås ett pålitligt intrångssystem (IPS) och härutöver krävs en kraftfull antibot-motor som blockerar den typen av attacker i tid. Dessutom behövs naturligtvis ett bra antivirusprogram samt det vi kallar för threat emulation.
Enligt Magnus är det alltför vanligt att företag och organisationer inte är medvetna om de hot som finns och därmed inte heller vidtagit tillräckligt kraftfulla åtgärder för att förebygga dem. Många väljer rent av att blunda och mer eller mindre förutsätta att det befintliga skyddet är tillräckligt. Magnus brukar i sammanhanget nämna Fort Knox.
– Det skyddas inte med ett enstaka skydd utan med allt ifrån kameror till minfält. Det känns som en självklarhet, så varför skulle vi resonera annorlunda kring det som rör vårt privatliv eller företagets verksamhet? resonerar han.
Offentliga verksamheter extra utsatta
Frågeställningen är förstås extra intressant för offentliga verksamheter som ofta hanterar känslig information. Här har man dessutom ett större problem med det rent fysiska skyddet i jämförelse med exempelvis företag, eftersom offentliga verksamheter i många fall är tillgängliga för allmänheten. Det blir ofta en svår utmaning att balansera öppenheten med säkerheten.
– Det krävs övervakning av allt som sker i nätverket genom intern segmentering och utformning av ett system där tillgänglighet är kopplat till identiteten hos behöriga individer. Vi talar om DLP, det vill säga Data Loss Protection, som går ut på att ingen information ska tillåtas lämna det interna nätet, förklarar Magnus Sköld.
Och åtgärderna blir allt mer betydelsefulla. Magnus uppskattar att mellan 70 000 och 100 000 nya former av så kallad malware utvecklas varje dag.
– Det är en ojämn kamp i och med att förövarna i regel har obegränsat med både tid och resurser, medan vi i IT-säkerhetsbranschen inte minst har gällande lagar att ta hänsyn till, påpekar Magnus som dock har en uppfattning av att kampen håller på att jämnas ut. Det är å andra sidan en kamp som aldrig helt kommer att vinnas. Hoten finns överallt på internet, inte minst på de sajter vi besöker mest. 80 procent av all skadlig kod finns på Facebook, Twitter och YouTube.
Örjan Persson