Ransomware, – en skadelig programvare som krypterer data og bruker det som pressmiddel for å oppnå økonomisk gevinst, er fremdeles en høyst aktuell sikkerhetstrussel. Men bildet er langt mer sammensatt nå enn det var da Wannacry herjet i 2017. I dette innlegget ser vi på metodene hackerne bruker, og hva din bedrift kan gjøre for å sikre seg.
Den mest brukte metoden er i dag phishing i kombinasjon med skadelig programvare (malware). Phishing er en metode som bruker e-post til å forsøke å lure mottaker til å klikke på en link eller til å gi fra seg informasjon, som personalia, kontoinformasjon, brukernavn og passord eller liknende, sier Thomas S. Pichler, Pre-Sales & Product Specialist Security i ALSO.
Ofte sender hackere ut milliarder av eposter, og prøver å finne svake ledd i organisasjonen. Og av de milliardene er det noen som lar seg lure til å gi ut sensitiv informasjon, sier Pichler.
Hackerne blir stadig bedre til å lage falske e-poster, og det er lett å overse en potensiell skadelig epost i den store mengden epost mange av oss mottar hver dag. Det er derfor viktigere enn noen gang å sørge for at man begrenser antallet unyttige eller potensielt skadelige eposter brukerne mottar, samtidig som man lærer brukerne å kjenne igjen en mistenkelig epost.
En kamp mellom det gode og det onde
WannaCry var en ransomware som ble spredt via epost, hackede websider og fra maskin til maskin via det lokale nettverket. Nylig slapp Europol en ny rapport som viser at Norge er blant de landene i verden som har flest tilfeller av mail som inneholder lenker som kan utløse slike «gisselsituasjoner», hvor man må betale for å få igjen tilgang til filer.
- Alle operativsystemer har svakheter, og hackerne ser etter disse svakhetene og sårbarheter som gjør at de kommer seg rundt sikkerhetsmekanismene. Leverandørene kommer fortløpende med oppdateringer hvor de forsøker å «tette hullene». Med andre ord, dette er et rotterace hele veien, sier Pichler.
En annen kjent metode hackerne bruker er å kjøpe tilgang til databaser med brukernavn og passord hentet fra hackede nettsider. La oss si at du bruker epost@gmail.com som brukernavn, og eple123 som passord på et nettsted, dette blir hacket og hackerne får tilgang til brukerdatabasen. Da kan de bruke denne til å forsøke å logge inn på ulike nettsteder, eller forsøke å «gjette» passord under fremtidige angrep ved hjelp av rå datakraft (ofte kalt «Brute Force» angrep).
- Så dersom du bruker samme e-post og passord på flere sider er du sårbar, samme dersom du har et passord som er på listen over «mest brukte passord», sier Thomas Pichler.
Hackerne blir stadig mer sofistikerte. Stadig flere hackere bruker nå maskinlæring sammen med historiske data til å optimalisere et angrep mot et gitt mål. Sikkerhetsleverandørene bruker også maskinlæring i mange av sine løsninger til å fange opp kjente og ikke minst ukjente trusler. Så det er hele tiden en kamp om hvem som har de smarteste algoritmene og det beste datagrunnlaget.
Hvordan kan bedriftene beskytte seg
Hacking og annen form for Cyberkriminalitet er en økende form for kriminalitet som både bedrifter og Norge som nasjon må ta på alvor. 30. januar 2019 åpnet politiet nasjonale Cyber Crime-senter (NC3) for å håndtere økningen i cyberkriminalitet.
- Det viktigste bedriftene kan gjøre er å lære opp brukerne skikkelig. Det er her de fleste feiler. De undervurderer hvor viktig det er at brukeren er informert og opplyst, sier Pichler.
Han forteller at det finnes mange eksempler på bedrifter som bruker store summer på avanserte sikkerhetsløsninger som tar det aller meste som treffer brannmuren og miljøet. Men så er de ikke gode nok til å lære opp brukerne.
Det aller beste er selvfølgelig at brukerne aldri mottar infiserte eposter eller eksponeres for noe som potensielt kan skade bedriften.
De optimale er at skadelige eposter stoppes før de havner i innboksen til brukerne ved at de fanges opp av sikkerhetsløsninger som forstår hvilke eposter som kan være skadelige, forklarer Pichler.
Men, det er ikke lenger slik at det holder med antivirus og brannmur, du må ha flere lag med sikkerhet.
Men hva hvis skaden skjer? En ansatt trykker på en lenke de ikke burde?
- Da bør man ha et ekstra sikkerhetslag. Et verktøy som klarer å identifisere, stoppe og nøytralisere en trussel. La oss si at data plutselig krypteres i høy hastighet, da bør denne prosessen kunne gjenkjennes og stoppes før uopprettelig skade skjer, forklarer Pichler.
I tillegg bør det sikres at ikke problemet sprer seg.
- Man bør ha et synkronisert og automatisert forsvar, slik at en PC eller server som blir kompromittert, blir isolert fra det øvrige miljøet og mottiltak iverksatt. Først når skadelig programvare er fjernet vil isolasjonen oppheves, forklarer Pichler.
Hvilken programvare trenger man?
Alt er bedre enn ingenting, kan man kanskje si. Men det beste er å velge en leverandør som kan tilby en løsning som beskytter mot ukjente, så vel som kjente trusler uten å komplisere administrasjon og vedlikehold av miljøet. Under er et par alternativer vi varmt kan anbefale:
Sophos er en ledende totalleverandør av sikkerhet som gjennom sitt «Synchronized Security» konsept gir enkel administrasjon og et synkronisert, automatisk forsvar som bidrar til å stanse et eventuelt angrep og forhindre spredning. https://www.alsosoftware.no/sophos/
Leverandør av klient- og server sikkerhetsløsninger så vel som sårbarhetsanalyse for å avdekke svakheter i eget miljø. https://www.alsosoftware.no/f-secure/
Totalleverandør innen epost-sikkerhet. https://www.alsosoftware.no/mimecast/
- Som IT forhandler er det viktig at man er kjent med trusselbildet og de løsningene som finnes, slik at man kan gi kundene gode råd og sikre IT-løsninger, sier Pichler.
