Hackerne blir smartere. Uten riktige forsvarstiltak er du dessverre sjanseløs.
Si hva du vil om kriminelle, men de gjør en langt bedre jobb enn den typiske norske bedrift i å digitalisere seg. Det er store penger å hente i å utnytte nordmenns avslappede forhold til datasikkerhet – og de kriminelle løper nesten ingen risiko for å bli tatt.
Problemet er at mange henger igjen i en utdatert forståelse av hva hacking og cyberangrep er for noe. Det holder ikke å sette opp en brannmur og installere et antivirusprogram.
Fremtidens dataangrep er her allerede. Og det er bare å forvente eksponentiell vekst av denne typen angrep i årene som kommer. Men – har du kunnskap om hvilke metoder de kriminelle bruker, er det ikke umulig å beskytte seg mot dem.
Den tradisjonelle brannmuren er sprengt
Dersom ikke bedriften din har en brannmur som er i stand til å dekryptere trafikk, burde det være prioritet nummer én å få på plass. Nå som det overveldende flertall av URL-er bruker https, er det i praksis umulig for en tradisjonell brannmur å oppdage mistenkelig trafikk i bedriftsnettverket. Den kan være så kraftig du bare vil, men vil være sjanseløs til å stoppe krypterte trusler.
Med en enorm mengde trafikk som går ut og inn av nettverket ditt hver eneste dag, drukner den infiserte trafikken i en strøm av legitim trafikk fra bedriftens ansatte. Brannmuren vil ikke ha mer å gå på enn en URL eller i beste fall en IP-adresse, og dersom disse ikke allerede er registrert som en skadelig signatur, vil det ikke lyse noen varsellamper.
Du er nødt til å være i stand til å identifisere hva trafikken inneholder av atferd, og ha automatiske verktøy som kan gjenkjenne atferden som skadelig. Dette er det vi kaller for Next Generation Firewall – henger du igjen i forrige generasjon er det på høy tid med en oppdatering.
Datakriminelles viktigste våpen: Usynlighet og tålmodighet
«The greatest trick the devil ever pulled, was convincing the world he didn’t exist.»
– The Usual Suspects
Har du uten hell forsøkt å overtale daglig leder til å investere i datasikkerhet, vil du kanskje kjenne deg igjen i sitatet over. Den kanskje skumleste trenden innen moderne dataangrep er at de kriminelle har blitt tilnærmet usynlige. Nettverket ditt kan være gjennominfisert av inntrengere, men uten riktige verktøy er det likevel som å finne en nål i en høystakk.
Uttrykket dataangrep er nesten litt misvisende, ettersom angrep høres veldig aggressivt ut. Fremtidens dataangrep går over lang tid, og er oppdelt i mange bittesmå, nesten umerkelige operasjoner.
Vi skal ta for oss noen typiske metoder som allerede er i bruk, men som også kommer til å øke drastisk fremover.
Oppstykking av filer og kommandoer
Si at en hacker ønsker å hente ut sensitive filer fra bedriftsnettverket ditt. I 2020 vil han sjelden gjøre dette i én overføring. For å gjøre trafikken liten og umerkelig, vil han heller stykke opp filen i mindre deler, og sende den litt etter litt – ofte over en lengre tidsperiode.
For å være enda mer umerkelige, har mange nå begynt å sende kommandoer over DNS, som for eksempel forteller hvilken IP-adresse som skal gjøre neste overføring. Slik får de en kommunikasjonsflyt som går over DNS fra en angriper, helt separat fra kommunikasjonsflyten som går ut – spredt over mange forskjellige IP-adresser.
Slik kan datakriminelle holde på over flere uker eller måneder – én liten kommando her, én liten overføring der – uten at noen i bedriften får med seg noe som helst.
Målrettet malware er usynlig for antivirus
For å utføre disse operasjonene, må inntrengeren finne en vei inn i nettverket ditt. Ofte vil dette skje gjennom e-post, og da snakker vi ikke bare om helt åpenbare phishing-forsøk som hvem som helst vil oppdage. En soleklar trend fremover vil være målretting mot enkeltpersoner i bedriften, der e-posten ofte vil se ut som den er sendt fra en overordnet eller kollega personen stoler på.
Selv om du har antivirus på plass, finnes det lett tilgjengelige verktøy og tjenester på det mørke nettet, som enkelt kan lure seg rundt sperringene.
Et eksempel kan være en infisert fil, si et Word-dokument, som er satt opp slik at det kun vil trigge infeksjonen dersom en bestemt bruker (mottakeren) scroller til side 7 av dokumentet. Antivirus-programmet vil dermed ikke trigge infeksjonen, og markere dokumentet som trygt.
Bakdører bygget inn i kildekoden din
Vi ser også at mange kriminelle har begynt å utnytte det faktum at mange kodere er under kraftig tidspress når de bygger løsninger for bedrifter – og dermed lener seg på eksisterende kildekode som ligger gratis på for eksempel Github.
Det er dermed lett for kriminelle å laste opp egen gratis kildekode – med en subtil bakdør skjult mellom linje på linje med legitim kode. Dersom du ikke har rutiner og verktøy for å oppdage dette, kan de kriminelle spasere rett inn og forsyne seg med alt de vil ha – så fort du går live.
Du er nødt til å inkludere testing av koden for denne typen unormalheter i DevOps-hjulet deres, selv om det vil kreve litt ekstra tid og ressurser.
Hvordan beskytte deg mot fremtidens dataangrep?
Det er et leit faktum at i de fleste tilfeller ligger de datakriminelle et hestehode foran. Særlig i et tillitssamfunn som Norge er det vanskelig å få mange ledere til å ta trusselen datakriminalitet faktisk utgjør på alvor.
Omfanget av dataangrep vil etter all sannsynlighet øke kraftig i årene som kommer, så det får være en mager trøst at det kanskje vil få flere til å åpne øynene. Du har likevel ikke tid til å vente på at det skal skje.
For å oppdage inntrengere i tide er du nødt til å ha på plass automatiske verktøy for å gjenkjenne skadelig atferd og ikke bare allerede registrerte signaturer. Disse må gå på tvers av de ulike komponentene og løsningene deres, ettersom angrepene også ofte er spredt på tvers av dem.
Ved å overvåke og korrelere hva som skjer i hele den digitale infrastrukturen din, gjør du det vanskelig for de kriminelle å holde seg usynlige. Oversikt og synlighet er dine beste våpen i kampen mot datakriminalitet.
Ta kontakt dersom du ønsker å snakke med oss IT-sikkerhet i din bedrift.
