Af Jakob D. Lund, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
I it-sikkerhedsvirksomheden Check Point er man begyndt at udgive en årlig sikkerhedsrapport. Det gør flere andre sikkerhedsvirksomheder også, men til forskel fra deres, som er baseret på spørgeskemaundersøgelser og interviews, er Check Points undersøgelse baseret på data fra faktiske angreb i virksomheder verden over. Det giver – ifølge Check Point selv – en mere præcis kontur af trusselsbilledet verden over, fordi der godt kan være forskel på, hvad virksomheder selv siger om eventuelle angreb, og hvad der er fakta. Den pointe vender vi tilbage til.
Stigning i kidnappede data
Jan Johannsen er teknisk chef i Norden for Check Point. Han indleder med at fortælle, at selvom der er flere tendenser, der går igen fra 2013-versionen til 2014-versionen af sikkerhedsrapporten, så er der også markante forskelle de to år imellem.
“Noget af det, der skiller sig ud, er stigningen af malware inden for begrebet ‘ukendt malware’ eller zero day-angreb, som de også betegnes. Her har vi set en forøgelse på 140 procent i forhold til 2013,” siger Jan Johannsen.
Han forklarer, at det som sikkerhedsbranche er svært at trænge igennem til virksomhederne, når man forsøger at fortælle, at det ikke længere er nok med traditionel beskyttelse såsom firewall, antivirus og Intrusion Prevention System.
“Ukendt malware kan ikke detekteres med traditionelle værktøjer. Der skal andre midler til, og det kan stadig være svært for virksomhederne at forstå,” siger Jan Johannsen.
“En anden ting, der skiller sig ud i 2014-rapporten, er antallet af ransomware-angreb. Det har i lang tid været kendt, at cyber-kriminelle kan kryptere brugerens indhold og så bede om en løsesum for at ophæve krypteringen. Men i efteråret 2013 så vi pludselig, at antallet af angreb voksede meget pludseligt. Vi blev ringet op af vores kunder, som fortalte, at nu var deres arbejdsplads blevet låst – hvad skulle de gøre? Desværre måtte vi fortælle dem, at der ikke var meget, de kunne gøre udover at få renset ud og finde backuppen frem bagefter. Man skal aldrig betale løsesummen. Erfaringen siger, at det ikke nytter noget, og derudover risikerer man bare, at de kriminelle stjæler kreditkortinformation og udnytter det.”
Software simulerer potentiel trussel
Når cyber-kriminelle i zero day-angreb udnytter en sårbarhed, som producenten ikke kender til, så er der vel ikke meget at stille op som virksomhed? Så kan man vel ligeså godt forberede sig på, at de cyber-kriminelle har fået adgang til fortrolige oplysninger?
“Nej, man kan godt stille noget op,” siger Jan Johannsen.
“Sikkerhedssoftwaren gør, at man får den ukendte data ind, og så simulerer softwaren, hvad data gør ved en arbejdsplads. Hvis det gør nogen som helst skade, stopper man det ved indgangen. Et eksempel: En ansat i en virksomhed bliver meget interesseret i at læse en rapport, der ligger til download som en pdf-fil på nettet. Det er der nogle hacker-drenge, der finder ud af. Så de tager pdf-dokumentet og køber sig til en zero day-sårbarhed for eksempelvis 100 dollar, som de får lagt ind i dokumentet. Så sender de dokumentet til den interesserede medarbejder – evt. fra en kilde han stoler på – vel vidende, at han højst sandsynligt vil åbne det. I det øjeblik han åbner dokumentet, bliver den skadelige kode eksekveret på arbejdsstationen, og så er skaden sket,” siger Jan Johannsen.
Hvad gør softwaren helt præcis?
“Den kigger på pdf-filen og ser, om den gør noget mistænkeligt. Det kan være, at den begynder at skrive nye filer ned på disken eller genererer netværkstrafik i stedet for bare at åbne dokumentet med Adobe Reader. I det tilfælde kommer dokumentet ikke videre, men bliver stoppet i det simulerede miljø.”
Foregår den simulering i realtid?
“Næsten. Det tager måske et minut at lave simuleringen. Hvis det er en mail, man modtager, har det ingen betydning. Men hvis man henter noget ned fra nettet som download, vil man opleve en smule ventetid,” siger Jan Johannsen.
EU-forordning på vej
Han forklarer, at selvom Check Points’ sikkerhedsrapport er global og har indhentet virksomhedsdata fra næsten 1000 virksomheder i 122 lande, så flugter resultaterne meget godt med virkelighedsbilledet i Danmark.
Så hvordan ser det ud i Danmark efter jeres mening? Har de danske virksomheder styr på sikkerheden?
“Både ja og nej. Alle CIO’s i Danmark ved godt, at de regelmæssigt skal gennemgå virksomhedens it-sikkerhed og vurdere det aktuelle trusselbillede. Har vi de rigtige låse på vores døre, og hvis ikke vi har det, hvad vil det så koste os at få det kontra, hvad vil et angreb koste os i omdømme eller kroner og ører? Den vurdering har langt de fleste virksomheder styr på. Men som rapporten også afslører, er der fra 2012 til 2013 sket en stigning i antallet af bot-infektioner i virksomheder fra 68 procent til 73 procent. Det gælder også i danske virksomheder, hvor det tidligere er blevet anslået, at der findes op til 100.000 botnet-inficerede arbejdspladser. Det betyder, at cyber-kriminelle via en botnet-inficeret arbejdsplads kan fjernkontrollere systemer og eksempelvis høste fortrolig information eller iværksætte et DDoS-angreb,” siger Jan Johannsen og fortsætter:
“I Danmark er der på grund af lovgivningen ikke mange sager omkring it-sikkerhedsangreb, som kommer i offentlighedens søgelys. Det skyldes, at danske virksomheder ikke har rapporteringspligt. Det har man i en del andre lande. Og det vil sige, at i det øjeblik, de bliver ramt af noget, skal de informere kunder og myndigheder.”
I øjeblikket arbejder EU på at reformere og ensrette reglerne for databeskyttelse på tværs af unionen. Det sker i form af en EU-forordning, som allerede er vedtaget, og som står til at træde i kraft i løbet af 2015. Den betyder blandt andet, at bødeniveauet for brud på persondataloven kan ende på op til fem procent af omsætningen, dog med et loft på 100 mio. euro.
“Jeg vil sige, at det er på sin plads, at man har en form for indberetningspligt som virksomhed, hvis man er blevet ramt af noget. Specielt hvis det er gået ud over kunder. I dag forsøger mange danske virksomheder at dække over angreb for at undgå de omkostninger, der er forbundet med, at omverdenen får besked om det,” siger Jan Johannsen.
Container-løsninger vinder frem
Som en kommentar til fremtidens trusselbillede og nogle af de it-trends, der dominerer i markedet, forklarer Jan Johannsen, at man for få år siden talte meget om begrebet MDM (Mobile Device Managemet) i forbindelse med, at mobility-bølgen skyllede ind over flere og flere virksomheder. Her var virksomhedens udgangspunkt, at de med en MDM-løsning skulle have den fulde kontrol over brugerens enhed for at forhindre, at der skete utilsigtet læk af fortrolige oplysninger – ved et uheld eller via angreb.
Men den tanke er man så småt gået væk fra.
“I dag ser vi flere og flere virksomheder, der er migreret over mod det, man kalder container-baserede løsninger for mobile enheder. Det går i al sin enkelhed ud på, at man indkapsler virksomhedsbaserede data i selve enheden. Det gør, at man kan bruge sin tablets private apps som altid, men i det øjeblik, man skal lave noget virksomhedsrelateret på enheden, skal man logge ind i en container, hvor alle data ligger krypteret. På den måde kan sønnike ikke ved et uheld komme til at gøre noget dumt, når han bruger tabletten derhjemme. Container-løsninger vinder frem, ”afslutter Jan Johannsen.
• Malware-aktiviteter er stigende både i hastighed og omfang
Generelt stiger aktivitetsniveauet for malware voldsomt år for år. I 2013 blev der fundet inficeret software hos 84 procent af virksomhederne, der deltog i undersøgelsen. 14 procent oplevede i 2012, at der blev downloadet malware hver anden time eller oftere. I 2013 er det 58 procent af virksomhederne, der oplever downloads med denne hastighed – altså mere end en tredobling
• “Ukendt” malware på dagsordenen
Malwaren er blevet smartere, mere avanceret og mere fleksibel i løbet af 2013. Check Points Threat Emulation-sensorer afslørede, at 33 procent af virksomhederne i undersøgelsen downloadede mindst én inficeret fil med ukendt malware i perioden mellem juni og december 2013. Af de inficerede filer var 35 procent PDF-filer. Nye værktøjer, som de såkaldte “crypters”, gør det muligt for malware-udviklerne at omgå antimalware-softwaren
• Bot-angreb stiger i antal
Bot-angreb var fortsat den mest udbredte trussel i 2013. En host-server blev angrebet hvert døgn. I 2013 blev der opdaget mindst én bot-infektion hos 73 procent af de overvågede virksomheder, hvilket er en stigning fra 68 procent i 2012. Check Point fandt, at 77 procent af bot-angrebene var aktive i over fire uger. Disse bots kommunikerede med deres Command and Control (C&C) hvert 3. minut
• Usikre applikationer resulterer i ”risky” business
I løbet af 2013 er der også sket en stigning i brugen af de såkaldte højrisikoapplikationer som eksempelvis anonymizers og fildelingsprogrammer, der i gennemsnit bliver brugt hvert 9. minut dagligt. Brugen af fildelingsprogrammer er steget fra 61 procent af virksomhederne i 2012 til 75 procent af virksomhederne i 2013. Samtidig er andelen af virksomheder, der kørte anonymizer proxy-applikationer steget fra 43 procent i 2012 til 56 procent af virksomhederne i 2013
• Fra ‘fortroligt’ til offentligt tilgængeligt
Med de seneste brud på og massetyveri af forbrugerdata fra virksomheder som Target, Neiman Marcus og Michaels, var tyveri af personlige data top-of-mind i 2013. Check Point-undersøgelsen viser, at 88 procent af virksomhederne fra undersøgelsen havde oplevet mindst én potentiel hændelse med tab af data til følge, hvilket er en stigning fra 54 procent i 2012. Hos 33 procent af de finansielle institutioner, som indgik i Check Points undersøgelse, blev kreditkortoplysninger sendt uden for virksomheden, og hos 25 procent af virksomhederne inden for sundhedsvæsnet og forsikringsbranchen skete der læk af personoplysninger.
Undersøgelsen er foretaget på basis af mere end 200.000 timers overvågning af internettrafikken via 9000 security gateways hos 996 virksomheder i 122 lande indsamlet i 2013.