Af Lars Bennetzen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Med et nyligt angreb mod password-manageren ClickStudios er de cyberkriminelle gået ind på et nyt område – inficering af supply chain, altså de software- og serviceleverandører, som brugerne ellers stoler på. Det bringer virksomhederne ind i et helt nyt og farligt farvand, for hidtil har man mere eller mindre blindt stolet på software og opdateringer, vi får fra partnere og leverandører.
”Med angrebet mod Mærsk for et par år siden så vi en slags generalprøve på angreb via supply chain. Mærsk var ikke dem, der skulle rammes. De var en slags ”collateral damage”. Men det viste, hvor effektivt den type angreb er,” siger Leif Jensen, CBO i sikkerhedsfirmaet ESET Nordics.
Angriberne igen et skridt foran
I dag er de fleste virksomheder blevet ret gode til at beskytte sig mod de kendte og mere traditionelle angrebsmetoder, men med angreb direkte mod supply chain er det, igen, de kriminelles tur til at være et par skridt foran.
”Det er rigtig svært at beskytte sig mod den type angreb. For normalt stoler vi jo på opdateringer til software, vi har købt og betalt. Samtidig er det jo ikke nybegyndere, der er i stand til at hacke en softwareudvikler og lægge skadelig kode ind i deres opdateringer, og det gør det endnu mere vanskeligt at beskytte mod den type angreb,” forklarer Leif Jensen.
Det bliver en dobbelt udfordring, når virksomhederne så ovenikøbet kommer til at stå i den situation, hvor de på en ene side bliver opfordret til at opdatere så hurtigt som muligt for at lukke sikkerhedshuller, og på den anden måske ikke kan stole på opdateringerne.
”Samtidig hjælper det ikke en gang ret meget, hvis virksomhederne har mulighed for at rulle opdateringen ud i et testmiljø først. For de færreste har de tekniske kompetencer ansat til at kunne analysere opdateringen og finde den skadelige kode,” pointerer Leif Jensen.
Vent med at opdatere
Leif Jensen anbefaler derfor, at man måske lige venter et døgns tid, før nye opdateringer bliver rullet ud. For normalt så bliver denne type angreb fundet inden for det første døgn, og det kan godt være, at det er lidt mere besværligt, men det er samtidig mere sikkert.
”Vi kan jo bare se på angrebet mod ClickStudios. Nu står virksomhederne her med bøvlet om at skulle nulstille alle passwords, der ligger i programmet, og samtidig finde alle de konti, som måtte være kompromitterede – det er langt mere besværligt,” mener Leif Jensen.
Endelig så kommer Leif Jensen med det gode råd, at virksomheder bør abonnere på tjenester, der leverer et nyhedsbrev om trusselsbilledet tilpasset den enkelte virksomhed og deres systemer.
”Den type tjenester er vi flere, der har tilbudt i flere år. Men det har ikke været så populært. Vi ser dog, at der er kommet en større interesse, og med denne type angreb kan det give rigtig god mening – det er en af de få måder, du kan være bare nogenlunde på linje med det cyberkriminelle på,” slutter Leif Jensen.