Browserbaserede CRM- og CMS-systemer bombarderes med it-angreb

14. september 2016 kl. 22:5711
Angreb mod webbaserede CRM- og CMS apps er mere end fordoblet på et år.
person
/hm redaktion@version2.dk
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
/hm redaktion@version2.dk

Webapplikationer som Content Management Systemer (CMS), Customer Relationship Management (CRM) eller økonomisystemer, som typisk kun bruges via en browser, er et stigende problem.

> Den it-kriminelle kan finde på at modificere en kode eller installere en bagdør

Den største stigning i angreb ses i finanssektoren, hvor antallet af angreb er steget fra 31 til 82 procent siden 2015. Det viser Verizons sikkerhedsrapport fra 2016.

Men også uddannelses-, underholdnings- og informationsbranchen oplever en stor stigning i angreb, hvor alle ligger over 50 procent, skriver IT-Branchen i en artikel.

Artiklen fortsætter efter annoncen

Angrebene sker på flere forskellige fronter. Eksterne brugere, f.eks. kunder og partnere er udsat, men også interne brugere og administratorer bliver ramt, hvis de anvender en inficeret computer.

Logger en person ind via en inficeret computer, sendes brugernavnet og adgangskode til den it-kriminelle, som derefter kan frit logge ind i systemet.

Dog kan der også være en sårbarhed i selve applikationen, som gør det nemmere for hackerne at få adgang til følsomme oplysninger, som kan være alt fra finansielle oplysninger til ordrehåndtering og forretningsaftaler.

»Flere virksomheder vælger i dag at tilbyde f.eks. brugere og kunder adgang til følsom information via webapplikationer. Den stigende adgang øger risikoen for mulige angreb, og vi ved, at det kan være et problem at holde øje med og kontrollere sikkerheden. For gennem brugen af webapplikationer er vedligeholdelsen af systemet ude af virksomhedens hænder, og det skaber en større usikkerhed i anvendelsen af dem,« udtaler Jens Monrad, analytiker i FireEye og medlem af IT-Branchens it-sikkerhedsudvalg.

Adgang til applikationen bør overvåges

Bruger en virksomhed webapplikationer til følsomme oplysninger, er det vigtigt, at man sikrer, at adgangen til applikationen bliver overvåget, mener IT-Branchen.

»Vi ser typisk, at et succesfuldt angreb på webapplikationer også resulterer i, at den it-kriminelle kan finde på at modificere en kode eller installere en bagdør, som giver mulighed for en uautoriseret adgang. Har en virksomhed ikke processerne på plads i forhold til adgangskrav og overvågning af sikkerheden, kan angrebene være langvarige og derfor påvirke det efterfølgende arbejde,« fortæller Jens Monrad.

Større krav til leverandørernes it-sikkerhedsindsats og to-faktor autentificering af brugerne kan afhjælpe problemet, mener IT-Branchen.

Emner
11 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
Tonny Rabjerg
16. september 2016 kl. 21:46

Vi startede med at sælge vores product sent sidste sommer. Indtil videre har vores focus været banker. Når dette er sagt så er vi pt i dialog bade med CRM Cloud løsninger og ikke mindst med en række leverandører af IT Hosting og Service firmaer om inkludering i deres løsninger til bla HR og økonomi systemer, men pt., er ingen i production. Vi er pt i production med vores totale løsning i Indonesien og kører en række POC'er i Polen.

Vores seneste segmentering er at vi vil fokusere mere på virksomheder udenfor bank da vi ser et stort potentiale og behov i forbindelse med EU GDPR. Har også haft dialog med en række offentlige områder for beskyttelse af eks patient informationer og person data. Som skrevet overfor så ser vi en væsentlig større interesse i beskyttelse af web baseret løsninger og slutbrugeren, dvs medarbejder, partner eller kunde (indbygger)

  • more_vert
    • insert_linkKopier link
9
Tonny Rabjerg
16. september 2016 kl. 09:16

Hej Henrik, vores løsning ser ikke på hvilken applikation eller hvem der bruger en web løsning. Det vi gør det er at vi sikrer browser og sessioner ved at bruge obfuskering, kryptering, nøgler og ikke mindst propper browser i en sandbox hvor vi så holder øje med hjem der gør noget, dvs hvis det er andre end os så ser vi det som et angreb og stopper det, så ja vi kan også beskytte medarbejdere vendte løsninger.

Check evt vores video der findes på www.codesealer.com, specielt bør du lægge mærke til hvordan browser indholdet er krypteret, også efter at SSL er blevet dekrypteret

  • more_vert
    • insert_linkKopier link
7
Tonny Rabjerg
15. september 2016 kl. 19:22

Ja, jeg er en af dem der sælger en boks med software der kan hjælpe, indrømmet. Når dette så er sagt så hævder Gartner at web attacks i dag står for 10% af alle angreb der sker og personligt møder jeg også i dag en væsentlig større interesse end for 2 år siden hvor jeg startede i CodeSealer. Hvis vi ser hvor det svageste led er i kæden af sikkerhed så er det klart brugeren og hans device. Firmaer kan ikke få brugere til at downloade software og ofte vil de ikke være klar over at de bliver angrebet. Denne sårbarhed sammen med den nye EU GDPR som kræver større sikkerhed af vore kunder er klart med til at øge interessen på dette område, et område som generelt ikke er blevet dækket da de fleste løsninger er for beskyttelse bag Firewall. Som firma oplever vi denne større interesse specielt i lande som Polen, Indonesien, Asien generelt og nok noget mindre i Skandinavien. Tonny Rabjerg - CodeSealer INVISIBLE END-TO-END WEB SECURITY

  • more_vert
    • insert_linkKopier link
6
Jens Monrad
15. september 2016 kl. 12:45

Hej Henrik,

Det er ikke "vores" rapport, men en vi, som mange andre bidrager til. Du kan læse rapporten her: http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/

Side: 31 i PDF filen..

Jeg er enig i hvad du skriver, jeg tror som sådan også det er en kombination af flere ting. En udfordring, jeg kan se ved "pakkeløsningerne", er at der installeres en masse komponenter m.m., hvor det kan være svære at finde ud af, især hvordan det forholder sig med opdateringer af de enkelte elementer, som måske er sårbare nok til at kunne udnyttes i angreb, men jeg er helt enig med dig i, at det i højere grad drejer sig om et samspil mellem leverandør, bruger, udvikler og ledelse.

  • more_vert
    • insert_linkKopier link
5
Henrik Høyer
15. september 2016 kl. 11:55

Hej Jens

Viser jeres data at browserbaserede løsninger er mere usikre end "rigtige applikationer" eller er der bare flere forsøg på misbrug?

Jeg er helt enig i, at der kan bygges større sikkerhed ind i "rigtige applikationer", men min mavefornemmelse er at det ikke et teknologistack'en der er afgørende for om en løsning er sikker - det er i langt større grad et spørgsmål om kultur hos ledelse, udviklere, underleverandører og brugere.

  • more_vert
    • insert_linkKopier link
4
Michael Jensen
15. september 2016 kl. 09:25

Godt ord igen Jens. Jeg er helt enig i dine betragtninger :-)

  • more_vert
    • insert_linkKopier link
3
Jens Monrad
15. september 2016 kl. 09:06

Er ikke sælger ;) .. Jeg tror faktisk heller ikke vi har en løsning i form af en kasse, som kan beskytte mod sårbare komponenter i web apps. Men uanset hvad, så var det som sådan heller ikke min pointe.

Der kan gøres meget i forhold til sikkerhed, uden at skulle kigge på køb af nyt udstyr eller teknologi og især omkring monitorering af systemer rettet mod eksterne brugere med en forbindelse til interne systemer.

Man er selvfølgelig velkommen til at købe og investere i en masse IT sikkerhedsudstyr, men personligt, tror jeg man skal starte et andet stedet. Man kan jo også blot ende ud i at sidde med en masse teknologi, som man ikke har forudsætninger for at bruge, fordi man ikke har kontrol over sine interne processer og procedurer..

Derudover findes der ikke 100% sikkerhed (det er vidst kun noget sælgere siger ;)), så man gør sig selv en stor tjeneste at have styr på sin infrastruktur, dokumentation, kritiske værdier osv. Især når eller hvis man bliver kompromitteret.

  • more_vert
    • insert_linkKopier link
2
Michael Jensen
15. september 2016 kl. 08:21

Er Jens ikke stadigvæk sælger af kasser der lige netop kan imødegå denne trussel?

  • more_vert
    • insert_linkKopier link
1
Ulrik Rasmussen
15. september 2016 kl. 07:57

Jeg kan ikke rigtig regne ud hvad tallene i denne artikel betyder.

Den største stigning i angreb ses i finanssektoren, hvor antallet af angreb er steget fra 31 til 82 procent siden 2015

Hvad menes der her? 82 procent ud af hvad?

  • more_vert
    • insert_linkKopier link