Omfattende rapport: It-folk bøvler rundt i en forstokket sikkerhedstankegang år efter år

Firewall, antivirus, og så kører det på it-sikkerhedsfronten. »Nej, selvfølgelig ikke,« vil en del Version2-læseres umiddelbare reaktion måske være.

Og selvom sådan en reaktion er på sin plads, så lader den tankerække ikke til at være sivet ind hos en del it-afdelinger. Det er i hvert fald det indtryk, som Verizons årlige sikkerhedsrapport 'Data Breach Investigations Report' efterlader.

Den bygger på analyser af over 2.200 bekræftede tilfælde af brud på datasikkerheden samt over 100.000 indrapporterede sikkerhedshændelser fra en lang række organisationer verden over.

Blandt andet har Intel, Cisco og Deloitte bidraget med data til rapporten, som kan hentes her.

Af rapporten fremgår det, at it-sikkerhedshændelser hovedsageligt kan placeres inden for ni kategorier. Og det er de samme ni mønstre, der også prægede rapporten fra 2014.

En af kategorierne er eksempelvis angreb mod web-apps. Den dækker over hændelser, hvor en web-app udgør en del af et angreb. En anden kategori er fysisk tyveri og tab. Her er den overordnede anbefaling, at fuld diskkryptering er en god idé.

Blandt de øvrige kategorier er DDoS-angreb, crimeware (herunder malware), og så er der også en kategori som ‘payment card skimmers’ - altså fysiske scannere ved pengeautomater - som ikke direkte relaterer sig til traditionel it-sikkerhed.

Gammeldags tankegang

Lederen af Verizons risk-team, Lorenz Kuhlee, har været med til at udarbejde Verizon-rapporten. Og han mener, at når det her i 2016 er muligt at identificere de samme ni overordnede mønstre i forhold til it-sikkerhedshændelser, som det var tilfældet i 2014, så indikerer det, at der er sket for lidt rundt om i verdens it-afdelinger, når det gælder it-sikkerhed.

»Vi har stadig en gammeldags (eng. legacy, red.) tankegang. Man tror stadig, at hvis man har firewall og antivirus, så er man sikker,« siger han til Version2.

Lorenz Kuhlee påpeger, at hvis it-afdelingen havde forbedret sig de senere år, hvad it-sikkerhed angår, så ville det ikke stadig være de samme mønstre, som de it-kriminelle i stor stil anvender.

Antivirus og firewall er fint

Både antivirus og firewall er bestemt en god idé at have i sin organisation som en del af basis-sikkerheden, påpeger han. Men det gør det altså ikke alene.

Eksempelvis slår traditionel signaturbaseret antivirus dårligt til som eneste værn i en verden, hvor de kriminelle konstant flytter rundt i koden på eksisterende malware, så antivirussen ikke længere fanger den.

Ligesom en firewall i sig selv heller ikke nødvendigvis kan stille noget op mod målrettede phishing-angreb, der ankommer via virksomhedens mail-system.

For at undgå utøj på virksomhedsnettet er patching en god ide. Men det er dog langtfra alle, der praktiserer dette.

Som eksempel nævner Lorenz Kuhlee, hvordan adskillige servere rundt om i verden stadig har vist sig sårbare over for den grumme shellshock-sårbarhed lang tid efter, at sårbarheden blev bredt kendt.

Data Breach Investigations Report 2016

• 89 procent af alle angreb har et økonomisk motiv eller kan kategoriseres som spionage.
• De fleste angreb udnytter sårbarheder, som ikke er blevet lukket, selv om de relevante sikkerhedspatches har været frit tilgængelige i månedsvis og nogle gange endda i årevis. Faktisk bliver de 10 mest kendte sårbarheder brugt til at udføre 85 pct. af alle bekræftede brud på datasikkerheden.
• 63 pct. af alle brud udnytter svage, stjålne eller standard-passwords.
• 95 pct. af alle brud og 86 pct. af alle sikkerhedshændelser gør brug af ni angrebsmønstre.
• Antallet af angreb, der anvender ransomware, er steget med 16 pct. i løbet af 2015.
• Den grundlæggende it-sikkerhed er stadig ikke på plads i mange organisationer.

Kilde: Data Breach Investigations Report 2016, Verizon

Og da sårbarheden for længst er kendt og gjort bredt anvendelig, betyder det, at enhver med en forholdsvis lille indsats potentielt kan kompromittere en organisations webserver.

»Vi er stadig ikke gode nok til at forsvare os selv på den rette måde. Det betyder, at vi stadig er dårlige til at patche vores systemer rettidigt. Hvis man ikke kan patche sine systemer rettidigt, så må man foretage andre tiltag rundt om dem.«

Lorenz Kuhlee medgiver, at det ikke nødvendigvis er helt let at imødegå alle trusselsscenarier, men nogle er lettere end andre. Eksempelvis er phishing svært at gøre noget ved, siger han.

Netop phishing er ifølge Verizon-rapporten steget med 23 procent i forhold til året før.

For at komme problemet til livs kræver det, at man skaber awareness blandt brugerne, forklarer Lorenz Kuhlee. Men alligevel kan det være svært at sikre sig mod, at nogen alligevel får klikket på den forkerte fil eller trykket på det forkerte link.

Der er dog også andre, mere lavthængende frugter, en it-afdeling kunne give sig i kast med.

»Men andre ting - patch dine systemer, to-faktor-autentifikation og netværkssegmentering, sådan noget - det er let at håndtere,« siger Kuhlee.

Få styr på netværket

Han mener, at organisationer i dagens trusselsbillede i et eller andet omfang må antage, at de bliver kompromitterede. Og at de for den sags skyld allerede er det. Og for at komme den udfordring til livs er det en god idé at få styr på sin netværkstrafik.

Ser alt normalt ud, eller er der uregelmæssigheder, der kunne indikere, at noget lusk er på færde?

»Vi er stadig meget dårlige til at detektere en trussel. Hvis en virksomhed bliver bevidst om en trussel, kommer den som regel fra tredjepart,« siger Kuhlee.

Som eksempel på en tredjepart nævner han en politimyndighed, der får fat i en command and control-server, som de kriminelle bruger til at fjernstyre malware med.

Og her optræder der så måske en ip-adresse, der viser sig at tilhøre en virksomhed, som så ad den vej bliver varskoet om, at organisationen kan være kompromitteret.

Kuhlee fortæller, at der efter hans erfaring kan gå ganske lang tid, hvor en organisation kan være kompromitteret, uden nogen opdager, at noget er galt. Sådan et par eksempler har Center for Cybersikkerhed også tidligere kunnet fortælle om i Danmark.

Anbefalinger til logning

For at få styr på netværket, så det er muligt at detektere, om organisationen er blevet kompromitteret, anbefaler Kuhlee, at man gør sig bekendt med sit system og finder ud af, hvordan det opfører sig under normal drift for på den måde at kunne opdage, hvis noget er unormalt.

Styr på netværket indebærer eksempelvis også centraliserede logfiler, så det er muligt at se, hvad der er foregået på netværket.

De konkrete tiltag er dog individuelle i forhold til de enkelte organisationer, påpeger Kuhlee.

»Sikkerhed er ikke noget, hvor du bare går ned ad en liste, abc, og så har du sikkerhed.«

I forhold til logning så har Center for Cybersikkerhed netop udgivet et skrivelse med titlen 'Logning – en del af en godt cyberforsvar'. Den indeholder en stribe konkrete anbefalinger til logning. Eksempelvis i forhold til, hvor længe logdata bør opbevares.

I indledningen til rapporten fra CFCS, som kan læses her (PDF), står der:

»Center for Cybersikkerhed (CFCS) ser ofte, at organisationer bliver ramt af cyberangreb, hvor man efterfølgende kan konstatere, at vigtige logs fra de berørte it-systemer ikke er til rådighed til at analysere angrebet. Logning - og opsamling af disse - fra udstyr og systemer i organisationens infrastruktur er afgørende for myndigheder og virksomheders evne til at opdage et cyberangreb hurtigt og efterfølgende effektivt afdække konsekvensen.«

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.