360 grader – en ny syn på cybersäkerhet

Cybersäkerhet i fyra steg: förebygga, skydda, upptäcka och lösa.

Författare: Christer Spörndly
Datum: 05.04.2016
Lästid: 9 Minuter

IT-säkerhet är inte längre något som göms undan på teknikinriktade nyhetstjänster eller mer eller mindre svårförståeliga bloggar. Området har utvecklats – och tar man ett större grepp och pratar om cybersäkerhet har det blivit något som debatteras mellan amerikanske presidentkandidater och i allra högsta grad något som påverkar hela samhället. Alla påverkas – inte bara enskilda användare eller enskilda företag. Nu handlar det om att skydda allt från en telefon till kärnkraftverk.

Denna nya verklighet har kommit snabbt och innebär lite av en kalldusch för många företag. Digitaliseringen innebär att IT blivit mer än en kostnadspost och att cybersäkerheten inte sällan är en rent affärskritisk fråga. Att skydda kunders data och integritet är exempelvis en nödvändighet för många. Om inte annat räcker det med att titta på fallet där den uppmärksammade sajten Ashley Madisons hackades för att förstå eventuella katastrofala följder för såväl företaget som de som drabbas.

Politiker har också fått upp ögonen. Det ställs högre och högre krav från myndighetshåll på att företag ska garantera en viss typ av säkerhet. Vissa politiska ideer, som exempelvis att alla företag måste tillhandahålla bakdörrar så att myndigheter kan komma åt information, är kanske inte helt genomtänkta, men faktum kvarstår att kraven blir högre även från lagligt håll.

Vi ser alltså helt nya krav. Både av nödvändigthet och påtvingat. Företagen måste hur som helst förhålla sig till dessa krav och för många är det hög tid att ta en helt ny approach till säkerhet. Så varför ta till ett nytt begrepp som cybersäkerhet? Vad skiljer cybersäkerhet från mer traditionell IT-säkerhet? Och varför kan vi inte fortsätta i gamla spår?

Måste vi starta om från början?

En del väljer att tolka det nyare begreppet cybersäkerhet som att det är dags att slänga ut barnet med badvattnet. Rubriken ”death of anti-virus” har delats flitigt inom vissa kretsar. Och visst handlar det är om ett fundamentalt skifte i synen på säkerhet, det har vi redan konstaterat, men det innebär inte att allt måste göras om i grunden. Och att döma ut anti-virus som föråldrat och onödigt är helt klart för tidigt att göra.

Både hot och säkerhet utvecklas – anti-virus handlar inte längre bara om signaturer

Har du samma skydd för din IT-miljö idag som för 20 år sedan så har du ett problem. Men samtidigt förändras inte hotbilden över en natt heller. Istället utvecklas dom över åren. Och det gör även säkerhetslösningarna. Anti-virus handlar ju inte längre bara om ren signatur-baserad skanning. De lösningarna har utvecklats och samverkar idag med en rad andra lösningar och funktioner. Men anti-virus är fortfarande en viktig komponent i helheten. Och vissa typer av hot behöver inte förhållandevis resurskrävande heuristiska och blixtsnabba lösningar för att hittas. Bara det ett bevis för att anti-virus är långt ifrån dött.

 

”2008 kompletterade F-Secure vår traditionella anti-virus teknologi med DeepGuard, en avancerade heuristisk lösning som kunde upptäcka zero-day attacker. F-Secures Object Reputation Service Platform (ORSP), som idag är en vital del av F-Secure Secure Cloud, lades till 2009 och minskade tiden det tog att hitta skydd mot nya säkerhetshot från timmar till minuter. Samtidigt ger traditionell, signatur-baserad skanning oss möjligheten att optimera resurserna. Att klassificera något utifrån signaturer kostar 10 millisekunder CPU-tid. En grundläggande analys kan ta upp till fem minuter.”

Jarno Niemelä – Senior Researcher på F-Secure Labs

Dagens paradigmskifte – det är nu det händer

Oavsett hur snabbt teknik utvecklas så kvarstår faktum att företag måste hantera säkerhetsfrågor fundamentalt annorlunda idag än för bara fem år sedan. Det finns många anledningar till den verkligheten, men två trender som verkligen tvingar fram den nya approachen kring cybersäkerhet.

Digitaliseringen är den första. Denna sker i en rasande fart och blir en allt mer integrerad del av kärnverksamheten. En säkerhetsincident är inte längre bara ”mer tid för IT-avdelningen” utan plötsligt ett hot mot hela affären.

Den andra trenden är utvecklingen kring säkerhetshoten i sig. Dessa blir allt mer vanliga och allt mer sofistikerade. 2014 var det åttonde året i rad som antalet upptäckta malware-attacker fördubblades. Fördubblades. Det innebär i snitt 81 attacker per minut! Och utvecklingen stannar knappast av.

Attackerna blir inte bara fler och fler utan även smartare och smartare. En anledning är förstås att flera länder på nationell nivå börjat satsa på spionage eller annan verksamhet som bygger på denna typ av attacker. Enorma resurser läggs på att hitta sårbarheter och attackpunkter gentemot såväl andra stater som företag och privatpersoner. Malwaret Duqu 2.0, som användes för att attackera en specifik säkerhetsleverantör, beräknas ha kostat upp till 10 miljoner dollar att ta fram. Och de lösningar som finansieras och tas fram på detta sätt plockas i nästa steg upp av kriminella. Detta är också en verklighet som gör att vissa myndigheters insatser och försök att proaktivt skapa bakdörrar de ska kunna använda är kontraproduktivt och en skrämmande utveckling. Det stater använder kommer även kunna användas av andra, mindre nogräknade.

Det är alltså mycket mer som står på spel, inte minst ekonomiskt. Därför måste vi ta ett större grepp och ett större ansvar. Det räcker inte att uppdatera klientsäkerheten en gång om året. Att patcha en router när det passar i schemat. Vi måste ta oss an helheten.

Cybersäkerhet och F-Secures 360-graders approach

Grunden är enkel. Om din verksamhet på något sätt förlitar sig på informationsteknologi och om verksamheten skulle kunna skadas som en följd av en säkerhetsincident, måste cybersäkerheten vara en fråga för ledningsgruppen. Det gör i sin tur cybersäkerhet till en processfråga och inte bara en teknisk fråga.

Vår lösning är en 360-graders approach som innehåller fyra steg. Alla steg kan och ska backas upp av tekniska lösningar. De fyra stegen är att kartlägga, förebygga, upptäcka och lösa. Eller, eftersom det låter bättre på engelska: ”predict”, ”prevent”, ”detect”, ”respond”.

1. Kartlägga– känna till riskerna, förstå attackyta, upptäck svaga punkter.

För att bygga upp ett bra och effektivt skydd måste du fokusera på rätt saker. Detta har flera steg, men handlar i grunden om att analysera vem som kan vilja attackera dig och vilken typ av skada som skulle kunna uppstå om du blir utsatt. En riskanalys kort och gott.

Att få en helhetsbild över attackytan är en viktig del i detta, men långt ifrån enkel. Många företag vet inte alls vilka digitala fotspår de lämnar efter sig och har därmed också mycket svårt att bedöma och se var en eventuell attack skulle kunna komma. Många IT-miljöer har dessutom växt organiskt över åren vilket ger blandade miljöer, outsourcade lösningar och andra tredjepartslösningar som integrerar på olika sätt med interna miljöer och processer.

Full kontroll över en modern IT-miljö är i många fall i princip omöjligt. Att kartlägga den kanske är görbart, men det räcker inte – den måste skannas för risker och svagheter. Först då får du insikterna som behövs för att öka och bättra på säkerheten.

2. Förebygga– minimera attackytan, undvik incidenter

När sårbarheter är hittade och kartlagda kan man börja åtgärda och minska attackytan. Här finns det många olika saker man kan göra, beroende på hur hotet ser ut. Här kommer dock ofta begränsningar som budget och andra resurser in i bedömningen.

I slutändan handlar det om att täppa till hål, såväl vad gäller hårdvara som mjukvara. Såväl internt som hos leverantörer. Här spelar även klientsäkerheten en viktig roll. Ett uppdaterat och effektivt klientskydd stoppar skadlig kod redan innan den infekterar enheter. Den absoluta merparten av alla hot försvinner innan det når fram. Helheten måste bygga på en blandning mellan mer moderna lösningar som expempelvis reputation-analys, access-kontroll och mer traditionella som anti-virus skanning. Det finns även en stor social bit, och utmaning. Att få anställda på företaget att tänka säkerhet, att vara försiktig med hur, var och när dom använder data, klickar på länkar och så vidare.

3. Upptäcka – hitta incidenter och hot, isolera och stoppa

Att skydda sig mot så kallade 0-day-sårbarheter är förstås en extra stor utmaning. Detta är då hot och säkerhetsluckor som än så länge är okända för andra än de som utför attacken. Det är avancerade attacker som ofta inte bara är effektiva i sin attack, utan även är duktiga på att undvika upptäckt när de väl infekterat ett system. Med så intelligenta hot och tusentals nya hot i cirkulation måste du räkna med att något slinker igenom förr eller senare, oavsett hur bra du skyddat dig fram tills nu.

Värsta scenariot är att du är under attack eller är infekterad utan att veta om det. Ju längre du är utsatt, desto större risk att känslig information läcker och att systemen blir än mer utsatta. I dagsläget tar det ofta flera månader att upptäcka att man är utsatt.

Lösningen, för att minska denna risk, handlar återigen ofta om modern klientsäkerhet som är heuristisk och analyserar och analyserar okända hot. Är det misstänkt aktivitet ska den genast isoleras. Det behövs också övervakning av miljön som varnar om potentiellt hotfulla situationer uppstår. Och ingen mätning och analys är värd mycket om man inte har rutiner att läsa av dessa manuellt. Det krävs högt säkerhetstänkande hos allt från enskilda användare till ledningsgrupp.

4. Lösa – hantera upptäckta problem, minimera skada, analysera och lär

Vi har sett flera bevis på att företag som blir utsatta för attacker har svår att hantera det. Det uppmärksammade hacket mot Sony är ett ypperligt bevis. Om man från början gör riskbedömningar kring cybersäkerhet och cyberhot bör det ingå krishantering och lösningförslag på vissa av riskerna i dessa bedömningar. Ofta är kriser av det slaget att det är svårt att hantera internt – så ha partners och leverantörer du litar på redo. Tidsaspekten här är mycket viktig. Det måste hanteras fort och effektivt när det väl inträffat. När den akuta krisen är över samlar du all information och analyserar – lär dig av det som hänt.

Ingen säkerhet är helt säker

Som ett försök att sammanfatta allt detta – ingen är 100% säker. Någonsin. Men förberedelse är allt. Både vad gäller proaktivt skydd som reaktiv hantering av ett hot. Öka säkerheten för att minska risken och jobba alltid utifrån premissen att du kommer bli utsatt förr eller senare.

Följer du mallen ovan är du i alla fall förberedd så gott det går. Och lev gärna efter följande devis.

Det bara finns två typer av företag – de som redan har blivit hackade och de som inte vet om det än.