Truesecs tips för ett bättre företagsskydd
Wang Dong, Sun Kailiang och Wen Xinyu är några av hackarna som FBI allra helst vill komma åt.
I tider av WannaCry och andra säkerhetshot är företags säkerhetsarbete viktigare än någonsin. Marcus Murray från säkerhetsföretaget Truesec tycker att många företag fokuserar på fel saker. Det enkla är ofta det viktigaste.
– Företag måste i högre grad börja fokusera på att ta hand om den lågt hängande frukten. Innan de bryr sig om säkerhetsbrister i någon programvara måste de börja bli bättre på att exempelvis sköta sin lösenordshantering. Ta hand om de uppenbara bristerna innan de mer avancerade och coola.
Marcus Murray jobbar som Security Team Manager på Truesec, ett företag som hjälper andra företag och organisationer med sin säkerhet genom att bland annat angripa dem före någon annan gör det och därmed påvisa deras brister.
Han tycker att några intressanta säkerhetsfenomen i världen just nu är den rumänska hackerstaden Ramnicu Valcea, de kinesiska hackarna på USA:s Most Wanted-lista, men också Rysslands kanske mest kände hackare, Evgeniy Mikhailovich Bogachev, som lever helt öppet i Ryssland. Det han vill prata mest om är dock hur dåliga många i Sverige är på att bry sig om säkerheten.
– Hur lång tid det tar att ta sig in i ett företag brukar variera väldigt mycket men i snitt tar vi oss in och når deras infrastruktur på ungefär 24 timmar - och då har vi tillgång till alla de viktigaste servrarna. De flesta företagen har samma säkerhetsbrister.
– Att sedan komma åt pengar kan ta längre tid eftersom man då måste sätta sig in i affärslogiken. Stjäla hemligheter och kryptera system går fort.
Tre attacksteg
Marcus Murray delar upp attackerna i tre steg där det första är infektionen, det andra är förflyttandet i miljön och det tredje är själva dådet. Och det är i steg två som många faller på samma sak.
– Där utnyttjar man det faktum att folk är lata kring hur de hanterar behörigheter och digitala identiteter i företaget. Till exempel så kan alla datorer i ett företag dela samma användarnamn och lösenord som ett administrativt konto, så när du äntrar en dator kan du kan komma åt alla system - det kallar vi för systemberoende.
– Det händer också att administratörskonton loggar in på ställen som blivit hackade och då kan angriparen stjäla deras data och använda det för att ansluta till andra system. Det är ganska svårt att göra något åt för då måste man ha en annan teknik såsom att använda smarta kort eller dylikt istället för lösenordssystemet. Eller så måste man segmentera administratörer och ge dem många olika konton och det är jobbigt att hålla reda på. För det är ju så att ifall jag hackar en administratör med tillgång till 1 000 lösenord så får jag också tillgång till de 1 000 lösenorden.
Fem delar av skydd
Marcus Murray tror inte att det finns någon enskild lösning för företag när det gäller att förbättra sin säkerhet - utan det handlar mer om att anamma en process. Den processen har ett antal rubriker och dessa är identify, protect, detect, respond och recover.
– Man kan inte bara säkra sina system utan det är en del av en helhet. Först måste man kunna identifiera sina skyddsvärda tillgångar och förstå vad man har för krav på sig. I protect ska man beskydda dem genom att härda systemen och anamma säkerhetsprocesser som gör det svårt att bryta sig in. Sedan måste man ändå utgå ifrån att någon tar sig igenom de processerna och då kunna upptäcka dessa, det räcker inte med antivirus längre. Steget efter det är att aktivera experter som kan göra något åt saken - det vill säga besvara attacken. Och sist men inte minst kommer då återställningsfasen: Hur ser man till att inte drabbas igen? Alla dessa processer måste finslipas och följa med i företagens utveckling när de tar in nya system och så vidare.
Ramnicu Valcea
Marcus Murray återkommer till den rumänska staden Ramnicu Valcea. Förut var staden fattig och inte så socioekonomiskt lovande, men nu åker befolkningen runt i fina bilar och bor i fina hus - och det mycket på grund av att en stor del av de 100 000 invånarna arbetar med dataintrång. En stad som gjort en klassresa genom att en stor del av befolkningen sitter och rånar runt om i världen, helt enkelt.
Kommer det fler sådana städer framöver?
– Absolut kan det bli fler sådana städer, det är ju en ny ekonomi. Det är inte säkert att det blir städer men det finns många nya kriminella gäng som tjänar så mycket pengar att de är vår nya tids maffia. De traditionella kriminella nätverken kan inte längre göra inbrott hos rika personer och ta massa pengar eller tvinga dem på kontanter. Om allt vårt arbete och våra pengar finns på nätet så måste ju tjuvarna också ta sig dit.
Vilka är de största säkerhetshoten just nu, skulle du säga?
– Det största hotet är att nyckelpersoner på företag och myndigheter inte förstår hur lätt det är att bryta sig in, och om man inte förstår det kommer man aldrig lägga rätt resurser på att skydda sig. Först måste man förstå att problemet finns och sedan måste man förstå hur problemet ser ut. Annars lägger man resurser på fel saker.
Marcus Murrays fyra tips till företag som efterstävar en bättre säkerhet
- Det finns ett koncept som heter assume breach vilket bygger på att man måste jobba utifrån perspektivet att man antar att man kan bli hackad. Arbeta med det.
- Sedan måste man upplysa sig om vilka hoten är och vilka skyddsmekanismer som fungerar, annars blir man lätt ett mål för att köpa fel saker. Massa företag marknadsför relativt dåliga produkter.
- Ta höjd för den nya världen när man jobbar med molntjänster, mobila klienter och sådana saker, anamma inte det traditionella säkerhetstänket. Man måste ha ett tänk applicerbart på att man har data utanför företagets fysiska gränser.
- Allmänt måste företag mer fokusera på att ta hand om den lågt hängande frukten. Innan de bryr sig om säkerhetsbrister i någon programvara måste de börja bli bättre på att exempelvis sköta sin lösenordshantering. Ta hand om de uppenbara bristerna innan de mer avancerade och coola.
Läs mer om ämnet: