Colonial Pipeline-attacken och samhällets sårbarhet

Colonial Pipeline, Ransomware, En Pipeline I Berg Och Skog Någonstans

Attacken mot Colonial Pipeline i USA bidrog till bensinbrist i flera stater i sydöstra USA. Säkerhetsexperten Etay Maor berättar för Voister om bakgrunden till attacken och hur vi bör skydda oss.

– Det finns anledning att tro att det började med phishing-mail, vilket i sig inte skulle vara någon överraskning. Men det är fortfarande väldigt mycket som är oklart kring händelseförloppet, säger Etay Maor, professorsadjunkt vid Boston College och senior director för cybersäkerhetsstrategi på säkerhetsföretaget Cato Networks.

Colonial Pipeline och attacken 

Den 7 maj utlöste cyberattacknätverket Darkside en ransomware-attack mot amerikanska Colonial Pipeline. Det ledde till att bolaget fick stänga av sin tillförsel av oljeprodukter för hela amerikanska västkusten, vilket bland annat innefattar två stora rörledningar på totalt över 800 mil, som kan frakta tre miljoner oljefat om dagen till städer och stater från Texas till New York.

Attacken ledde till att priset på bensin sköt i höjden och flera bensinmackar stod tomma. Efter att bolaget betalat en lösensumma om drygt fyra miljoner dollar, något som inte var helt okontroversiellt eftersom det i vissa fall kan vara olagligt enligt amerikansk lag, kunde systemen startas upp och rörledningarna börja tas i bruk igen.

Vi har öst på med säkerhets-fett istället för muskler.

Myten om cyberattacker

Till att börja med menar Etay Maor att attacken mot Colonial Pipeline belyser ett vanligt missförstånd kring cyberattacker. En vanlig devis inom it-säkerhetsbranschen är att den som attackerar bara behöver ha rätt en gång, medan den som försvarar måste ha rätt flera gånger om. Men Etay Maor menar att detta är ett väldigt förenklat och till och med felaktigt påstående.

– Ofta beskrivs det som att en ransomware-attack är en händelse, men detta förvirrar och bidrar till ett stort missförstånd. Ransomware-momentet är i själva verket den sista stöten i attacken, det vill säga kryptering av materialet och kravet på lösensumman, säger han.

De som attackerar är ibland inne i systemet i flera månader. Det börjar med spaningsarbete, som sedan går över till den första åtkomsten och verkställande. Det finns ett dussin sådana taktiker och för varje taktik finns ett antal olika metoder som de kan utföras på, där olika hacker-grupper har olika tillvägagångssätt.

– Med andra ord finns det många ställen på vägen som en attack hade kunnat förhindras, men ofta skiljer sig säkerhetslösningar åt genom att de fokuserar på en känslig punkt i kedjan, och sedan är det upp till en stackars analytiker som ska hålla koll på allt och sitta med flera skärmar och bevaka vad som händer. Och detta vet hackarna om. Jag brukar beskriva det som att vi de senaste tio åren har öst på med mer säkerhets-fett när det vi behöver är muskler, säger Etay Maor.

OT- och it-utmaningen

En annan aspekt av Colonial Pipeline-attacken är att den exemplifierar en av de största utmaningarna som finns inom it-säkerhetsområdet, nämligen säkerhet för de system som kallas OT, operational technology.

Ransomware-momentet är den sista stöten i attacken.

Enligt Etay Maor finns det tre skäl till att OT-system kan vara extra sårbara.

För det första är mycket av den OT-utrusning som fortfarande används skapad och designad innan det fanns någon tanke att den skulle anslutas till internet, och är därför till sin natur inte utrustad för att stå emot angrepp.

För det andra är många av dessa system svåra att patcha och att hålla uppdaterade, ibland av rent verksamhetskritiska skäl.

– Jag besökte ett sjukhus en gång som fortfarande använde Windows NT från 90-talet för vissa maskiner. Jag tyckte först att det var märkligt och att de behövde uppdateras så snart som möjligt, men när personalen sa till mig att visst, gör du det, men du ska veta att det finns liv som hänger på att de fungerar, förstod jag genast utmaningen, säger Etay Maor.

Den tredje utmaningen handlar om att OT-system överhuvudtaget inte monitoreras och säkerställs i lika stor utsträckning som traditionell it. Etay Maor menar kan detta delvis bero på att det är svårt att hitta säkerhetskompetens för den här typen av system.

Etay Maor, Senior Director För Cybersäkerhetsstrategi På Säkerhetsföretaget Cato Networks

Etay Maor, professorsadjunkt vid Boston College och senior director för cybersäkerhetsstrategi på säkerhetsföretaget Cato Networks.

SASE är framtiden

I en ny rapport beskriver Cato Networks hur dagens nya hybrida arbetsplats och alla molntjänster ställer helt andra krav på it-säkerheten. Till exempel visar det sig att av 200 miljarder olika trafikflöden på 850 bolag, kommer mer av trafiken från Tiktok än från Gmail, Spotify eller Linkedin.

Enligt Etay Maor behöver det inte vara ett fel i sig, utan sätter snarare fingret på hur mycket av trafiken som flödar in och ut från nätverk som kan vara svår att kontrollera. Samtidigt kopplas fler och fler IoT-enheter upp till näten, och ny OT-utrusning som har bättre förutsättningar att integreras med annan it.

Därför menar han att det inte är fler säkerhetsfunktioner vi behöver, utan en heltäckande arkitektur som SASE, secure access service edge, som ger rätt tillgång till rätt enhet och användare.

– Det jag tycker är det fina med SASE att det inte handlar om integrationer mellan olika lösningar. Det är snarare ett mer nätverksintegrerat tillvägagångssätt där allt är konvergerat från dag ett och tillhandahålls på ett bättre sätt och inte i olika silos. Sättet där vi kopplar upp oss med VPN är verkligen inte byggt för hur det ser ut idag.

Etay Maors tre nivåer av säkerhet

Strategisk nivå
På en strategisk nivå är det viktigt att it-säkerhet hanteras som en affärs- och verksamhetsfråga och inte som en ren it-fråga. Alla i ledningsgruppen måste vara införstådda med detta och it-säkerhet ska behandlas precis som traditionella risker hanteras, som till exempel hur planen ser ut om det skulle börja brinna.

Taktisk nivå
De som ansvarar för säkerhet måste förstå vart tech-världen är på väg och skapa sig rätt förutsättningar för att få en fullständig överblick, i takt med att antalet uppkopplade enheter ökar och fler och fler bolag och människor är uppkopplade till molnet.

Driftsnivå
För det första krävs det alltid att det som kan uppdateras, ska uppdateras. Det som är gammalt ska bytas ut för att motverka hål i arkitekturen. De flesta attacker börjar med någon typ av phishing, och därför måste också alla i organisationen ständigt utbildas och påminnas vilken typ av länkar de inte bör klicka på.

En annan del handlar om att låta AI bli en del i säkerhetsövervakningen och tillåta verksamhetens säkerhetsexperter att få tid att arbeta mer med spaning och utredning än ren och skär övervakning.

25 maj 2021Uppdaterad 2 oktober 2023Reporter Tim LefflerdigitFoto Adobestock, Voister

Voisters nyhetsbrev

Rekommenderad läsning