Tema: det ryska cyberhotet, Sverige och Nato - Del 2 - Sårbarheter i system

Henrik Petterson 26 maj, 2022

Introduktion

Ljudlösa hackerattacker som under lång tid stjäl information

Cirka 55 nya sårbarheter upptäcks varje dag. Det innebär att man i princip skulle kunna säga att alla system är osäkra. Att utnyttja sårbarheter som finns i ett system för att få åtkomst, tillhör en av de vanligaste attackmetoderna. Merparten av de som faller offer för en sådan attack har ofta system som saknar uppdateringar (patch) och/eller är felkonfigurerade. Men det finns även de som råkar ut för så kallade Zero-Day attacker. En Zero-Day sårbarhet innebär att sårbarheten i systemet inte är allmänt känd än och har därför heller inte kunnat patchas. Det är med andra ord bara angriparen som känner till att sårbarheten existerar, vilket gör det väldigt svårt att skydda sig ifrån den.

Det här är andra delen i temat ”Det ryska cyberhotet”.

Del 1 – Undersökningen
Del 2 – Sårbarheter i system
Del 3 – Överbelastningsattacker
Del 4 – Riktade phishingattacker

Hur går det till?

I vår undersökning står utnyttjande av sårbarheter för 26% av alla ryska cyberattacker. Den siffran är något högre om man jämför med de globala attackerna. En möjlig förklaring kan vara att Ryssland i högre utsträckning använder sig av riktade attacker mot utvalda mål. Vet man vilket målet är och har IP-adressen dit så är det i många fall bara en tidsfråga innan en sårbarhet kan utnyttjas.

Så vad är det som händer när en organisation blir utsatt för en cyberattack mot ett system? Det är vanligt att attacken börjar med en sårbarhetsskanning. Skanningsverktyget testar om systemet har sårbarheter och listar dem för angriparen. Därefter går angriparen igenom sårbarheterna och undersöker vilka som kan användas för att ta sig vidare in i systemet (exploit).

De ryska cyberattackerna mot ca 70 ukrainska myndighetswebbsidor som inträffade den 13 och 14 januari 2022 är ett exempel på när en sårbarhet användes för att få åtkomst till ett system. Angriparna använde sig av en sårbarhet i webpubliceringssystemet ”October CMS” för att få åtkomst och därefter ändra webbsidan. I vissa fall kunde angriparna också lateralt förflytta sig mellan olika system och förstöra dem. Enligt ukrainska myndigheter kunde attacken genomföras genom att utnyttja sårbarheten CVE-2021-32648 tillhörande October CMS, i kombination med ökända Log4Shell sårbarheten och överbelastningsattacker (DDoS attacker). Sårbarheten i October CMS var gammal och en patch fanns tillgänglig från leverantören ett helt år innan attacken så anledningen till varför attacken kunde genomföras handlar troligen om att man missat eller struntat i att uppdatera.

Motstånd

Hur skyddar jag min verksamhet?

Att säkra upp system som är kritiska för verksamheten eller rymmer organisationens skyddsvärda tillgångar kräver tekniska åtgärder som sällan är fria från problem eller kostnader. Det första man bör komma ihåg innan man tar ett beslut är att man inte har någon kunskap om systemets säkerhet innan man testat det. Uppdateringar hjälper till stor del men med uppdateringar kommer också nya sårbarheter som kan dyka upp. Väljer man att köra regelbundna uppdateringar bör man också hitta en åtgärdslösning tillsammans med sin IT-leverantör eller IT-ansvarig där man kontinuerligt kan uppdatera samtidigt som man regelbundet undersöker säkerheten samt åtgärdar sårbarheter. Har man däremot ett gammalt system som fortfarande fungerar felfritt och som man ej kan uppdatera eller ersätta så bör man undersöka säkerheten kring systemet och täppa igen de sårbarheter som finns samt se över vilka andra lager av skydd som man kan tillföra för att skydda systemet.

Kan man varken uppdatera eller åtgärda sårbarheterna bör man undersöka möjligheten att bygga säkerhet framför systemet eller lägga det på en plats långt bak i nätverket med begränsad och strikt kontrollerad åtkomst. Hur du än väljer att göra finns det verktyg och tjänster som kan hjälpa dig att identifiera säkerhetsriskerna.

Sårbarhetsskanning

En effektiv och snabb sårbarhetsskanning kostar varken skjortan eller kräver mycket tid i arbete. Sårbarhetsskanningen ger dig svar på vilka potentiella sårbarheter som finns i ditt system och hur du kan lösa dem.

Vissa sårbarhetsskanningslösningar ger dig också svart på vitt vilket riskvärde som det skannade systemet har. En sårbarhetsskanning kan man med fördel använda på ett system som får regelbundna uppdateringar. Då hittas de allmänt kända sårbarheterna snabbt och effektivt. Här finns mer information om sårbarhetsskanning

Penetrationstest

Man skulle kunna se penetrationstestet som steget efter en sårbarhetsskanning. Penetrationstestaren använder sina kunskaper och kreativitet för att försöka ta sig in i systemet och därefter ta sig vidare. För att kunna dra nytta av ett pentest krävs att man har en tillräckligt hög mognadsgrad för att kunna hantera åtgärderna efter penetrationstestet som inte alltid är tekniska utan kan även vara organisatoriska. Det är trots allt åtgärderna som gör systemen och organisationen säkrare.

Har man ett system som man vet väldigt lite om så finns det stora fördelar med att göra en sårbarhetsskanning först och göra de säkerhetshöjande åtgärderna innan man går vidare med ett penetrationstest. Då testar man dels sin mognadsgrad och kan maximera arbetet och det resultat som ett penetrationstest kan ge. Här finns mer information om penetrationstest.

Enkla och smarta lösningar

Det finns även andra smarta lösningar som kan användas i kombination med varandra för skydda din verksamhet ifrån en cyberattack mot din IT-miljö. Många av dessa är enkla, andra är mer avancerade.

Honeypots

Angriparen lockas att antingen hämta en intressant fil eller ta sig in till en speciell mapp eller plats i systemet som ingen använder och egentligen är en fälla. Direkt när angriparen öppnar mappen eller laddar ner filen skickas ett larm till IT-ansvarig som gör lämpliga åtgärder för att stoppa attacken.

Tillåt vissa IP-nummer

Att bara godkänna åtkomst till vissa IP-nummer som kommer ifrån betrodda källor är en enkel åtgärd som skyddar mot de flesta mindre avancerade attacker ifrån externa IP-nummer.

Multipla brandväggar och bakomliggande system

Att bygga flera lager av skydd innebär att man sätter upp flera olika hinder för en angripare vilket oftast sätter stopp för hela attacken. Det blir helt enkelt för svårt och tar för lång tid att ta sig vidare till nästa system. Det är viktigt att inte bara förlita sig på ett skydd (tex. en brandvägg).

Segmentera nätverken

Att lägga alla ägg i samma korg är riskfullt ur ett säkerhetsperspektiv. Genom att dela upp äggen i olika korgar fördelar man riskerna och minskar konsekvensen av ett dataintrång, då bara en del av organisationen eller informationen blir påverkad. Detta kallas för segmentering. En vanlig form av enkel segmentering innebär att systemen fortfarande ligger på samma nät men har brandväggar mellan dem.

Behörighetsstyrning

Transparens är en självklarhet för de flesta organisationer och är i de flesta fall väldigt praktiskt. Men ur ett säkerhetsperspektiv är det däremot väldigt dåligt. Om alla inom organisationen får tillgång till allt räcker det med att en anställd får in ett ransomware för att det ska kunna sprida sig till hela organisationen. Har man däremot behörighetsstyrning där de anställda endast kommer åt vad de behöver för att utföra sina arbetsuppgifter, så är konsekvensen av ett ransomware attack mycket mindre, då det kan endast påverka den enskildes åtkomst. Därför ska behörighetskontroll inte enbart ses som ett sätt att skydda konfidentiell information, utan också som ett sätt att skydda organisationens information oavsett klassning ifrån olika typer av virus, malware och hackare.

Det finns stora synergieffekter att dra om man kombinerar metoder och tekniker med varandra. Men det viktigaste är att man kommer igång med arbetet och börjar någonstans. Att fokusera på de lågt hängande frukterna först och använda sunt förnuft kommer man långt med.

I del tre kommer vi att ta upp överbelastningsattacker som används flitigt både globalt och vid statsstödda ryska cyberattacker. Vi ses om en vecka!

Om
Senaste inläggen

Henrik Petterson

Marknad hos Secify

Henrik arbetar med Secifys varumärke och marknadsinsatser och skapar bland annat innehåll, pressmeddelanden och nyheter.

Senaste inläggen av Henrik Petterson

Rapport: Lägesbild vårdsektorn – Hot, utmaningar och risker som berör vårdsektorn - 2 april, 2024
Event: Informationssäkerhet är del av patientsäkerheten – dataskydd för sjukvården - 11 mars, 2024
Event: Informationssäkerhet är del av patientsäkerheten – dataskydd för sjukvården - 7 december, 2023

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.