Cirka 55 nya sårbarheter upptäcks varje dag. Det innebär att man i princip skulle kunna säga att alla system är osäkra. Att utnyttja sårbarheter som finns i ett system för att få åtkomst, tillhör en av de vanligaste attackmetoderna. Merparten av de som faller offer för en sådan attack har ofta system som saknar uppdateringar (patch) och/eller är felkonfigurerade. Men det finns även de som råkar ut för så kallade Zero-Day attacker. En Zero-Day sårbarhet innebär att sårbarheten i systemet inte är allmänt känd än och har därför heller inte kunnat patchas. Det är med andra ord bara angriparen som känner till att sårbarheten existerar, vilket gör det väldigt svårt att skydda sig ifrån den.

I vår undersökning står utnyttjande av sårbarheter för 26% av alla ryska cyberattacker. Den siffran är något högre om man jämför med de globala attackerna. En möjlig förklaring kan vara att Ryssland i högre utsträckning använder sig av riktade attacker mot utvalda mål. Vet man vilket målet är och har IP-adressen dit så är det i många fall bara en tidsfråga innan en sårbarhet kan utnyttjas.

Så vad är det som händer när en organisation blir utsatt för en cyberattack mot ett system? Det är vanligt att attacken börjar med en sårbarhetsskanning. Skanningsverktyget testar om systemet har sårbarheter och listar dem för angriparen. Därefter går angriparen igenom sårbarheterna och undersöker vilka som kan användas för att ta sig vidare in i systemet (exploit).

De ryska cyberattackerna mot ca 70 ukrainska myndighetswebbsidor som inträffade den 13 och 14 januari 2022 är ett exempel på när en sårbarhet användes för att få åtkomst till ett system. Angriparna använde sig av en sårbarhet i webpubliceringssystemet ”October CMS” för att få åtkomst och därefter ändra webbsidan. I vissa fall kunde angriparna också lateralt förflytta sig mellan olika system och förstöra dem. Enligt ukrainska myndigheter kunde attacken genomföras genom att utnyttja sårbarheten CVE-2021-32648 tillhörande October CMS, i kombination med ökända Log4Shell sårbarheten och överbelastningsattacker (DDoS attacker). Sårbarheten i October CMS var gammal och en patch fanns tillgänglig från leverantören ett helt år innan attacken så anledningen till varför attacken kunde genomföras handlar troligen om att man missat eller struntat i att uppdatera.

Hur skyddar jag min verksamhet?

Att säkra upp system som är kritiska för verksamheten eller rymmer organisationens skyddsvärda tillgångar kräver tekniska åtgärder som sällan är fria från problem eller kostnader. Det första man bör komma ihåg innan man tar ett beslut är att man inte har någon kunskap om systemets säkerhet innan man testat det. Uppdateringar hjälper till stor del men med uppdateringar kommer också nya sårbarheter som kan dyka upp. Väljer man att köra regelbundna uppdateringar bör man också hitta en åtgärdslösning tillsammans med sin IT-leverantör eller IT-ansvarig där man kontinuerligt kan uppdatera samtidigt som man regelbundet undersöker säkerheten samt åtgärdar sårbarheter. Har man däremot ett gammalt system som fortfarande fungerar felfritt och som man ej kan uppdatera eller ersätta så bör man undersöka säkerheten kring systemet och täppa igen de sårbarheter som finns samt se över vilka andra lager av skydd som man kan tillföra för att skydda systemet.

Kan man varken uppdatera eller åtgärda sårbarheterna bör man undersöka möjligheten att bygga säkerhet framför systemet eller lägga det på en plats långt bak i nätverket med begränsad och strikt kontrollerad åtkomst. Hur du än väljer att göra finns det verktyg och tjänster som kan hjälpa dig att identifiera säkerhetsriskerna.

  1. Sårbarhetsskanning
    En effektiv och snabb sårbarhetsskanning kostar varken skjortan eller kräver mycket tid i arbete. Sårbarhetsskanningen ger dig svar på vilka potentiella sårbarheter som finns i ditt system och hur du kan lösa dem. Vissa sårbarhetsskanningslösningar ger dig också svart på vitt vilket riskvärde som det skannade systemet har. En sårbarhetsskanning kan man med fördel använda på ett system som får regelbundna uppdateringar. Då hittas de allmänt kända sårbarheterna snabbt och effektivt. Här finns mer information om sårbarhetsskanning
  2. Penetrationstest
    Man skulle kunna se penetrationstestet som steget efter en sårbarhetsskanning. Penetrationstestaren använder sina kunskaper och kreativitet för att försöka ta sig in i systemet och därefter ta sig vidare. För att kunna dra nytta av ett pentest krävs att man har en tillräckligt hög mognadsgrad för att kunna hantera åtgärderna efter penetrationstestet som inte alltid är tekniska utan kan även vara organisatoriska. Det är trots allt åtgärderna som gör systemen och organisationen säkrare. Har man ett system som man vet väldigt lite om så finns det stora fördelar med att göra en sårbarhetsskanning först och göra de säkerhetshöjande åtgärderna innan man går vidare med ett penetrationstest. Då testar man dels sin mognadsgrad och kan maximera arbetet och det resultat som ett penetrationstest kan ge. Här finns mer information om penetrationstest.

Det finns även andra smarta lösningar som kan användas i kombination med varandra för skydda din verksamhet ifrån en cyberattack mot din IT-miljö. Många av dessa är enkla, andra är mer avancerade.

Honeypots

Angriparen lockas att antingen hämta en intressant fil eller ta sig in till en speciell mapp eller plats i systemet som ingen använder och egentligen är en fälla. Direkt när angriparen öppnar mappen eller laddar ner filen skickas ett larm till IT-ansvarig som gör lämpliga åtgärder för att stoppa attacken.

Tillåt vissa IP-nummer

Att bara godkänna åtkomst till vissa IP-nummer som kommer ifrån betrodda källor är en enkel åtgärd som skyddar mot de flesta mindre avancerade attacker ifrån externa IP-nummer.

Multipla brandväggar och bakomliggande system

Att bygga flera lager av skydd innebär att man sätter upp flera olika hinder för en angripare vilket oftast sätter stopp för hela attacken. Det blir helt enkelt för svårt och tar för lång tid att ta sig vidare till nästa system. Det är viktigt att inte bara förlita sig på ett skydd (tex. en brandvägg).

Segmentera nätverken

Att lägga alla ägg i samma korg är riskfullt ur ett säkerhetsperspektiv. Genom att dela upp äggen i olika korgar fördelar man riskerna och minskar konsekvensen av ett dataintrång, då bara en del av organisationen eller informationen blir påverkad. Detta kallas för segmentering. En vanlig form av enkel segmentering innebär att systemen fortfarande ligger på samma nät men har brandväggar mellan dem.

Behörighetsstyrning

Transparens är en självklarhet för de flesta organisationer och är i de flesta fall väldigt praktiskt. Men ur ett säkerhetsperspektiv är det däremot väldigt dåligt. Om alla inom organisationen får tillgång till allt räcker det med att en anställd får in ett ransomware för att det ska kunna sprida sig till hela organisationen. Har man däremot behörighetsstyrning där de anställda endast kommer åt vad de behöver för att utföra sina arbetsuppgifter, så är konsekvensen av ett ransomware attack mycket mindre, då det kan endast påverka den enskildes åtkomst. Därför ska behörighetskontroll inte enbart ses som ett sätt att skydda konfidentiell information, utan också som ett sätt att skydda organisationens information oavsett klassning ifrån olika typer av virus, malware och hackare.

Det finns stora synergieffekter att dra om man kombinerar metoder och tekniker med varandra. Men det viktigaste är att man kommer igång med arbetet och börjar någonstans. Att fokusera på de lågt hängande frukterna först och använda sunt förnuft kommer man långt med.

I del tre kommer vi att ta upp överbelastningsattacker som används flitigt både globalt och vid statsstödda ryska cyberattacker. Vi ses om en vecka!

Ordlista:

Patcha – En uppdatering av mjukvaran som korrigerar fel, eller i detta fall täpper igen säkerhetshål.

Sårbarhet – En brist i säkerheten som skulle kunna användas för att få åtkomst till systemet

System – Brandvägg, router, webbserver, webbpubliceringsverktyg, operativsystem, filserver, även protokoll med mera.

Bild: Creative commons

Henrik Petterson