”IT-avdelningen bär ansvaret om ett klick på en länk kan leda till ett omfattande intrång”

Förra veckans avsnitt av Infosäkpodden behandlar det ständigt aktuella ämnet ransomware. Gäst var Kalle Zetterlund, med över 20 års erfarenhet av penetrationstester, incidentutredningar och att hålla utbildningar i teknisk säkerhet. Han berättar bland annat om varför vi har sett en ökning av ransomware de senaste åren och vilka de främsta åtgärderna för att skydda sig är. Här är ett utdrag från intervjun.

Ransomware har länge varit ett stort bekymmer för företag och myndigheter. Varför har vi sett en ökning av dessa attacker?

- Jag ser flera förklaringar: dels har IT-säkerhetsfrågor traditionellt sett inte varit ett ledningsämne, eftersom de generellt sett är betydligt svårare att ta till sig jämfört med frågor som rör ekonomi, personalfrågor och att driva verksamhet i största allmänhet. På så sätt är IT-säkerhet en blank fläck på kartan i många ledningsgrupper. Utöver det ligger fokus ofta på lönsamhet, och då framstår investeringar på IT- och informationssäkerhet i många fall som ett svart hål av utgifter som egentligen inte genererar några intäkter.

- Men även om man har bestämt sig för att sätta IT-säkerhet på agendan bygger man inte om sin organisation i en handvändning. Det är en lång förändringsprocess som kräver utbildning av personal – eller kanske rent av utbyte av personal – för att kunna genomdriva de förändringar som krävs för att bygga upp en motståndskraft mot ett hot man kanske inte ens har förstått existerar.

- Parallellt har det skett en förändring i hur de kriminella verksamheterna opererar. Tidigare tjänade cyberkriminella sina pengar på att bygga stora botnets eller denial of serice-attacker för att sänka siter och tvinga offren att betala för att få dem tillbaka. Dessa metoder är ju ganska ineffektiva, framför allt om man är ute efter pengar. Om man sänker en site och sedan begär en stor summa pengar för att ge den tillbaka, kan ju offret lika gärna välja att gå till vem som helst som tillhandahåller skydd mot just denial of service-attacker. Då måste de kriminella konkurrera med legitima aktörer som inte bara kommer avhjälpa situationen, utan kanske även göra organisationen bättre. Men med ransomware sitter de kriminella på informationen och krypteringsnycklarna, och valen blir väldigt mycket mer begränsade.

- En förutsättning för utvecklingen är kryptovalutornas framväxt. När angripare tidigare utförde utpressningsförsök genom denial of service-attacker var man först tvungen att sätta upp ekonomiska system för att kunna genomföra internationella transaktioner. Och det här i sig är ett ganska komplicerat och riskfyllt arbete, där människor riskerar att åka dit – och i många fall gör det. Men med hjälp av kryptovalutor kan dessa överföringar ske mer eller mindre anonymt.

Var brister det för att något likande ska kunna ske?

- Undersökningar som har tittat på initiala vektorer visar att det är rätt jämnt fördelat mellan tre faktorer; en tredjedel av attackerna börjar med en sårbarhet, till exempel ett opatchat system eller en sårbarhet som ännu inte är publikt känd i ett system som är externt exponerat. Ungefär en tredjedel består av phishingmail som antingen innehåller skadliga bilagor, såsom macrovirus eller bara rent körbara filer, eller länkar till bluffsidor där anställda fyller i sina inloggningsuppgifter.

- Den återstående tredjedelen är att ens anställda har återanvänt inloggningsuppgifter på andra webbsidor som har blivit hackade. Det finns många omfattande läckor med användarnamn och lösenord som de kriminella kan betala gott om pengar för att få tillgång till först. Sådana här läckor kommer ju ofta till slut allmänheten till kännedom med, men då är de redan i händerna på de kriminella aktörerna.

Vad kan man som organisation göra för att stävja detta? Hur viktigt är det till exempel med awareness training för anställda?

- Så länge människor har någon typ av behörighet för att kunna utföra ett arbete så går det ju att lura dem för att utnyttja den behörigheten på något sätt. På så sätt är det ett problem man inte kan komma ifrån utan att utbilda anställda. Men jag tillhör snarare skolan som anser att det är IT-avdelningen som bär ansvaret om ett klick på en länk kan leda till ett omfattande intrång. IT-avdelningen måste ha konstruerat systemet på ett sätt där de räknar med att de anställda kommer att klicka på länkar.

- Samma sak gäller även om en anställd faktiskt fyller i sitt lösenord på en skurksite, och det här är varför vi pratar så mycket om flerfaktorsautentisering. Det ska inte räcka att logga in från internet med bara ett lösenord. Eftersom vi kan konstatera att en tredjedel av de här intrången sker via mailattacker och en tredjedel via läckta lösenord så skulle flerfaktorsautentisering kunna motverka en stor andel av angreppen.

- Utöver flerfaktorsautentisering kan man även ha övervakning på komprometterade lösenord. Det finns många aktörer som erbjuder tjänster, där man helt enkelt betalar en summa varje månad för att veta om ens anställdas lösenord går att återfinna i läckta databaser. Det är en enkel och effektiv åtgärd som inte kräver någon stor investering.

Hur adresserar man problemet med externa sårbarheter? Räcker det att patcha när nya sårbarheter dyker upp?

- Patchning av externt exponerade tjänster är förstås viktigt, och här gäller det att vara extremt snabb. Man måste ha en plan för panikpatch när de blir publikt kända och veta vem som ska utföra detta när det slår till en fredagskväll. Det går inte att vänta till lördagen, för när de här sårbarheterna väl har blivit kända så går de som en löpeld. Det som händer när en patch släpps är att någon sannolikt kommer sätta sig och reverse engineera den för att förstå hur sårbarheten ser ut och kan utnyttjas, och därefter bygga en exploit som körs.

Vad gör man om det ännu inte finns någon patch?

- Det är här man måste börja tänka på saker som defence-in-depth, alltså att tillämpa säkerhet i flera lager. Om man hanterar väldigt känsliga saker kan man inte nöja sig med att patcha nya sårbarheter, och om det skulle dyka upp en sårbarhet som ännu inte har en patch så får man helt enkelt acceptera att bli hackade. Man måste räkna med att det här kommer hända och bygga sitt system på ett sådant sätt att en sårbarhet inte innebär att allt går under.

- Ett sätt är att isolera externt exponerade system så att de inte leder rakt in till Windows AD:t, som ofta är angriparens mål. I de absolut flesta av de stora intrången så är det en fråga om att en angripare lyckas få total kontroll över ett Windows-AD, som i sin tur ger full kontroll över nätverket. Här gör många även misstaget att koppla sina backuper till samma AD, eller över huvud taget bara använda online-backuper. I nästan samtliga fall där man har haft svårigheter att återställa så har det rört sig om att man inte har haft offline-backuper.

- Ponera att angriparen ändå lyckas få ett fotfäste i miljön och kan utföra sin attack. Systemen ligger nere och företaget blöder pengar: så kommer ett erbjudande om att lösa problemet mot betalning. Hur bör man resonera då?

- Man kan börja med att fundera på om man vill gynna den här typen av aktörer? Har man dessutom visat betalningsvilja en gång så gör det en till ett mer attraktivt offer i fortsättningen. Här kommer även en annan faktor in i bilden som tyvärr har drivit på den här verksamheten, och det är cyberförsäkringarna som täcker utbetalning till utpressarna. Det här är ju oerhört intressant information för de kriminella aktörerna. När de väl får tag på listor över vilka som har sådana här försäkringar är dessa verksamheter de första man ger sig på, eftersom dessa har visat sig ha mycket högre betalningsvilja hos sådana aktörer.

- En ytterligare anledning till att avstå från att betala är att samma brister som angriparna tog sig in med från första början fortfarande finns kvar, vilket i praktiken innebär att man bara har skjutit problemet framför sig. Ett bättre sätt är att agera som Kalix kommun gjorde när de drabbades av ransomware för drygt två år sedan. Istället för att betala lösensumman valde de istället att lägga pengarna på att bygga upp ett helt nytt och bättre system, som de idag har stor nytta av. Det ett bra exempel på ett föredömligt och långsiktigt rimligt incidenthanteringsarbete.

Vill du höra mer om när Kalle pratar om ransomware? Här kan du lyssna på intervjun i sin helhet!