"Många av de incidenter vi utreder föranleds av phishing-mail"

Phishing är ett växande hot mot alla typer av organisationer. Som ett svar på trenden har Sentor utvecklat tjänsten RedSOC Phishing. Joel Rangsmo som har varit med och tagit fram tjänsten berättar om sina erfarenheter inom området, varför det är viktigt att utbilda sina användare samt hur tjänsten fungerar.

Vi kan allt för ofta läsa om hur företag, myndigheter och andra organisationer faller offer för så kallade phishing-attacker: e-postmeddelanden där användare uppmanas att öppna ett dokument, besöka en webbplats eller ladda ner en fil, i syfte att infektera enheten med skadlig kod och/eller komma över mottagarens inloggningsuppgifter.

Precis som andra vinstdrivande verksamheter utvecklar och förfinar angriparna ständigt sina metoder för att bli så lönsamma som möjligt, vilket gör det svårt för den som inte är insatt i området att skydda sig på ett adekvat sätt. Som en del av lösningen på problemet har Sentor utvecklat tjänsten RedSOC Phishing: en form av awareness-utbildning som går ut på att kontinuerligt testa och utbilda användarna om de senaste trenderna inom phishing, och på så sätt öka organisationens motståndskraft mot framtida attacker.

Joel Rangsmo som har varit med och utvecklat tjänsten berättar lite om sina erfarenheter inom området, varför det är så viktigt att utbilda sina användare på rätt sätt samt hur tjänsten fungerar.

Hur skulle du beskriva utvecklingen inom phishing som angreppsmetod?

- Under de senaste åren har vi sett ett tilltagande problem med mer och mer sofistikerade phishing-attacker mot allt fler organisationer. Kvaliteten på de mail som skickas ut har ökat avsevärt och angriparna lägger mer resurser på att kringå skydd såsom spam-filter.

- Det kan dels handla om rena bedrägerier där målet är förmå offret att göra finansiella utbetalningar. Men phishing som metod är också ett vanligt tillvägagångssätt som ett första steg i ett mer omfattande angrepp mot en organisation. Jag och mina kollegor har vid flera tillfällen hanterat allvarliga incidenter där angripare har lyckats ta kontroll över hela IT-miljöer genom att någon har fallit för ett infekterat mail flera månader tidigare. Under den tiden har angriparen haft god tid på sig att tillförskansa sig känslig information och ofta höga behörigheter i andra system. Många gånger resulterar det i mer eller mindre förödande och i förlängningen kostsamma konsekvenser för den utsatta organisationen.

Varför har ni valt att utveckla den här tjänsten?

- Tjänsten är utvecklad av mig och mina kollegor i Sentors RedSOC, vilken är den offensiva delen av vår SOC-verksamhet. Kortfattat kan man säga att skillnaden mellan blå och röd SOC är att den blå agerar reaktivt, genom till exempel logg och nätverksövervakning, medan vi i röd arbetar proaktivt, i det här fallet genom att härda användarna mot phishing-attacker.

- Det främsta skälet till att vi har utvecklat den här tjänsten är att vi har märkt att traditionell awareness-utbildning där man enbart informerar om riskerna med phishing inte räcker hela vägen fram. Vad vi däremot kan se är att organisationer som även låter sina användare genomföra den här typen av praktiska övningar, som också följs upp och utvärderas, tenderar att klara sig bättre.

Hur fungerar tjänsten rent praktiskt?

- Standardutförandet går ut på att kunden tillhandahåller en lista med mailadresser till medarbetare. Denna lista kan även innehålla information om avdelningar, roller och andra uppgifter som kan vara relevanta för oss att känna till när vi skräddarsyr våra phishing-kampanjer.

- Därefter skickar vi ett eller flera mail utspritt under en månad, för att sedan leverera resultatet till kunden i form av en rapport som beskriver hur många av mottagarna som har antingen klickat på länkarna och/eller delgett känslig information, såsom användarnamn och lösenord. Resultatet kan brytas ner i olika grupper, till exempel per avdelning eller yrkesroll, som sedan kan ligga till grund för hur man väljer att prioritera framtida utbildningsinsatser. Om man önskar att få fortlöpande tester inkluderas även information om tidigare resultat, vilket innebär att man får en bra bild av utvecklingen över tid.

- Som ett komplement till detta kan vi även komma ut och hålla awareness-utbildningar där vi berättar mer ingående om phishing som fenomen och hur man bäst skyddar sig emot det.

Vilka är de främsta fördelarna med phishing-tester som tjänst?

- Phishing-attacker kan vara breda och rikta sig till många olika företag och branscher. Men idag riktar många kriminella aktörer in sig på specifika organisationer och personer och lägger ner mycket tid på förberedelser och utförande. Det inte ovanligt att en phishing-attack har föranletts av noggrann kartläggning kring kundens IT-miljö, leverantörskedjor och partners, för att skapa en så verklighetstrogen attack som möjligt. Då blir det förstås mycket svårare för en användare att särskilja bluffmail från autentiska.

- Vi som hanterar den här tjänsten skräddarsyr våra utskick och informationssidor efter företag, målgrupp och språk, precis som en verklig angripare. Vi kan även simulera så kallade spear-phishing-attacker, det vill säga extra sofistikerade attacker mot avgränsade individer och grupper, till exempel en ledningsgrupp eller ekonomiavdelning. Eftersom dessa personer ofta sitter på högre behörigheter och känsligare information än andra anställda, utgör de ett extra tacksamt mål för angripare och bör därmed utbildas därefter.

Fler delar i artikelserien om phishing:

4 sätt att avslöja phishing-mailet
6 sätt att skydda sig mot phishing-attacker
Så kan skadan minimeras vid en phishing-incident