• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

F-Secure Red Team: Teknik ger företag en falsk känsla av säkerhet

-

Angripare utnyttjar företag som lider av vad cybersäkerhetsexperter kallar ”en falsk känsla av trygghet” – de sätter för stor tilltro till tekniken och dess förmåga att skydda deras nätverk. Varningen kommer från en talesperson för F-Secures red team – en grupp cybersäkerhetsexperter som specialiserat sig på att angripa organisationer för att lyfta fram styrkor och svagheter i deras skydd, med organisationens tillåtelse.

– Att använda teknologi för att lösa mänskliga problem fungerar inte, och alla som säger något annat kunde lika gärna sälja magiska bönor, säger Tom Van de Wiele, säkerhetskonsult på F-Secure.

– Angrepp ute i verkligheten, särskilt från cyberbrottslingar, lever på att förfina subtila tricks inom social engineering om lurar människor till att släppa ner garden. Och att låta medarbetarna tro att säkerhetslösningar i toppklass kommer att ta hand om allt ingjuter en falsk känsla av säkerhet, vilket är något som angriparna idag mer eller mindre räknar med.

Här tecknar du din prenumeration på Aktuell Säkerhet

Nätfiske är ett typiskt exempel på sådant som enligt Van de Wiele är typexempel på teknik som inte hade funkat utan denna överdrivna tilltro till tekniken. Enligt PwC:s undersökning Global State of Information Security Survey 2017 så är nätfiske den vanligaste attackvektorn för cyberattacker mot finansinstitut under förra året. Och baserat på spridningen av ”phishing-as-a-service”-paket på darknet så kommer de här attackerna att bli ännu vanligare fortsättningsvis.

– Du skulle inte tro vad folk klickar på när de jobbar. De är inte dumma, men de har släppt ner sin gard och förväntar sig inte att bli lurade, säger Vad de Wiele. Och onekligen är det så – simulerade nätfiske-attacker är framgångsrika när F-Secure genomför red team-övningar.

Ett färskt exempel från ett uppdrag: F-Secures red team-experter skickade ut ett falskt Linkedin-mejl för att se hur många av de anställda hos kunden som skulle klicka på en länk i ett mejl de inte bett om att få, och inte förväntade sig att få. 52 procent av medarbetarna klickade. I ett annat test skapade red team-experterna ett mejl med en länk till en falsk portal där medarbetarna behövde logga in med sitt nätverkslösenord. 26 procent följde länken. 13 procent skrev gladeligen in sitt användarnamn och sitt lösenord.

De Red Team-övningar som Van de Wiele och hans kollegor genomför innebär att man utför en serie test som tagits fram för att få fram en helhetsbild av vad företag gör rätt och fel när det gäller säkerhet. Testen utmanar företagen att upptäcka och begränsa spridningen av simulerade cyberattacker, samt testar deras förmåga att svara på dem. Attackerna kan vara utformade för att stjäla finansiell information och annan värdefull data, eller ta kontroll över centrala delar av företagets IT-infrastruktur.

Enligt Van de Wiele överraskas företagen ofta av dessa tester, att de blottlägger exakt hur sårbara de var.

– Bilden av det egna säkerhetsarbetet matchas sällan av de svagheter som angriparna i själva verket ser, säger han.

Testerna inbegriper samtliga attackvektorer på företaget – inte bara de digitala, egentligen allt som faller under företagets namn.

– Många företag blir förvånade när vi får tillgång till servrar som inte är uppkopplade mot publika nät, och många IT-säkerhetsansvariga är helt oförberedda för ett angrepp som går via fysisk tillgång till företagets lokaler. Och det är förvånansvärt enkelt att få: Allt du behöver är en skyddsväst och en arbetsorder. Skyddsvästar är bättre än Harry Potters osynlighetsmantel. Ta på den och du kan ta dig in överallt. Utan att någon undrar något.

REKLAMSAMARBETE

Så kan säkerhetsövervakning bidra till ökad cybersäkerhet

Riskanalys och säkerhetsövervakning av kritiska system ökar cybersäkerheten och säkrar energiförsörjningen i skarpt läge. Samhället är i dag helt beroende av bibehållen tillgänglighet från...

FLER NYHETER

Sanktionsavgifter enligt säkerhetsskyddslagen – domar och beslut senaste året

1.    InledningDen 1 december 2021 infördes bestämmelser i säkerhetsskyddslagen (2018:585) som gav tillsynsmyndigheterna mandat att ta ut administrativa sanktionsavgifter av verksamhetsutövare som inte uppfyller...

REKLAMSAMARBETE

Hög tid att komma i gång med utbildning i cybersäkerhet

Cyberattackerna slår mot alla typer av företag och organisationer. Med hjälp av AI blir dessutom attackerna både fler och svårare att upptäcka. Och även...

Försvarsmakten får en miljard för att utveckla rymdförmåga

"Rymdhoten är flera och växande. Det handlar bland annat om statliga och icke-statliga aktörer som riktar hot mot svensk och allierad rymdinfrastruktur, rymdskrot och...

REKLAMSAMARBETE

6 Reasons to choose Milestone XProtect

In today’s dynamic world, basic video recording barely scratches the surface of what your security system needs. You require a vigilant security posture, capable...

Ny utbildning ska öka kommuners beredskap mot välfärdsbrottslighet

Under senare år har välfärdsbrott riktade mot kommuner och regioner börjat uppmärksammas i allt större utsträckning. Fortfarande är kunskapen om välfärdsbrott ganska låg och...

Han blir ny CFO på Avarn Security i Sverige

– Jag välkomnar Fredrik till Avarn och är övertygad om att hans gedigna erfarenheter inom området kommer att stärka vår fortsatta resa mot att...

REKLAMSAMARBETE

”Vi delar syfte – stärka Sveriges förmåga att hantera komplexa säkerhetsutmaningar”

Hallå där Pernilla Hörnfeldt, Mötesplats Samhällssäkerhet, i år är ni med som sponsor av Säkerhetsgalan som går av stapeln den 30 september i Stockholm...

Åtgärdslista för att stoppa illegala sprängningar lämnad till regeringen

Några av förslagen har kunnat omhändertas direkt inom ramen för någon av myndigheternas uppdrag. Totalt har fem arbetsgrupper tagit fram förslag på åtgärder som...

C: Det privata näringslivet måste inkluderas i satsningar på cybersäkerhet

Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.Centerpartiet har länge önskat ökad finansiering och efterlevelse av lagstiftning inom cyberområdet. Vi är...

UNDERSÖKNING: 90 procent av företag i Europa utsattes för cybersäkerhetsincidenter som NIS2 kunde ha förhindrat

Verksamheter navigerar i ett landskap av blandade inställningar när verkställighetsdatumet för nätverks- och informationssäkerhetsdirektivet 2022/2555 (NIS2) närmar sig. NIS2, en förordning som syftar till...

Borås stärker det brottsförebyggande arbetet

I juli förra året infördes en ny lag som ger kommuner ett större brottsförebyggande ansvar. Lagen innebär att landets kommuner ska skaffa sig en...

Conscia tillsätter ny affärsområdeschef för cybersäkerhet

– Octavio har en unik kombination av teoretisk förståelse kring regulatoriska krav och processer, tillika djup teknisk kompetens. Tillsammans med en vilja att göra verklig...

Kriminalvården förnyar rikstäckande ramavtal med Bravida för teletekniska säkerhetslösningar

– Vi är stolta över att vi har fått fortsatt förtroende från Kriminalvården att vara med och bidra till en säkrare miljö genom leverans...

Securitas Technology har tillsatt ny vd

Anne Haaber-Bernth kommer senast från Iver Management. På Securitas Technology kommer hon ha ett övergripande ansvar för hela den svenska verksamheten."Annes gedigna erfarenhet av...

Han blir ny generaldirektör för Integritetsskyddsmyndigheten

Eric Leijonram är för närvarande chefsjurist på Finansinspektionen. Han har en bakgrund från bland annat domstol, Regeringskansliet och Kriminalvården. Utöver detta har Eric Leijonram...

Säkerhetsgalan bjöd på allvar, kunskap, nätverkande och fest!

Årets Säkerhetsgala levererade en eftermiddag med mycket allvar när man tog sikte på säkerhet i världen, Europa och Sverige och hur vi i Sverige...

Årets Säkerhetsprofil 2024: Hanna Linderstål

Säkerhetsgalan drog fullt hus under måndagen och Hanna Linderstål rev ner applåder när hennes namn dök upp på skärmen på Vasateaterns scen i samband...

C: Det privata näringslivet måste inkluderas i satsningar på cybersäkerhet

Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.Centerpartiet har länge önskat...