Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Komplex IT-säkerhet hinder för DevOps

| Linda Kante

DevOps prioriteras mycket högre idag bland företag än för ett år sedan och att majoriteten redan har implementerat en DevOps-kultur men att bristen på kompetens och rätt verktyg står i vägen för utvecklingen. Det visar en ny undersökning från Trend Micro.

Teckna din prenumeration på Aktuell Säkerhet här 

Undersökningen genomfördes i juni i år av det oberoende undersökningsföretaget Vanson Bourne på uppdrag av Trend Micro, med syfte att bättre förstå DevOps-kulturen inom stora samt små och medelstora företag världen över.

Rapporten visar att 80 procent av företagen redan arbetar med eller är igång med att implementera DevOps, men 94 procent av respondenterna uppger att de har stött på säkerhetsrisker vid genomförandet av projekt. Trots detta uppger 34 procent att de inte alltid konsulterar IT-säkerhetsteamet vid implementering av nya projekt.

För Sverige ser det bättre ut än för de flesta andra länderna i undersökningen. 70 procent av de svenska IT-beslutsfattarna uppger att de alltid engagerar IT-säkerhetsteamet i DevOps-initiativ, men att säkerhetsteamet behöver involveras mycket mer (47 procent). Dock – för att kunna anamma en DevOps-kultur fullt ut menar varannan svensk respondent att man behöver anställa mer personal med rätt kompetens inom IT-säkerhet.

– För oss är det väldigt viktigt att förstå svenska företags utmaningar och behov för att kunna erbjuda dem rätt vägledning och säkerhetslösningar, säger Johnny Krogsboll, Technical Director Nordic på Trend Micro.

– I Sverige är vi snabba att anamma nya arbetssätt och det finns stora fördelar med DevOps, framför allt om man vill kunna få ut maximal effekt av agila utvecklingsmetoder. Men om denna agilitet innebär risker för IT-säkerheten måste man se till att inkludera IT-säkerhetsteamet så tidigt som möjligt för att kunna säkra sina DevOps-aktiviteter och inte utsätta företaget för onödiga säkerhetsrisker.

Svenska IT-chefer positiva till 5G men majoriteten skippar säkerheten

| Linda Kante

Trots att majoriteten av svenska IT-chefer ser positivt på utvecklingen av 5G planerar bara 17 procent av dem att investera i IT-säkerheten för att möte 5G-utrullningens ökade behov av säkerhet. Det visar en ny undersökning av YouGov som utförts på uppdrag av IT-säkerhetsföretaget Trend Micro.

Teckna din prenumeration på Aktuell Säkerhet här 

Resultatet visar att var tredje respondent (27 procent) uppger att de inte kommer stärka IT-säkerheten inför utrullningen av 5G nästa år. En orsak till detta kan vara att beslutsfattare inom organisationen inte är tillräckligt insatta i vad det kommer innebära. 39 procent tror inte att 5G kommer ha någon effekt på IT-säkerheten och 22 procent menar att ledningen eller de ansvariga inom organisationen inte har koll på de nya rekommendationerna och direktiv för företag och 5G.

Mer än en tredjedel (35 procent ) av beslutsfattare inom IT anser att de till liten del eller inte alls har tillräcklig kunskap om säkerhetsriskerna och hur man skyddar sig i och med utrullningen av 5G. En tredjedel (31 procent) vet inte om de är skyddade och 22 procent uppger att de inte är skyddade mot de säkerhetsrisker som finns med 5G. Trots detta visar sig nästan varannan respondent, 44 procent, vara oroad över att det kommer bli svårt att skydda sig mot nya typer av hot och intrångsmöjligheter och 32 procent är oroliga över att bli mer sårbara för attacker.

– Vi rekommenderar starkt att företag planerar för att investera i IT-säkerheten inför implementeringen av 5G. Med betydligt fler smarta produkter uppkopplade i kombination med den ökade mängd data som måste hanteras ökar även kraven på IT-ansvariga att korrekt kunna driva och säkra nätverksprocesserna. För att kunna dra nytta av fördelarna med 5G och inte hamna efter krävs att företag redan nu börjar se över IT-säkerheten för en smidigare övergång, säger Johnny Krogsboll, Technical Director Nordic på Trend Micro.

”Dags att spräcka säkerhetsbubblan som de unga vuxit upp i”

| Kronika

När den nya och ständigt uppkopplade generationen börjar dyka upp i arbetslivet behöver säkerhetsarbetet förändras i grunden. Det menar Fredrik Möller, Nordenchef på Proofpoint.

Teckna din prenumeration på Aktuell Säkerhet här

Arbetsmarknaden har under en längre tid funderat kring hur man ska anpassa sig efter det stora antal millennials, folk födda på tidigt 80-tal till mitten av 90-talet, som nu börjar ta plats. Medier framställer ofta denna generation som en nästintill annan art jämfört med de andra. Googlar du ”millennials” beskrivs de som både snåla och ohälsosamma för att nämna några, mindre charmiga, karaktärsdrag.

Ett vanligt begrepp i sammanhanget är” digitala infödingar”, då millennials vuxit upp omgivna av teknik. De förväntas vara konstant uppkopplade; långt fler än 90 procent konsumerar och använder sociala meder dagligen, enligt den senaste utgåvan av rapporten ”Svenskarna och Internet”.

Med anledning av detta kommer företag och hela branscher behöva omstruktureras för att hålla en hög produktivitetsnivå när den nya generationen gör entré. En anledning till att omstrukturering brukar anses nödvändigt är för att millennials, rent generellt, förmodas vara mer kunniga inom tech än sina föräldrar. Men frågan är om det inte i vissa fall är en förutfattad mening.

En ny rapport visar nämligen tecken på att det motsatta är fallet och att millennials faktiskt är relativt dåliga när det kommer till datasäkerhet jämfört med äldre generationer. Studien visar att deras föräldrar är 11 procent troligare att upptäcka en form av virus eller scam, och bara 50 procent i åldrarna 18–29 kunde definiera ordet ”phishing”. Ett vanligt antagande är att det oftast är äldre som går på bedrägerier, men det har i själva verket visat sig vara personer i 20-årsåldern som är de vanligast förekommande offren.

Den internationella organisationen Get Safe Online har pekat ut några faktorer till varför det ligger till på detta sätt. Att den unga generationen oftare är online ökar självklart risken för att stöta på bedrägerier, men deras övertro på sig själva resulterar många gånger i antagandet att ”jag kan inte råka ut för bedrägerier, det drabbar bara äldre”.

Unga lever också kvar i tanken att phishing-emails är uppbyggda som förut. Idag ser phishing annorlunda ut och attackerna är allt oftare speciellt utformade efter den som attackeras, vilket gör millennials mycket mindre misstänksamma mot just denna attack.

För att anpassa företag efter denna generation krävs därför en typ av upplärning som ändrar inställningen till cyberhot och spräcker den säkerhetsbubbla som de vuxit upp i. Samtidigt som den nya generationens ständigt uppkopplade yrkesarbetare förväntar sig att ha tillgång till sina arbetsverktyg dygnet runt, är det viktigt att inte ta gamla sanningar om deras säkerhetsmedvetande för givna. Det gäller att utmana, testa och träna dem att se bortom de mest uppenbara riskerna.

På varje modern arbetsplats finns en blandning av yngre och äldre, med sin egen mix av kompetenser, svagheter, kunskaper och förutfattade meningar. Att då bygga ett kollektivt säkerhetsmedvetande kring ett ”one size fits all”-tänk riskerar att slå fel och leda till dyra kostnader – det har många verksamheter bittert fått erfara de senaste åren.

Istället behöver varje individ sättas i fokus, det som vi i säkerhetsbranchen kallar ”people-centric security”. Först då kan vi få till ett effektivt och generationsöverskridande säkerhetsarbete.

Fredrik Möller,
IT-säkerhetsexpert, regionchef för Proofpoint i Norden och Baltikum

IT-säkerhet ett omöjligt pussel

| Linda Kante

Fler än två av tre organisationer utsattes under förra året för angrepp som de inte kunde förhindra. Detta trots att nio av tio säger sig använda uppdaterade IT-säkerhetslösningar.

Teckna din prenumeration på Aktuell Säkerhet här

En ny global studie från Sophos visar att många företag är på väg att förlora striden om IT-säkerheten.The Impossible Puzzle of Cybersecurity” påvisar att IT-avdelningarna lägger drygt en fjärdedel (26 procent) av tiden på IT-säkerhet samtidigt som en stor andel (86 procent) uppger att de behöver fler säkerhetsexperter för att möta utvecklingen. Mot det står begränsade budgetar och en stor global brist på kvalificerad personal.

– Studien visar att företag i dag måste hantera flera samtidiga angrepp som ofta använder olika ingångar och olika sorters skadlig kod. Attackerna är i många fall koordinerade och sammansatta för att göra maximal skada eller ge angriparna bästa möjliga belöning i form av information eller pengar, säger Ola Björling, ansvarig för Sophos i Norden och Baltikum.

– Det här visar att IT-säkerhet måste ses som en helhet där man kan förstå och förebygga snarare än att i första hand reaktivt svara på uppkomna attacker och intrång. För att klara det behöver man arbeta med synkroniserad säkerhet som använder prediktiv analys och avancerad djupinlärning. På så vis minskar man också behovet av de säkerhetsexperter som i dag inte finns att tillgå, säger Ola Björling.

Ny rapport avslöjar säkerhetsrisker när företag implementerar DevOps

| Linda Kante

Trend Micro presenterar idag en rapport som visar att majoriteten av de tillfrågade IT-ansvariga anser att kommunikationen brister mellan avdelningarna för IT-säkerhet och mjukvaruutveckling.

Trend Micro har, under ledning av det oberoende forskningsföretaget Vanson Bourne, tillfrågat 1 310 IT-beslutsfattare världen över om deras attityd gentemot DevOps. Respondenternas organisationer innefattas både av stora bolag och små och medelstora företag. Företagen befinner sig i olika stadier av implementeringen av DevOps och integrationen av sina team, applikationsutveckling samt säkerhet och IT-drift för att förkorta och säkra utvecklingens livscykel.

Trots att tre fjärdedelar (74 procent) av respondenterna hävdar att DevOps-initiativ har blivit viktigare under det gångna året, angav en ännu högre andel att kommunikationen inom IT-avdelningen måste förbättras.

89 procent menar att mjukvaruutvecklare och säkerhetsteam måste arbeta närmare varandra, medan 77 procent menade detsamma om utvecklarna, samt säkerhets- och IT-driftspersonalen. En tredjedel (34 procent) hävdar att dessa silostrukturer gör det svårare att skapa en god DevOps-kultur i organisationen.

– Tittar vi tillbaka historiskt på mjukvaruutvecklingen ser vi att de största och bästa förbättringarna av processer aldrig sker över en natt, säger Ola Wittenby, VD Trend Micro Sverige. Detta på grund av den mest värdefulla variabeln, människan, vars befintliga beteendemönster och kulturella komponenter saktar ner processen.

IT-säkerheten bör hanteras av AI menar en av fyra

| Linda Kante

Hela 26 procent  i EMEA-området anser att IT-säkerheten bör hanteras av artificiell intelligens snarare än människor. Det visar en färsk undersökning genomförd av Palo Alto Networks. I Sverige var andelen ungefär densamma – 25 procent föredrog att AI.

Teckna din prenumeration på Aktuell Säkerhet här

– AI spelar redan idag en viktig roll inom IT-säkerheten genom att hjälpa till med att upptäcka och förebygga intrång. Detta sker genom att AI-lösningar klarar att hitta mönster som inte människor skulle hitta. Därför är det också uppmuntrande att se att allmänheten är positiva till tekniken, sägerGreg Day, VP och CSO EMEA på Palo Alto Networks.

Studien visar också att det finns delade åsikter om hur säkra uppkopplade apparater av olika slag, det som kallas internet of things (IoT), egentligen är.38 procent av respondenterna i EMEA tror IoT är säkert medan ungefär lika många (43 procent) är av motsatt åsikt.

IT-säkerhet en stor utmaning för finansiella sektorn

| Linda Kante

En ny undersökning från Trend Micro visar att den finansiella sektorn upplever stora utmaningar med IT-säkerheten. Två tredjedelar (61 procent) av de över tusen tillfrågade hos europeiska tjänsteföretag inom den finansiella sektorn menar att hoten mot organisationen ökat det senaste året. Samtidigt upplever nästan hälften (45 procent) att det blir allt svårare att hålla jämna steg med IT-säkerheten.

Teckna din prenumeration på Aktuell Säkerhet här

En sårbarhet som upplevs som ett allvarligt hot mot företagen är riktade så kallade BPC-attacker (Business Process Compromise). Här utnyttjas kryphål i verksamhetens processer, sårbarheter i systemen och sviktande rutiner för attacker från cyberkriminella. Attackerna kan utförs med metoder som inverkar mycket lite på vardagliga funktioner och processer, vilket gör dem svåra att upptäcka innan det är för sent.

Två tredjedelar (66 procent) av de IT-säkerhetsansvariga menar att denna typ av riktade attacker utgör allvarliga hot mot verksamheten, och så många som hälften uppger att deras företag inte skulle ha råd att betala lösensumma för stulen data om olyckan är framme.

– Att skydda känsliga data har aldrig varit viktigare och här står den finansiella tjänstesektorn inför stora utmaningar i anpassningen efter nya regler som GDPR och PSD2. Sektorn är redan en mycket pressad miljö, som när den utsätts för sofistikerade cyberattacker i ökande skala och volym ställer höga krav på de IT-säkerhetsansvariga, säger Ola Wittenby, vd för Trend Micro Sverige.

– För att bekämpa dessa hot måste företagen se till att cybersäkerhet är representerat på styrelsenivå, säger Ola Wittenby. Säkerhetstänket måste löpa över hela organisationen, så att de säkerhetsansvariga effektivt kan kommunicera aktuella hot och attackrisker genom hela verksamheten för att minska risken att falla offer för cyberkriminellas alltmer sofistikerade attacker.

 

Säkerhetsexperter tillgängliga via Bitdefender Threat Intelligence Services

| Linda Kante

Säkerhetstjänstemän, säkerhetskonsulter och stora företag som söker bättre visibilitet i hotlandskapet kan nu integrera Bitdefender Advanced Threat Intelligence, som levereras av över 800 ingenjörer och forskare inom Bitdefender och deras Cyberthreat Intelligence Labs. De övergripande tjänsterna gör det möjligt för säkerhetsanalytiker att få tillgång till hotdata och sammanhang på webbadresser, IP-adresser, domäner, filer, Command & Control-servrar och avancerade hållbara hot.

Teckna din prenumeration på Aktuell Säkerhet här

Tjänsten hjälper också användarna att bättre identifiera indikatorer för kompromisser (IOC) i realtid för att stänga av attacker som pågår långt innan de kan göra någon skada.

Enligt Forrester är 2019 ”året för säkerhetstjänster” och beslutsfattare inom säkerhet listar konsekvent ”förbättra kapaciteter mot avancerade hot” inom sina tre prioriteringar

– Under åren har våra team och de flesta säkerhetsteam som vi har pratat med haft en rädsla för att de säkerhetslösningar de har fortfarande kommer att missa den attack som kommer att göra hela skillnader. De skulle sova bättre om de visste att de kunde behålla sina investeringar och öka dem med bättre up-to-the-minute intelligence, säger Daniel Clayton, tidigare officer och filialchef för USA: s nationella säkerhetsbyrå (NSA) och den brittiska regeringen.

– Det finns ingen tvekan om att organisationer i allt högre grad vänder sig till datavetenskap och säkerhetstjänster för att förekomma attackerna inom cyberbrottslighet. Våra Advanced Threat Intelligence-tjänster gör det möjligt för våra kunder att utnyttja vårt omfattande internationella nätverk av telemetri och en stor organisation med branschens bästa experter som de annars inte skulle ha tillgång till, säger Harish Agastya, Senior Vice President för Enterprise Solutions på Bitdefender.

Investeringar i IT-säkerhet når rekordnivå

| Linda Kante

Analysföretaget Canalys konstaterar att det den globala summan som läggs på IT-säkerhet för har nått nya rekordsummor. Under 2018 växte den globala säkerhetsmarknaden med 9 procent till 37 miljarder dollar jämfört med året dessförinnan. Och det finns inga tecken på att trenden vänder. 

Teckna din prenumeration på Aktuell Säkerhet här

Canalys konstaterar att 82 procent av säkerhetsmarknaden unde 2018 bestod av hårdvara och mjukvara. De övriga 18 utgörs av publika molntjänster, virtuella maskiner samt säkerhet som tjänst. Matthew Ball, analytiker på Canalys säger att man förväntar sig att de traditionella säkerhetslösningarna kommer att vara nere på 70 procent av marknaden 2020.

Den största leverantören på säkerhetsmarknaden är Cisco som har en marknadsandel på 9,6 procent. Därefter kommer Palo Alto Networks (6,9 procent), Check Point (6,3 procent), Fortinet (6,1 procent) och IBM (5,8 procent). Övriga företag har hela 65,3 procent vilket vittnar om att marknaden är mycket decentraliserad.

Så här övervinner du årets nya utmaningar inom IT-säkerhet

| Kronika

Ökade krav på mobilitet, IoT och nya lösningar i kanterna av nätverken ställer nya krav på IT-säkerhet. Säkra mobila lösningar underlättar arbetet med att säkra data, skriver Kenni Ramsell, Nordenchef på Toshiba.
Behovet av mobilitet i yrkeslivet ökar och förändras ständigt. Enligt en undersökning gjord av Microsoft känner sig bara 11,4 procent av de yrkesarbetande i Europa högproduktiva på sina arbetsplatser. Det pekar på ett ökat utnyttjande av ny teknik som 5G för att underlätta mobilt arbete och därigenom förbättra produktiviteten.
Ny mobilitet innebär nya säkerhetsutmaningar, när användningen i nätverken ökar. Med allt mer data tillgängliga ökar kostnaderna för säkerhetsincidenter snabbt. En studie av IBM och Ponemon Institute visar till exempel att medelkostnaden för dataförluster steg med 6,4 procent 2018 jämfört med året innan, till 3,9 miljoner dollar, cirka 36 miljoner kronor.
Lägg till det att antalet helt nya attacker och skadliga mjukvaror ökade med 101,2 procent under 2018, enligt rapporten Cyber Threat Report från SonicWall. Det är inte konstigt att en undersökning gjord av Toshiba visar att 62 procent av personerna med ledande IT-befattningar i Europa ser datasäkerhet som ett viktigt område att investera i.
 
Börja med enheter och anställda
Det första lagret av skydd mot cyberbrott bör vara de enheter som används. Det kan till exempel handla om att data exponeras på bärbara datorer som glöms på pendeltåg eller att anställda ansluter sig till osäkra nätverk på kaféer.
Enligt IBM och Ponemon Institute inbegriper nästan hälften av alla säkerhetsincidenter skadlig mjukvara eller intrång, medan 27 procent beror på slarv av anställda. En kombination av de två orsakerna ger perfekta förutsättningar för cyberbrottslingar.
Det behövs säkerhetslösningar både i enheterna och i nätverken, som exempelvis biometrifunktioner och inbyggd smart kryptering. Fjärråtkomst till enheter och möjligheter att rensa dem är också viktiga, om enheterna hamnar på vift. Det bör finnas central administration och goda möjligheter att skydda och definiera rättigheter till känslig information. Lägg till det utbildning om IT-säkerhet till de anställda.
 
IoT och edge är nästa utmaning
Den ökade populariteten för IoT och edgelösningar (lösningar i kanten av nätverken) ställer nya krav på dataskydd. Säkerhetsföretag som Avast pekar ut IoT som ett viktigt slagfält vad gäller cyberbrottslighet under 2019.
Bland de nya innovativa säkerhetsstrategier som företag bör överväga finns exempelvis mobila edgelösningar. I sådana kan data krypteras lokalt och översättas enligt kommunikationsprotokoll innan de överförs via molnet. I takt med att nya lösningar som ”wearables”, till exempel smarta kläder och smarta glasögon, blir populära kommer mängden data som behöver skyddas öka, vilket gör mobila edgelösningar ännu mer attraktiva.
Säkerhet är den viktigaste aspekten av ett företags IT-strategi och ett hotlandskap i ständig förändring gör att utmaningarna är större än någonsin. Lösningar kanske bara är säkra några månader, så det krävs ständig övervakning och utveckling. Det räcker inte med säkra centrala delar av nätverken, utan det krävs insatser även i kanterna av nätverken.
Kenni Ramsell, Nordenchef på Toshiba

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29