Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

IT-säkerhet ett omöjligt pussel

|

Fler än två av tre organisationer utsattes under förra året för angrepp som de inte kunde förhindra. Detta trots att nio av tio säger sig använda uppdaterade IT-säkerhetslösningar.

Teckna din prenumeration på Aktuell Säkerhet här

En ny global studie från Sophos visar att många företag är på väg att förlora striden om IT-säkerheten.The Impossible Puzzle of Cybersecurity” påvisar att IT-avdelningarna lägger drygt en fjärdedel (26 procent) av tiden på IT-säkerhet samtidigt som en stor andel (86 procent) uppger att de behöver fler säkerhetsexperter för att möta utvecklingen. Mot det står begränsade budgetar och en stor global brist på kvalificerad personal.

– Studien visar att företag i dag måste hantera flera samtidiga angrepp som ofta använder olika ingångar och olika sorters skadlig kod. Attackerna är i många fall koordinerade och sammansatta för att göra maximal skada eller ge angriparna bästa möjliga belöning i form av information eller pengar, säger Ola Björling, ansvarig för Sophos i Norden och Baltikum.

– Det här visar att IT-säkerhet måste ses som en helhet där man kan förstå och förebygga snarare än att i första hand reaktivt svara på uppkomna attacker och intrång. För att klara det behöver man arbeta med synkroniserad säkerhet som använder prediktiv analys och avancerad djupinlärning. På så vis minskar man också behovet av de säkerhetsexperter som i dag inte finns att tillgå, säger Ola Björling.

Säkerheten brister hos fjärrstyrda datorer

|

För att fjärrstyra datorer används ett verktyg vid namn Remote Desktop Protocol (RDP). Men nu visar en ny studie hur tio honungsfällor snabbt utsätts för omfattande cyberangrepp via RDP. Den första attacken gjordes efter bara 84 sekunder och totalt utsattes servrarna för mer än fyra miljoner inloggningsförsök under en trettiodagarsperiod.

Teckna din prenumeration på Aktuell Säkerhet här

Sophos rapport ”RDP Exposed: The Threat That´s Already at your Door”visar hur cyberkriminella automatiskt och i stor skala använder RDP för att få tillgång till servrar och IT-system.

– Problemet med RDP som säkerhetsrisk har funnits i flera år. Däremot är omfattningen av angreppen betydligt större än vad många känner till. Verktyget kan vara till stor hjälp när en dator behöver fjärrstyras men har under åren utvecklats till något av en mardröm för systemadministratörer. En av anledningarna är att användarna väljer alldeles för enkla lösenord. Det gör RDP till en tacksam ingång för cyberkriminella, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

– En uppenbar motåtgärd är att se över och bara använda RDP på enheter där det är absolut nödvändigt eller göra det tillgängligt via VPN (Virtual Private Network). Väljer man att använda RDP bör man dessutom se till att lösenorden är riktigt svåra att knäcka. Trots alla varningar använder många enkla lösenord som inte är någon match för en angripare. Tvåfaktorsautentisering är också ett sätt att göra det svårare att lyckas med angrepp via RDP, säger Per Söderqvist.

– Det är självklart också väldigt viktigt att hämta de senaste uppdateringarna som skyddar mot BlueKeep, en allvarlig svaghet i RDP som kan leda till svåra och storskaliga cyberattacker, avslutar Per Söderqvist.

Https inte så säkert som många tror

|

Amerikanska FBI går nu ut och varnar för att protokollet Https (Hypertext transfer protocol secure) inte garanterar någon säkerhet – något många verkar tro. Protokollet innebär att det finns en krypterad och säker anslutning till en server, men säger det ingenting om att själva servern är säker. 

Teckna din prenumeration på Aktuell Säkerhet här

En bidragande orsak till att många förlitar sig på att Https är säkert är att protokollet sedan år 2015 premierats i webbsökningar och setts som en positiv signal av sökmotoralgoritmer. Dessutom har Google Chrome, Firefox och Edge börjat markera sidor utan Https som osäkra.

Utvecklingen har samtidigt drivits på av att det är enkelt också för oseriösa aktörer att skaffa det TLS/SSL-certifikat som krävs för att kunna använda Https.

– Uppfattningen att en webbsida med Https i sin webblänk är säker har gynnat cyberkriminella. Det är fortfarande viktigt att kommunikationen är säker och inte kan avläsas av obehöriga. Problemet uppstår snarast när det bakom Https-adressen finns kriminella som använder den som en plattform för exempelvis nätfiske, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

– På ett sätt kan man säga att IT-branschen har sig själv att skylla över utvecklingen. Under lång tid har budskapet varit att en webbsida med Https är säker. För en lekman är det inte så enkelt att följa med i utvecklingen så det finns ett stort behov av att informera och göra fler införstådda med begränsningarna, säger Per Söderqvist.

Honungsfällor i molnet attackeras flera miljoner gånger på en månad

|

Sophos rapport ”Exposed: Cyberattacks on Cloud Honeypots” visar hur cyberkriminella automatiskt skannar efter sårbarheter och öppningar som kan ge tillgång till servrar och IT-system. Där framgår att varje server i genomsnitt utsattes för tretton attacker i minuten. Snabbast gick det i Sao Paolo, Brasilien, där den första attacken kom efter mindre än en minut.

Teckna din prenumeration på Aktuell Säkerhet här

– Molnbaserade miljöer gör att företagen kan arbeta effektivt, men samtidigt öppnar det nya möjligheter också för cyberkriminella. När publika molnlösningar och företagens IT-infrastruktur blir synlig uppstår sårbarheter som kan vara förödande. Attackernas omfattning och aggressivitet i studien visar hur målmedvetet cyberkriminella arbetar och att de ofta använder bottnät för att angripa molnbaserade IT-plattformar, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

För att möta utvecklingen lanserar Sophos en ny AI-baserad lösning särskilt anpassad för att skapa en mycket hög säkerhet i molnmiljöer som AWS, Microsoft Azure och Google Cloud Platform (GCP) – Sophos Cloud Optix.

– I stället för att belasta IT-säkerhetsavdelningarna med stora mängder ospecificerade larm identifierar Sophos Cloud Optix snabbt den trafik och de händelser som kräver en åtgärd. Det ger användaren en väl samlad överblick över företagets molnmiljö och data. Lösningen är också utvecklad för att smidigt kunna följa ändringar i de regelverk som omgärdar informationshantering. Sammantaget får företagen betydligt bättre möjligheter att prioritera rätt och arbeta proaktivt, säger Per Söderqvist.

Han ska utveckla Sophos MSP-arbete i Norden och Baltikum

|

Daniel Wallinder

IT-säkerhetsföretaget Sophos låter meddela att de har anställt Daniel Wallinder som Channel Account Manager för Managed Service Providers (MSP) i Norden och Baltikum. Daniel har lång erfarenhet från IT-branschen och kommer att arbeta både med befintliga partnersamarbeten och för att etablera nya.

Teckna din prenumeration på Aktuell Säkerhet här

– När det gäller IT-säkerhet är en MSP-lösning väldigt intressant för många företag. Våra tjänsteleverantörer är en mycket viktig del av Sophos framtid och vi satsar nu stort för att fortsätta ha en tätposition. I Norden har vi kommit relativt långt och med Daniel i teamet ger vi nu vår MSP-satsning ytterligare skjuts framåt, säger Ola Björling, ansvarig för Sophos i Norden och Baltikum.

– Det är förstås roligt att komma till ett företag som ligger så långt fram inom helhetslösningar för IT-säkerhet och som dessutom satsar så mycket på sina MSP. Sophos är också en arbetsplats med bra energi och ett positivt synsätt där vi drivs av att hjälpa både kunder och kollegor, kommenterar Daniel Wallinder.

Cyberangrepp upptäcks i tid men klientsäkerheten måste stärkas

|

Runt 74 procent av alla intrång i servrar och nätverk upptäcks. Det framgår av undersökningen ”7 Uncomfortable Truths of Endpoint Security” som genomförs av IT-säkerhetsföretaget Sophos. Samtidigt visar studien att en majoritet av angreppen riktas mot enskilda arbetsstationer varför en effektiv EDR-lösning (endpoint detection and response) skulle öka klientsäkerheten väsentligt, menar man på Sophos.

Teckna din prenumeration på Aktuell Säkerhet här

– I servermiljön finns ofta känsliga data om företagets finanser, medarbetare och andra tillgångar. Med hårdare lagar och regler som GDPR blir det därför naturligt att IT-ansvariga har ett stort fokus på verksamhetens kritiska servermiljöer och nätverk. Samtidigt visar studien att de flesta angrepp inledningsvis riktas mot enskilda arbetsstationer och att en högre andel än förväntat inte kan ange hur och när ett intrång genomförts, kommenterar Olle Björling, ansvarig för Sophos i Norden och Baltikum kommenterar studien.

– Mot den bakgrunden behöver fler verksamheter använda en så kallad EDR-lösning. Med en EDR-lösning går det snabbare att identifiera och stoppa intrångsförsök. En effektiv EDR-lösning minskar också risken för att cyberkriminella ska kunna kopiera en lyckad attack på en annan del av verksamheten.

Ta del av hela undersökningen här

Forskare har upptäckt ärvda säkerhetsrisker med 5G

|

Trots att femte generationens trådlösa nät (5G-nätet) inte har börjat användas än varnar forskare för svagheter i protokollet som påverkar säkerheten. 

– En stor uppgift för 5G var att komma till rätta med hur enkelt det har varit att övervaka 3G- och 4G-enheter med hjälp av falska basstationer, så kallade StingRays eller IMSI-fångare. Men tyvärr kan nyckelkrypteringen fortfarande förbigås eftersom en del av arkitekturen ärvts från 3G och 4G, säger Per Söderqvist på Sophos i Sverige.

Grundproblemet är att IMSI-fångare (International Mobile Subscriber Identity-catcher) fungerar genom att en basstation inte behöver identifiera sig samtidigt som alla anslutna enheter måste avslöja sin användaridentitet. Säkerheten runt 5G-nätet bygger på 5G AKA (Authentication and Key Agreement) som är en förbättrad version av det protokoll som redan används av 3G- och 4G-nätverk.

Nu pekar forskningsrapporten New Privacy Threat on 3G, 4G, and Upcoming 5G AKA Protocols på djupare problem med AKA-protokollet än man tidigare insett.

– I dag låter det som en öppen inbjudan till hackare. Men i mobilnätets barndom var det mer logiskt eftersom man prioriterade att det skulle vara enkelt att interagera med många olika företags basstationer. Med 5G skulle falska basstationer fortfarande vara möjliga, men man skulle dölja abonnentens identitet med hjälp av offentlig nyckelkryptering som hanteras av mobilnätet, säger Per Söderqvist.

Emotet nyttjar Poweshell för IT-angrepp

|

Nätverksmasken Emotet utnyttjar applikationen Powershell för att infektera Windows-baserade datorer. Det är en varning som IT-säkerhetsföretaget Sophos nu går ut med. 

Teckna din prenumeration på Aktuell Säkerhet här

Det är inte många Windows-användare som behöver Powershell, trots det så väljer många att tillåta åtkomst till appen. Men när den inte aktivt används är det också lätt att glömma att uppdatera den, därför blir det svårt att skydda den mot Emotet.

Ett vanligt angrepp börjar ofta med att en användare får ett e-postmeddelande med en Wordbilaga. Mottagaren öppnar bilagan och luras att köra ett makro som startar Powershell och laddar ned Emotet. Nätverksmasken är sedan installerad på datorn utan att användaren vet om det.

Emotet benämns av många som en banktrojan eftersom att den stjäl bankuppgifter, men till skillnad mot till exempel ransomware så är tanken bakom masken att den ska infektera och verka utan att synas.

– Emotet har nu funnits i cirka fem år och visar att det är dags att vara mer kritisk till legitima applikationer som Powershell. De framgångsrika attackerna skulle minska avsevärt om de användare som inte behöver Powershell blockerade applikationen, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

– Det som gör Emotet så farlig är inte minst förmågan att hela tiden utvecklas och undgå upptäckt. Emotet sätter också fingret på att ett reaktivt IT-skydd inte längre räcker hela vägen. För att möta utvecklingen behöver IT-säkerhet handla lika mycket om proaktivitet och förmågan att effektivt identifiera misstänkt datatrafik.

Brandväggen XG ska stoppa spridandet av skadlig kod

|

Nu lanseras en ny version av IT-säkerhetsföretaget Sophos brandvägg XG med Lateral Movement Protection. Egenskapen ska medföra att all kommunikation från en infekterad klient stängs samtidigt som brandväggen meddelar alla klienter i nätverket att blockera all kommunikation från den infekterade klienten. På så vis hindras den skadliga koden effektivt från att sprida sig.

Teckna din prenumeration på Aktuell Säkerhet här

– Det blir allt vanligare med attacker mot organisationer där den skadliga koden sprider sig i nätverket för att antingen orsaka maximal skada eller göra det möjligt att stjäla information. Förra året var NotPetya och WannaCry exempel på framgångsrika attacker. I år har trenden fortsatt med ransomware-attacker som exempelvis SamSam. Den sistnämnda attacken tros ha inbringat omkring 60 miljoner kronor. När angreppen är så lönsamma skapar det givetvis goda incitament för fortsatta attacker, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

– Många organisationer har i dag ett ganska bra skydd mot automatiserade angrepp som bygger på volym. Däremot saknas ofta ett effektivt skydd mot riktade attacker där en angripare penetrerar nätverket för att därefter röra sig i sidled och kringgå upptäckt. Här ser vi en tydlig efterfrågan på våra lösningar som bygger på synkroniserad säkerhet. Det ger dels bättre möjligheter att identifiera och hindra en attack, dels ökad kapacitet att snabbt åtgärda och begränsa skadorna om ett första angrepp skulle lyckas, avslutar han.

Sophos anställer affärsutvecklingschef för Sverige

|

Bo Hentschel har utsetts till Senior Enterprise Executive med fokus på affärsutveckling och nykundförsäljning för Sophos i Sverige. Hentschel har mångårig erfarenhet av försäljning, affärsutveckling och entreprenörskap.

Teckna din prenumeration av Aktuell Säkerhet här

– Vi arbetar hela tiden för att förstärka våra partners närvaro på den svenska marknaden. Bo blir med sin erfarenhet och kunskap ett mycket viktigt tillskott i vårt team och inte minst en tillgång för våra partner. I takt med att cyberattackerna bara blir fler och allt mer sofistikerade ser vi en stark efterfrågan på våra säkerhetslösningar. Med Bo Hentschels tillträde räknar vi med att flytta fram positionerna ytterligare, säger Ola Björling, ansvarig för Sophos i Norden och Baltikum.

– Det känns väldigt stimulerande att få arbeta i ett av världens mest välrenommerade IT-säkerhetsföretag. Jag ser nu fram emot att bidra till att stärka Sophos närvaro på den svenska marknaden i nära samarbete med våra partner. Det ska bli särskilt roligt att arbeta med nya kunder och få ännu fler att se styrkan i Sophos säkerhetslösningar, kommenterar Bo Hentschel.

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29