Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Felkonfigurering vanligaste orsaken till säkerhetsincidenter i molnet

| Linda Kante

Sårbarheter i molnplattformar förväntas öka under 2020, det konstaterar IT-företaget Sophos i sin trendstudie 2020 Threat Report.

Teckna din prenumeration på Aktuell Säkerhet här 

– Rapporten visar att molntjänstplattformar som ofta är komplexa och hela tiden ändras blivit en stor säkerhetsrisk. Vår uppfattning är att felaktig konfigurering, oftast oavsiktlig, ligger bakom flertalet av de säkerhetsincidenter vi ser i molnmiljöer. Bland annat har företag som Netflix och Ford drabbats av allvarliga säkerhetsincidenter som orsakats av felaktig konfigurering, säger Per Söderqvist, säkerhetsexpert på Sophos.

–När det gäller säkerhet i molnet är det tydligt att små fel kan få stora och allvarliga konsekvenser. Molntjänsterna kan vara förhållandevis svåra att uppdatera samtidigt som en liten men felaktig konfigurering snabbt får genomslag i hela organisationen. Här gäller det att höja kunskapen och tillhandahålla effektiva verktyg som hjälper till att upptäcka felaktigheter. Det krävs också lösningar som gör det möjligt att övervaka och snabbt åtgärda intrångsförsök eller dataläckor.

– Förutom den här typen av sårbarheter visar rapporten att gisslanprogrammen blir alltmer försåtligt utformade för att undgå upptäckt. Vi kan också förvänta oss att maskininlärning blir ett allt vanligare verktyg i händerna på cyberkriminella. Det går att höja säkerheten med AI och maskininlärning men det är givetvis ingenting som hindrar att den tekniken används också för attacker och intrångsförsök.

Thoma Bravo lägger bud på Sophos

| Linda Kante

Under dagen kom nyheten att det amerikanska riskkapitalbolaget Thoma Bravo lagt ett bud på cybersäkerhetsföretaget Sophos. För 7,40 amerikanska dollar per aktie hoppas man att Sophos styrelse vill agera – något som lyckats. Styrelsen meddelar nämligen att de rekommenderar vidare budet till bolagets aktieägare. 

Teckna din prenumeration på Aktuell Säkerhet här 

Thoma Bravo, som är inriktad mot mjukvaru- och teknikbranschen. har under sina dryga 40 år på marknaden förvärvat fler än 200 bolag för en sammanlagd summa av 35 miljarder dollar.

– I dag utgör en spännande milstolpe i Sophos pågående resa. Sophos är med och aktivt driver en övergång till nästa generations cybersäkerhetslösningar, utnyttjandet av avancerade funktioner i molnet, API:er, automatisering, hantering av hotbilder, med mera. Vi fortsätter att hålla oss till en differentierad strategi och vi ser det här budet som ett erkännande av Sophos marknadsposition samt de framsteg vi gjort, säger Kris Hagerman, vd för Sophos.



 


Attacker med gisslanprogrammet Ryuk ökar


 | Linda Kante  
Ryuk heter det gisslanprogram som drabbat både dagstidningar och offentliga verksamheter i USA, som till exempel sjukhus, myndigheter, vattenkraftverk och kommuner. SophosLabs varnar nu i ett pressmeddelande att de ser en tydlig ökning av attacker med Ryuk. 


Teckna din prenumeration på Aktuell Säkerhet här 


– En attack med Ryuk orsakar lätt kaos hos de företag och organisationer som drabbas. Även om Ryuk så här långt främst drabbat andra länder måste vi vara förberedda för att attacker kan komma även i Sverige, kommenterar Ola Björling, ansvarig för Sophos i Norden och Baltikum.


– Angriparna bakom Ryuk använder en kombination av flera olika tekniker. Det kan exempelvis börja med en e-postbilaga som innehåller skadlig kod och ger tillgång till nätverket. Väl där stjäl angriparen inloggningsuppgifter och ger sig själv administratörsrättigheter. Därefter kan man sondera systemets Active Directory och ta bort backupfiler. Nästa steg kan vara att försöka slå ut de IT-säkerhetslösningar som återstår och sedan släpper man lös gisslanprogrammet, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.


Aggressiv adware gömmer sig i Android-appar


 | Linda Kante  
Androidanvändare har under den senaste tiden plågats av att flera av de appar som de laddar ner via Google Play egentligen är aggressiv adware. När appen installerats på enheten gömmer den sig dessutom väl och blir därmed svår att upptäcka.


Teckna din prenumeration på Aktuell Säkerhet här 


Apparna kan ge sken av att exempelvis vara läsare för QR-koder, backuplösningar, bildredigerare eller verktyg för att ha koll på tidszoner.


Normalt visas alla nedladdade appar i en ”app tray”, men flera av de bedrägliga apparna syns inte där. I andra fall visas de men då under generiska namn som får användaren att tro att de följde med telefonen vid köpet. Enligt Google Play Market har användare av över 1,3 miljoner mobila enheter laddat ned minst en av de bedrägliga apparna.


Sophoslabs skriver i ett pressmeddelande att de identifierat femton appar som har laddats ner i god tro, men som i själva verket är aggressiv adware.


”Flash On Calls & Messages, Read QR Code, Find Your Phone, PhotoBackground och Image Magic är några exempel på appar som gömmer sig i telefonen och i själva verket är adware”, skriver de.


– För en användare som inte har djupare teknisk kunskap kan det vara svårt att identifiera och få bort den här typen av program. Efter SophosLabs varning har de aktuella apparna nu tagits bort från Play Market men det kan mycket väl finnas andra som ännu inte upptäckts, säger Per Söderqvist, säkerhetsexpert på Sophos.


– Mängden appar och inte minst mer eller mindre seriösa tredjepartsleverantörer gör det svårt att kontrollera kvaliteten på utbudet i Google Play. Även om det kan stanna vid att användaren får påträngande reklam till sig är detta ytterligare en varning om att appar i Google Play inte per automatik är säkra.


WannaCry fortsätter spridas


 | Linda Kante  
Under våren 2017 spreds den skadliga koden WannaCry som en löpeld bland datorer runt om i världen. Nu visar ny forskning visar att hotet finns kvar och att miljoner upptäckter av WannaCry görs varje månad – hela 4,3 miljoner under augusti. 


Teckna din prenumeration på Aktuell Säkerhet här


– WannaCry-utbrottet 2017 förändrade hotbilden för alltid. Vår forskning på Sophos visar att det fortfarande finns många oskyddade datorer – och om du inte har installerat uppdateringar som släpptes för mer än två år sedan, hur många andra säkerhetsåtgärder har du missat? I det här fallet har vissa offer haft tur eftersom en del varianter av den skadliga programvaran oavsiktligt skapat immunitet mot nyare versioner. Men inget företag bör förlita på det utan i stället ha en tydlig policy att alltid installera patchar när de släpps och att ha en robust säkerhetslösning som täcker alla enheter, nätverk och system, säger Peter Mackenzie, säkerhetsspecialist på Sophos och en av författarna bakom rapporten.


Att WannaCry lever vidare beror till stor del på att de nya varianterna kan ta sig förbi en så kallad ”kill switch”, en specifik webbadress som automatiskt stänger av en infektionsprocess om skadlig kod ansluter till den.


IT-säkerhet ett omöjligt pussel


 | Linda Kante  
Fler än två av tre organisationer utsattes under förra året för angrepp som de inte kunde förhindra. Detta trots att nio av tio säger sig använda uppdaterade IT-säkerhetslösningar.


Teckna din prenumeration på Aktuell Säkerhet här


En ny global studie från Sophos visar att många företag är på väg att förlora striden om IT-säkerheten.The Impossible Puzzle of Cybersecurity” påvisar att IT-avdelningarna lägger drygt en fjärdedel (26 procent) av tiden på IT-säkerhet samtidigt som en stor andel (86 procent) uppger att de behöver fler säkerhetsexperter för att möta utvecklingen. Mot det står begränsade budgetar och en stor global brist på kvalificerad personal.


– Studien visar att företag i dag måste hantera flera samtidiga angrepp som ofta använder olika ingångar och olika sorters skadlig kod. Attackerna är i många fall koordinerade och sammansatta för att göra maximal skada eller ge angriparna bästa möjliga belöning i form av information eller pengar, säger Ola Björling, ansvarig för Sophos i Norden och Baltikum.


– Det här visar att IT-säkerhet måste ses som en helhet där man kan förstå och förebygga snarare än att i första hand reaktivt svara på uppkomna attacker och intrång. För att klara det behöver man arbeta med synkroniserad säkerhet som använder prediktiv analys och avancerad djupinlärning. På så vis minskar man också behovet av de säkerhetsexperter som i dag inte finns att tillgå, säger Ola Björling.


Säkerheten brister hos fjärrstyrda datorer


 | Linda Kante  
För att fjärrstyra datorer används ett verktyg vid namn Remote Desktop Protocol (RDP). Men nu visar en ny studie hur tio honungsfällor snabbt utsätts för omfattande cyberangrepp via RDP. Den första attacken gjordes efter bara 84 sekunder och totalt utsattes servrarna för mer än fyra miljoner inloggningsförsök under en trettiodagarsperiod.


Teckna din prenumeration på Aktuell Säkerhet här


Sophos rapport ”RDP Exposed: The Threat That´s Already at your Door”visar hur cyberkriminella automatiskt och i stor skala använder RDP för att få tillgång till servrar och IT-system.


– Problemet med RDP som säkerhetsrisk har funnits i flera år. Däremot är omfattningen av angreppen betydligt större än vad många känner till. Verktyget kan vara till stor hjälp när en dator behöver fjärrstyras men har under åren utvecklats till något av en mardröm för systemadministratörer. En av anledningarna är att användarna väljer alldeles för enkla lösenord. Det gör RDP till en tacksam ingång för cyberkriminella, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.


– En uppenbar motåtgärd är att se över och bara använda RDP på enheter där det är absolut nödvändigt eller göra det tillgängligt via VPN (Virtual Private Network). Väljer man att använda RDP bör man dessutom se till att lösenorden är riktigt svåra att knäcka. Trots alla varningar använder många enkla lösenord som inte är någon match för en angripare. Tvåfaktorsautentisering är också ett sätt att göra det svårare att lyckas med angrepp via RDP, säger Per Söderqvist.


– Det är självklart också väldigt viktigt att hämta de senaste uppdateringarna som skyddar mot BlueKeep, en allvarlig svaghet i RDP som kan leda till svåra och storskaliga cyberattacker, avslutar Per Söderqvist.


Https inte så säkert som många tror


 | Linda Kante  
Amerikanska FBI går nu ut och varnar för att protokollet Https (Hypertext transfer protocol secure) inte garanterar någon säkerhet – något många verkar tro. Protokollet innebär att det finns en krypterad och säker anslutning till en server, men säger det ingenting om att själva servern är säker. 


Teckna din prenumeration på Aktuell Säkerhet här


En bidragande orsak till att många förlitar sig på att Https är säkert är att protokollet sedan år 2015 premierats i webbsökningar och setts som en positiv signal av sökmotoralgoritmer. Dessutom har Google Chrome, Firefox och Edge börjat markera sidor utan Https som osäkra.


Utvecklingen har samtidigt drivits på av att det är enkelt också för oseriösa aktörer att skaffa det TLS/SSL-certifikat som krävs för att kunna använda Https.


– Uppfattningen att en webbsida med Https i sin webblänk är säker har gynnat cyberkriminella. Det är fortfarande viktigt att kommunikationen är säker och inte kan avläsas av obehöriga. Problemet uppstår snarast när det bakom Https-adressen finns kriminella som använder den som en plattform för exempelvis nätfiske, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.


– På ett sätt kan man säga att IT-branschen har sig själv att skylla över utvecklingen. Under lång tid har budskapet varit att en webbsida med Https är säker. För en lekman är det inte så enkelt att följa med i utvecklingen så det finns ett stort behov av att informera och göra fler införstådda med begränsningarna, säger Per Söderqvist.


Honungsfällor i molnet attackeras flera miljoner gånger på en månad


 | Linda Kante  
Sophos rapport ”Exposed: Cyberattacks on Cloud Honeypots” visar hur cyberkriminella automatiskt skannar efter sårbarheter och öppningar som kan ge tillgång till servrar och IT-system. Där framgår att varje server i genomsnitt utsattes för tretton attacker i minuten. Snabbast gick det i Sao Paolo, Brasilien, där den första attacken kom efter mindre än en minut.


Teckna din prenumeration på Aktuell Säkerhet här


– Molnbaserade miljöer gör att företagen kan arbeta effektivt, men samtidigt öppnar det nya möjligheter också för cyberkriminella. När publika molnlösningar och företagens IT-infrastruktur blir synlig uppstår sårbarheter som kan vara förödande. Attackernas omfattning och aggressivitet i studien visar hur målmedvetet cyberkriminella arbetar och att de ofta använder bottnät för att angripa molnbaserade IT-plattformar, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.


För att möta utvecklingen lanserar Sophos en ny AI-baserad lösning särskilt anpassad för att skapa en mycket hög säkerhet i molnmiljöer som AWS, Microsoft Azure och Google Cloud Platform (GCP) – Sophos Cloud Optix.


– I stället för att belasta IT-säkerhetsavdelningarna med stora mängder ospecificerade larm identifierar Sophos Cloud Optix snabbt den trafik och de händelser som kräver en åtgärd. Det ger användaren en väl samlad överblick över företagets molnmiljö och data. Lösningen är också utvecklad för att smidigt kunna följa ändringar i de regelverk som omgärdar informationshantering. Sammantaget får företagen betydligt bättre möjligheter att prioritera rätt och arbeta proaktivt, säger Per Söderqvist.


Han ska utveckla Sophos MSP-arbete i Norden och Baltikum


 | Linda Kante  
Daniel Wallinder


IT-säkerhetsföretaget Sophos låter meddela att de har anställt Daniel Wallinder som Channel Account Manager för Managed Service Providers (MSP) i Norden och Baltikum. Daniel har lång erfarenhet från IT-branschen och kommer att arbeta både med befintliga partnersamarbeten och för att etablera nya.


Teckna din prenumeration på Aktuell Säkerhet här


– När det gäller IT-säkerhet är en MSP-lösning väldigt intressant för många företag. Våra tjänsteleverantörer är en mycket viktig del av Sophos framtid och vi satsar nu stort för att fortsätta ha en tätposition. I Norden har vi kommit relativt långt och med Daniel i teamet ger vi nu vår MSP-satsning ytterligare skjuts framåt, säger Ola Björling, ansvarig för Sophos i Norden och Baltikum.


– Det är förstås roligt att komma till ett företag som ligger så långt fram inom helhetslösningar för IT-säkerhet och som dessutom satsar så mycket på sina MSP. Sophos är också en arbetsplats med bra energi och ett positivt synsätt där vi drivs av att hjälpa både kunder och kollegor, kommenterar Daniel Wallinder.




Redaktionsadress

			
Aktuell Säkerhet

Stora Gråmunkegränd 11

111 27 Stockholm

Tel: 070-698 03 29