Gårdagens skydd räcker inte!

över 3 år sedan

Att skydda sig mot morgondagens IT-hot hör till en av de största utmaningarna för de flesta organisationerna idag. Att fortsätta kasta pengar på föråldrad teknik i tron om att det skulle skydda verksamheten är naivt. Det är dags att vakna nu och inse faktum. Gårdagens teknik skyddar inte mot morgondagens hot!

Vi kan alla konstatera att våra internetvanor har förändrats ganska radikalt under de senaste åren och det finns inte mycket som pekar på att denna trend kommer att avta. Som ett resultat av detta så ökar också hotbilden mot såväl företag som privatpersoner. Begrepp som ”cyber crime”, ”cyber-attack” och ”social engineering” florerar allt oftare i nyheterna och vi kan dagligen läsa om företag som fallit offer.

Det handlar inte längre om fjuniga tonåringar som knäcker lösenord eller stänger ner hemsidor för skoj skull. Idag handlar det om riktade attacker med tydliga mål, antingen vill angriparen pressa sitt offer på pengar eller så vill man komma över företagshemlig information. Trenden pekar tydligt på att dagens hot är mer sofistikerade, svårare att upptäcka och jobbigare att bli av med. Detta är idag en industri som går under benämningen ”cyber crime” och som uppskattas omsätta omkring $445 miljarder under 2015! Den siffran förväntas växa i samma takt som vi blir allt mer uppkopplade.

Vi ser helt nya hot med beteenden och tillvägagångsätt som skiljer sig från traditionella. Attackerna kan bli extremt kostsamma och att ”städa” bort infektioner är som regel mycket svårt, i vissa fall helt omöjligt. Man brukar tala om två typer av bolag idag:

  • Dom som blivit utsatta för intrång och vet om det
  • Dom som blivit utsatta för intrång utan att veta om det

Även om det är lite skämtsamt utryckt så ligger det ganska mycket i det eftersom det är mycket stor sannolikhet att man blivit drabbad utan att veta om det. Attacker som offret inte ser eller lägger märket till har oftast som syfte att komma över företagshemlig information medan attacker som uppmärksammas av offret oftast har ekonomiskt syfte.

Utvecklingen går extremt fort och gårdagens skydd räcker inte längre till, det är de flesta i branschen rörande överens om. Trots detta så är det få leverantörer som gör någonting konkret åt problematiken. Palo Alto driver denna utveckling tillsammans med ett fåtal andra och är unika med sitt kompletta säkerhetstänk.

Detta händer ju inte i Sverige, eller?

KPMG genomförde 2014 en studie på 14 svenska företag med i genomsnitt 5000 anställda för att reda ut förekomsten av ”unknown threats”. Genom att studera internettrafiken både till och från omkring 70.000 klienter i fyra veckor kan studien konstatera följande:

  • 93% av bolagen hade blivit utsatt för intrång
  • 83% av dessa intrång innebar informationsläckage
  • 52% av de virus som hittades var okända för de 53 största antivirusleverantörerna

Studien visar också att en ”normal” klient inom ett nätverk genererar dagligen i genomsnitt 43 säkerhetsincidenter, hos de mest internetintensiva företagen genererades omkring 226 säkerhetsincidenter per dag och klient. I genomsnitt hittades två infekterade klienter per dag vilket resulterade i 30 dataförluster per dag.

Utöver KPMG´s studie kan vi konstatera att de riktade attackerna har under de två senaste åren ökat med 130%, då har man inte tagit höjd för eventuella mörkertal. Det är trots allt så att de som blir drabbade inte gärna skryter om det, om de ens vet om att de blivit drabbade.

För de organisationer som faktiskt uppmärksammar dessa intrång så tar det i genomsnitt 225 dagar innan de upptäcker något, under den perioden läcker företaget med största sannolikhet data. Inte nog med det så identifieras dessutom denna typ av intrång i 84% av fallen av tredje-part, alltså inte den primära säkerhetsplattformen.

Ytterligare statistik:

71% av alla intrång sker via en användare som är lyckligt ovetande om att han/hon blivit infekterad. Av dessa är 78% av intrången okända sedan tidigare, sk. ”zero-day” attacker.

90% av de antivirusskydd som finns idag saknar skydd mot ”zero-day vulnerabilities” under det första dygnet. Efter ytterligare 7 dagar saknar fortfarande omkring 60% av dessa leverantörer skydd.

De senaste mätningarna visar på att omkring 30.000 nya, sk. ”zero-day malware”, upptäcks dagligen, och den siffran ökar stadigt. En av anledningarna till varför vi ser en sådan ökning är att avancerade ”malware” kan byta skepnad upp till 200 gånger per dag.

”Ransomware” attackerna ökar lavinartat och ett av de vanligaste är CryptoWall. Under ett halvår uppskattades 2014 att 625000 system ha drabbats av CryptoWall, 67% av dessa tillhör SMB segmentet. Totalt $1 miljon skall CryptoWall dragit in till tillverkaren av viruset. Läs mer om våra erfarenheter från Ransomware här.

Hur ser attackerna ut?

De flesta attacker initieras idag via en klient då säkerhetsnivån oftast är lägst där. Dessutom finns det ett smörgåsbord av sårbarheter hos klienter som hackers mer än gärna utnyttjar. Dels så är klienterna ett relativt enkelt mål när de befinner sig utanför företagets nätverk men framförallt så utgör naiva användare ett stort hot mot företagets IT-säkerhet.

Hela processen för en attack består naturligtvis av flera steg men det som är gemensamt för samtliga är att angriparen vill utnyttja svagheter, antingen hos befintliga applikationer eller hos användaren, för att på ett eller annat sätt få in skadlig kod på enheten. Vanligtvis sker detta genom en ”Exploit” eller ”malware”. Förenklat kan man säga att en ”exploit” utnyttjar svagheter i applikationer medan ”malware” oftast utnyttjar svagheter hos användaren i syfte att infektera klienten.

Normalt pratar man om två typer av hot, kända och okända. Dessa bygger på att angriparen utnyttjar befintliga svagheter hos sina offer, antingen genom en riktad attack eller som en mer generell attack mot flera organisationer. Den gemensamma nämnaren för alla typer av hot idag är att angriparen är ute efter pengar, skadegörelse eller information. I de fall pengar och/eller skadegörelse är det primära målet så kommer offret förr eller senare att bli varse om attacken. I de fall information står på agendan så vill angriparen inte gärna bli upptäckt.

Beroende på attackens karaktär och mål så är offret mer eller mindre utstuderad i förväg. Rör det sig om en riktad attack så kartläggs den specifika organisationen innan en attack initieras, syftet är att hitta rätt person/värd som kan bära in viruset. I många fall lokaliseras värden hos en underleverantör eller liknande då IT-säkerheten i många fall är lägre där. När dessa personer/värdar är identifierade så studeras dessa i detalj. Vilka internetvanor har dom? Vart bor dom? När och vart lämnas barnen på dagis? Vilka allergier har dom? Vilka intressen har dom? Skostorlek? etc. etc. Ja, listan kan göras hur lång som helst.

När angriparen har en tydlig bild över vilka svagheter som skall utnyttjas skräddarsys ett virus som distribueras till organisationen genom de lyckligt ovetande personerna som valts ut. Vanligast är att angriparen utger sig för att vara någon man inte är (spoofing & social engineering), antingen genom e-post eller genom att exploatera webbsidor som användaren regelbundet besöker. Värt att nämna är att riktade attacker endast kan stoppas på klienten som drabbas.

Varför är det så svårt att skydda sig?

Det traditionella tänket kring IT-säkerhet har historiskt handlat om lösningar som byggs för att hanterar befintliga hot eller svagheter. Lösningarna har byggt på att blockera känd skadlig trafik och släppa igenom allt annat som oskadlig trafik. Ett signaturbaserat antivirusskydd fungerar precis på detta sätt, dvs. det skyddar mot ett befintligt hot som för leverantören är känt. Men hur hanteras då de nya, helt okända hoten? 

Den bistra sanningen är att de kriminella organisationerna som kommersialiserar inom ramarna för ”cyber crime” alltid kommer att ligga steget före. Som jag nämnt tidigare så upptäcks omkring 30.000 nya malware dagligen, alltså hot som ingen tidigare sett. Dessutom byter dessa skepnad upp till 200 gånger per dag, ofta handlar det om att filändelser eller fil hashar förändras för att på så sätt komma runt virusskydd. Det innebär att ett traditionellt, signaturbaserat, antivirusskydd måste generera lika många signaturer varje dag och lista dessa som antingen kända skadliga hot eller som kända oskadliga hot. Uppgiften är naturligtvis helt omöjlig och statistiken talar sitt tydliga språk. 90% av de 53 största antivirusleverantörerna saknar skydd under det första dygnet. Efter ytterligare 7 dygn saknar 60% av dessa fortfarande skydd.

Så vad skall vi göra när vi vet att hoten ökar, både i omfattning och komplexitet. Vi vet att de riktade attackerna ökar lavinartat och vi kan konstatera att de traditionella antivirusskydden inte kan hantera dessa hot. Vi kan också konstatera att de ekonomiska konsekvenserna kan bli förödande vid en eventuell attack och att ett virus kan vara extremt svårt att ”städa” bort.

Detta låter naturligtvis omöjligt att skydda sig mot, men så är inte fallet. Vi behöver däremot förändra vårt sätt att se på säkerhet. Istället för fokus på lösningar för specifika problem måste vi nu se arbetet med IT-säkerhet som en process under ständig utveckling. Vi måste titta på hur angreppen går till och vilka tekniker som används för att ha någon som helst chans att identifiera och förhindra eventuella intrång.

Tittar vi närmare på hur de nya hoten ser ut så har de en sak gemensamt, de allra flesta av dom är någon form av ”malware”. Då vet vi att dom förr eller senare också kommer att bete sig som ett ”malware”, alltså manipulera applikationer eller processer för att injicera skadlig kod. Så istället för att konstant försöka ligga steget före och producera signaturer för antivirussystemen så kan vi titta på hur ”malware” beter sig och stoppa den processen om någonting går utanför ramarna för vad vi kan kalla, normalt beteende. Precis så jobbar Palo Alto TRAPS.

Hur kan ni skydda er?

En grundläggande nivå av regler och policys är att föredra eftersom en hel del saker som händer i våra nätverk inte borde få hända. Skall samtliga användare ha rätt att själva hämta ner exekverbara filer? Borde företaget använda flera olika webbläsare och vilka plug-in moduler skall vara tillåtna? Vilka fildelningsverktyg skall användas och vilken typ av information får inte lämna huset? Listan på policys kan göras hur lång som helst.

Utöver regler och policys så behöver vi också bygga en plattform som kan hantera alla typer av hot. En plattform där alla delar kommunicerar och ärver regelverk etc. En plattform som hanterar allt från nätverkstrafik till klienter och mobila enheter. Först då kan vi hålla obehöriga borta på ett bra sätt.

En mycket viktig parameter för att bygga den här plattformen är att identifiera och förebygga eventuella intrång hos samtliga enheter över hela organisationen. Det är trots allt inte bara servrar och klienter som finns fysiskt bakom brandväggarna som behöver skyddas.

Hur går attacken till och vad kan vi göra?

Om vi återigen tittar på utvecklingen inom den illegala ”cyber crime” industrin så ser vi att hoten är betydligt mer avancerade än tidigare. De följer, väldigt förenklat, nedanstående ”attack kill chain” och med en komplett säkerhetsplattform skall ni kunna identifiera och förhindra samtliga delar i nedanstående kedja. Det finns självklart en massa produkter som hanterar dessa delar var för sig men väldigt få, om ens någon annan än Palo Alto, hanterar hela kedjan.

1. Åsidosätt perimeterskyddet

Initialt vill angriparen åsidosätt perimeterskyddet (brandväggen) genom att upprätta en ”osynlig” kommunikationsväg, från insidan av offrets brandvägg. Vanligtvis upprättas detta genom att lyfta in skadlig kod via krypterad trafik, inbäddat i applikationer, via webbsidor (malicious URLs) eller genom att bifoga smutsiga filer i e-post.

Den här fasen av ett angrepp belastar i stort sett alla delar i en säkerhetsplattform. Enbart en stabil och säker brandvägg hjälper inte då attacken ofta initieras genom en användare/klient. Med hjälp av Palo Alto och GlobalProtect får ni visibilitet, oavsett om trafiken är krypterad eller om klienten befinner sig utanför ert nätverk. Ni kan dessutom blockera eventuella högriskapplikationer som ni vet traverserar nätverket. Med ThreatPrevention kan ni förhindra kända ”malware”, ”exploits” och inkommande ”command & control” kommunikation samtidigt som URL filtreringen kan blockera kända, skadliga URLer och IP adresser. Tack vare WildFire skulle ni kunna hantera även de hot som idag inte är kända, alltså ”zero-day” hoten.

2. Leverera malware

När och om angriparen på ett eller annat sätt kommer förbi brandväggen så startas leveransen av den skadliga koden. Vanligtvis rör det sig om osynliga nedladdningar, uppsättning av ”command & control” kanaler eller implementering av sk. ”payload droppers” (se förklaring under vokabulär).

Då angriparen redan är förbi perimeterskyddet så är det svårt för brandväggen att själv åtgärda detta. Men med TRAPSWildFire blockerar vi såväl exploateringssårbarheter som malware, oavsett om detta är kända sedan tidigare eller inte.

3. Förflyttning

Om angriparen på ett eller annat sätt lyckats få in den skadliga koden så kommer den troligtvis att spridas genom nätverket om ingen uppmärksammar detta. Finns det delar av den skadliga koden som ännu inte laddats hem så är det i detta skede som det inträffar, även kallat ”final payload”.

Angriparen är nu väldigt nära att fullborda attacken men tack vare Palo Alto BrandväggTRAPS och WildFire kan vi upprätta säkra zoner som ser till att regler kring åtkomst efterlevs och normala processer följs, skulle t.ex. en .pdf fil bete sig konstigt triggar TRAPS. Dessutom analyseras och inspekteras all trafik mellan zonerna kontinuerligt tack vare integrationen till WildFire vilket gör att vi kommer åt såväl kända som okända hot.

4. Exfiltrera data

Har en angripare kommit igenom steg 1-3 så är risken stor att ni redan blivit av med en del data. I detta läge kan angriparen oftast i lugn och ro hämta den data som är av intresse för att sedan dra sig tillbaks och radera alla spår.

Med ThreatPrevention däremot kan vi blockera utgående ”command & control” trafik, vi kan blockera fil- & datauppladdning samt erbjuda DNS monitorering och ”sinkholing” i syfte att upptäcka och blockera oönskad trafik. Tack vare URL filtering kan vi också blockera utgående trafik till kända skadliga URLer och IP adresser.

Vi älskar att prata om IT-säkerhet! Hör av er så berättar vi mer.

//Sonny Clark, CGit AB

Det allra senaste från oss

Här finns mer att läsa om