Henrik Berggren, cybersäkerhetsexpert på IT-säkerhetsleverantören Logpoint, svarar på hur man upptäcker intrång, hur man bäst skyddar sig mot utpressningsvirus och varför man aldrig ska betala ut lösensumma.
Hur stor är risken att drabbas av utpressningsvirus efter ett intrång?
– Det är omöjligt att säga hur stor risken är att ransomware-grupper attackerar en verksamhet efter ett intrång.
Generellt kan man säga att sannolikheten ökar om det utsatta företaget är stort, och äger mycket värdefull data. Har företaget dessutom redan utsatts för en ransomwareattack, kan de uppfattas som en enkel måltavla eftersom det tyder på att säkerheten är bristfällig eller att man har otillräcklig incidenthantering. Om intrånget blir allmänt känt kan det dessutom locka andra som vill utnyttja situationen och utforska samma sårbarheter.
En ransomwareattack inträffar ofta efter att angriparna har haft god tid på sig att lista ut vilken data som är särskilt värdefull för företaget. Hur snabbt behöver man upptäcka ”onormal aktivitet” i nätverket?
– Det går inte att uppge ett magiskt antal dagar för att upptäcka ”onormal aktivitet”.
Enligt nya studier är den genomsnittliga uppehållstiden, dvs den tid som en angripare håller sig oupptäckt utan att bli utkastad, runt 200 dagar. Ju längre uppehållstid, desto mer och värdefullare data kan angriparna stjäla och manipulera. Det är därför viktigt att arbeta aktivt för att reducera uppehållstiden via robusta säkerhetsåtgärder, kontinuerlig övervakning och snabb incident response.
Generellt sett handlar det om att ha god synlighet i nätverket. Det mest effektiva sättet för att reducera en angripares tid är genom threat hunting - dvs att proaktivt leta tecken på cyberhot i företagets nätverk.
Målet med en threat hunting-strategi är att identifiera och neutralisera potentiella hot innan de orsakar skada i form av dataförlust eller liknande. Till skillnad från traditionella säkerhetsåtgärder som brandväggar och intrångdetekteringssystem som förlitar sig på reaktivt försvar, söker man med threat hunting aktivt efter anomalier och ovanlig aktivitet som kan indikera att det finns oinbjudna gäster i nätverket.
Hur kan ”onormal aktivitet” i ett nätverk yttra sig?
– Onormal aktivitet kan se ut på många olika sätt beroende på hur nätverket är uppbyggt.
Generellt sätt ska man hålla utkik efter:
– Ovanligt mycket trafik till eller från ovanliga ställen, eller trafiktoppar på ovanliga tider
– Försök att få åtkomst till begränsad eller känslig information, eller utforskande av sårbarheter i nätverkssystemen
– Inloggning från ovanliga ställen, eller vid ovanliga tidpunkter
– Modifiering av systemkonfigurationer, mjukvaruinstallationer eller datafiler
– Förekomst av oväntade eller okända filer, processer eller tjänster som körs i systemen
– Avbrott, slowdowns eller andra driftstörningar som indikerar förekomst av malware eller olovlig aktivitet
Hur skyddar man sig bäst mot ransomwareattacker?
– Det kan vara en stor utmaning att försvara sig mot attacker, men det finns sätt att minimera risken för att drabbas:
- Gör regelbundna backuper: Gör backup på viktiga data och lagra den säkert utanför nätverket
- Håll mjukvaran uppdaterad: All mjukvara bör vara uppdaterad - det gäller operativsystem, applikationer och säkerhetsverktyg
- Håll koll på mailsäkerheten: Implementera filter som blockerar misstänkta bilagor och länkar
- Var noga med nätverkssegmentering: Segmentera nätverket för att begränsa spridning av skadlig kod vid en eventuell attack
- Fokus på användarmedvetenhet: Utbilda användarna i faran med utpressningsprogram och hur viktigt det är att känna igen misstänkta mail och länkar
- Skaffa Anti-malware-lösningar: Använd lösningar som övervakar nätverken i realtid och utför regelbundna uppdateringar för att upptäcka och förebygga nya ransomware-hot
- Ha en Incident response-plan: Förbered en plan, testa den regelbundet och se till att verksamheten är förberedd för att svara snabbt om en attack skulle ske
Utför regelbundna tester! Det borde vara lika självklart som brandövningar. Testa verksamhetens säkerhetsåtgärder och incident response-processer regelbundet och se till att de effektivt upptäcker och svarar på ransomwareattacker. Hur hanterar man situationen om man blir utelåst från vissa system, om mailen inte fungerar etc.
Slutligen - varför ska man aldrig betala lösensumma?
– Det finns inga garantier för att man får dekrypteringsnycklarna om man betalar. Det är inte heller givet att man kommer att klara sig ifrån att bli utsatt på nytt. Dessutom uppmuntrar betalning till framtida attacker, och finansierar illegal aktivitet.
Om Logpoint
Logpoint erbjuder en tillförlitlig och innovativ plattform för cybersäkerhet – som gör det möjligt för organisationer över hela världen att växa i en värld av hot i ständig utveckling. Genom att kombinera sofistikerad teknik och djup förståelse för kundernas utmaningar stärker Företagets säkerhetsteamens kapacitet samtidigt som de hjälper dem att bekämpa aktuella och framtida hot. De erbjuder, genom att kombinera olika typer av säkerhetsteknik som SIEM, UEBA och SOAR, en komplett plattform som effektivt upptäcker hot, minimerar falska positiva incidenter, automatiskt prioriterar risker, reagerar på incidenter och mycket mer.