Det er mange veier inn i et nettverk og det er et hav av mulige angrepsformer. Disse kan grovt kategorisere på to måter: målrettede og ikke målrettede angrep. Du kan også grovt dele angripere eller hackere i to kategorier: de profesjonelle hackerne som blir betalt for å utføre et rettet angrep og de «late» hackerne som ønsker å tjene lette penger. Her kan du lære mer om de to kategoriene av angrep og hvem som potensielt kan utfører dem.
Målrettet angrep
Denne typen angrep krever mye planlegging og kjennskap til målet, og utføres ved at et spesifikt mål blir utsatt for et designet angrep for å oppnå et konkret resultat. Slike angrep er regnet som en mer alvorlig trussel, da angriperen er villig til å legge en formidabel innsats i å oppnå ønsket resultat. Angrepet blir da mer fokusert, komplisert og unikt. Det er vanskelig å oppdage et slikt angrep, som benytter seg av en blanding av kjente og ukjente sårbarheter. I tillegg kan angriperen også benytte seg av svakheter hos ansatte og personer som er i relasjon til disse, for å samle informasjon som benyttes til å utforme angrepet. Slike angrep kan bli utført av en profesjonell hacker og er svært vanskelig å oppdage.
Ikke målrettet angrep
Denne typen angrep er mindre sofistikerte og målgruppen er egentlig helt tilfeldig. Det eneste som er felles for målene, er at de er åpne for den eller de sårbarhetene som utnyttes. Angriperen automatiserer prosessen og angriper store samlinger av mål samtidig. De vanligste angrepene kan benytte seg av epost-lister eller store volum av ip-adresser. Angriperen behøver nødvendigvis ikke å ha spesielt dyp kompetanse, og kan for eksempel kjøpe et slikt angrep på nett «al-a-carte» eller benytte seg av programmer som er utviklet av andre. Slike angrep blir typisk utført av den «late» hackeren eller en «script-kiddie», de lager ofte mye støy i logger noe som gjør de enklere å oppdage.
Hvordan beskytte seg mot cyberangrep?
Det største volumet av cyberangrep er ikke målrettede angrep:
- For å hindre at dine brukere og systemer blir rammet må applikasjoner og systemer patches regelmessig.
- Brukere av systemene dine må få opplæring slik at de lettere kan identifisere falske henvendelser, konstruerte for å få dem til å for eksempel klikke på en link eller åpne og kjøre en fil.
- I tillegg må sikkerhetsavdelingen ha tilgang på de rette verktøyene, og sikkerhetskomponenter som selv kan identifisere og nøytralisere angrep rettet mot systemets brukere. Slike verktøy kan for eksempel være en avansert epost gateway, en Next Generation FireWall (NGFW) eller endepunktsagenter.
Den store fordelen ved å benytte ulike sikkerhetsverktøy fra samme leverandør er korrelering av telemetridata. Dersom et uønsket element oppdages vil du kunne lage forsvarsregler på tvers av sikkerhetsarkitekturen. Ta et eksempel hvor endepunktagenten oppdager unormal programoppførsel. Agenten sender hashsignaturen til brannmuren, slik at lignende filer stanses allerede ved perimeteret.
I tillegg til den normale sikkerhetsinfrastrukturen, kan du benytte deg av eksterne profesjonelle sikkerhetsaktører som kontinuerlig kan overvåke systemene dine. Conscias Security Opertaions Center kan overvåke dine systemer, og agere og varsle dersom en trussel eller et angrep mot ditt selskap blir identifisert.
Vil du vite mer?
Jon-Anders Frigård er Senior IT Architect og sikkerhetsekspert hos Conscia Norge.