Självspridande malware kan sänka hela internet

Cisco 2018 Annual Cybersecurity Report Malware hotI en kamp har anfallaren initiativet. Kan försvararen trots det förutspå framtiden? Cisco menar det, när man idag offentliggör sin årliga säkerhetsrapport. Cisco 2018 Annual Cybersecurity Report studerar vad anfallare gjort under de senaste 18 månaderna, och nya trender märks inom malware, moln, med mera. Vi säkerhetsentusiaster på Ciscos Gold Partner Conscia Netsafe har lagt en snabb sammanfattning av rapportens 68-sidor för er här:

Malware utvecklas som aldrig förr

Nätverksbaserade ransomware cryptoworms gör att ransomware-attacker kan startas utan mänsklig inblandning. Självspridande malware är farliga nog för att sänka hela internet, enligt Ciscos experter.

Hackare utnyttjar legitima molntjänster allt mera

Anfallare arbetar hårt på att komma runt Sandbox-skydd och att dra maximal nytta av kryptering. Man använder förstås också legitima kanaler som Google, Dropbox och GitHub för sin ledningstrafik (C2), vilket gör den nästan omöjlig att spåra.

Hackare återanvänder mer och mer av sin infrastruktur såsom mailadresser, autonoma systemnummer (ASN) och namnservrar. De sänder ut fler attacker från samma domän.

Henrik Bergquist, Cisco– Tidigare var det nästan uteslutande statliga aktörer och säkerhetstjänster som använde legitima molntjänster för att genomföra dataintrång. Idag finns de här ramverken tillgängliga för vem som helst att ladda hem och använda via Darknet, säger Henrik Bergqvist, Cybersecuritychef på Cisco AB.

– När det går att använda tjänster som Gmail och Dropbox för att orkestrera en attack ställer det helt nya krav på företagen att skydda sig. Tidigare var det ”enkelt” att upptäcka internettrafik till en misstänkt server och blockera den, när det nu sker via legitima molntjänster är det mycket svårare att identifiera vad som är skadlig trafik och inte, avslutar Bergqvist.

Hackare utnyttjar sakernas internet allt mera

Den snabbväxande mängden opatchade och ej övervakade IoT-enheter utgör växande svagheter. Organisationer med många IoT-enheter är också sena med att agera på hoten, enligt Cisco. IoT Botnet växer och blir mer automatiserade – och används för allt mer avancerade DDoS-attacker. Samtidigt har verksamheter svårt att skydda både IoT och molnmiljöer, ofta på grund av oklarheter kring ansvarsfördelning.

Vad ska man göra?

Cisco 2018 Security Capabilities Benchmark Study visar hur över 3600 respondenter i länder jobbar med säkerhet – och att de har gott om utmaningar idag.

  • Implementera first-line-of-defense verktyg som skalar (exempelvis molnbaserade)
  • Implementera policies och rutiner för applikationer, system och patchning
  • Segmentera sina nätverk
  • Implementera nästa generations klientsäkerhet (fritt översatt från endpoint process monitoring tools)
  • Skaffa bra hotintelligensdata i tid och processer för att använda det
  • Göra djupare och mer avancerade analyser
  • Se över och öva säkerhetsresponsrutiner
  • Backa up data oftar och testa återställningsprocedurer
  • Se över tredjeparters säkerhetsrutiner för att minska risken för attacker genom försörjningskedjan
  • Scanna microservices, molntjänster och applikationshanteringssystem
  • Se över säkerhetssystem och möjligheterna att använda SSL analytics och, om möjligt, SSL dekryptering.

Verksamheter bör också överväga att ta in säkerhetslösningar som inkluderar machine learning och AI. När malware gömmer sin kommunikation i krypterad webbtrafik, och farliga användare på insidan sänder känsliga data genom molntjänster behöver säkerhetsteamen effektivare verktyg.

Mikael-Gustafsson-CCIE-Conscia-Netsafe– I tillägg till ovan rekommendationer ser jag ett stort behov av att utbilda personalen i hoten, såväl med kurser som med falska bedragarmail. Det är också viktigt att satsa på att ha utbildad IT-säkerhetspersonal antingen internt eller gripbar hos en leverantör, kommenterar Mikael Gustafsson, senior nätverks- och säkerhetskonsult på Conscia Netsafe.

– Då IT-hoten blir mer avancerade så måste fler och fler kvalificerade bedömningar göras, allt från att riskbedöma IT-system till att rätt utbilda personalen till att finjustera säkerhetsprodukter med mera, avslutar Gustafsson.

Molnteknik är lösningen

När anfallare utnyttjar kryptering och legitima tjänster blir det svårare även att hitta redan identifierade hot. Ett problem är den enorma och snabbt växande mängden potentiellt skadlig trafik verksamheter måste hantera. Mängden malware ökade mer än tiofalt under de senaste 20 månaderna enligt Cisco, vilket påverkar hur snabbt enskilda malware kan hittas (Time to detection, TTD*).

Mediantiden för Cisco att upptäcka malware under perioden är 4,6 timmar, jämfört med 39 timmar 2015 och 14 timmar för 2015-2016. Molnbaserade säkerhetslösningar har varit avgörande för att låta Cisco begränsa detektionstiden då de tillåter skalning trots att både mängden totala event och även ändpunkter ökar. Lokalt installerade säkerhetslösningar skulle ha svårt att erbjuda samma flexibilitet.

Att designa en säkerhetslösning som kunde hantera mer än tio gånger den förväntade malwarevolymen över två år – med bibehållna responstider – skulle vara en mycket svår och kostsam utmaning för vilken organisation som helst, avslutar Cisco.

*Cisco definierar ”Time to detection”, TTD som tiden mellan ett intrång och att ett hot identifierats. Genom Ciscos opt-in säkerhetstelemetri från lösningar jorden runt går det att mäta tiden från att en elakartad fil laddas ned på en enhet tills tiden då den identifieras som ett hot. Median TTD är genomsnittet av de månatliga medianerna under perioden, här från januari 2016 till oktober 2017.

Kontakta oss!
Svar inom 24h