Skip to main content

Det er ikke afpresnings-angrebene, der er ude af kontrol - det er sikkerhedsteamene

Kombinationslås
(Foto: Future)

Baseret på de seneste nyhedsoverskrifter kunne man tro, at der har været en stor stigning i antallet af afpresningsangreb. Selv om der kan være en vis sandhed i det, især hvad angår antallet af vellykkede angreb, indikerer det frem for alt, at verdens mange IT-sikkerhedsteams har været slappe med at få løst mangler i deres infrastruktur. 

Det er i det mindste Optiv Securitys opfattelse. De hævder, at størstedelen af
alle virksomheder, der giver efter for angribere, er ofre for deres egne fiaskoer. Virksomheden hævder, at de fleste virksomheder, der ender i en "betal eller dø" -situation, gør det på grund af en alvorlig mangel på cybersikkerhed, der gør dem sårbare over for afpresningsangreb. 

James Turgal, tidligere assisterende direktør for FBI's informations- og teknologiafdeling, nu leder af cyber-risici i blandt andet Optiv, har personligt hjulpet mange virksomheder med at reagere på - og komme sig efter - afpresningsangreb. Vi talte med ham for at forstå den udvikling, der finder sted inden for afpresningssoftware, og hvilke foranstaltninger virksomheder skal tage for at beskytte sig selv.

Hvad er de mest almindelige fejl, du har begået, og som kan beskytte virksomheder mod afpresningsangreb?

Alle aktiviteter er forskellige. Visse ældre og mere etablerede organisationer har netværk og infrastruktur, der har udviklet sig gennem årene, uden at sikkerheden er en prioritet. Nogle er hoppet på ny teknologi uden korrekt konfiguration og har undladt at udfase ældre teknologi undervejs. 

Selv opstartsvirksomheder, der har startet deres liv i skyen, kan stadig have lokale servere eller anden infrastruktur, der har brug for konstant pleje og udvikling. 

Nogle af de mest almindelige fejl, jeg ser, virksomheder laver, er: 

1) Ingen strategi til styring af opdateringer eller strategier, der bekymrer sig mere om midlertidigt utilgængelige netværk i stedet for korrekt og sikker informationsstyring. 

2. Ingen forståelse af, hvad der er normal trafik inden for netværket eller brug af software, der overlapper eller er dårligt konfigureret. Netværksarkitektur er nøglen til, at virksomhedens it-beskyttelse er eller ikke er. 

3. Stoler for meget på sikkerhedskopier med en tro på, at en sikkerhedskopi er tilstrækkelig beskyttelse. Sikkerhedskopier, der ikke er adskilt fra netværket og uden regelmæssige privatlivskontroller, er en dårlig beskyttelse mod afpresningsangreb.

Vi hører ofte om virksomheder, der får deres sikkerhedskopier krypteret af ransomware, fordi de er inden for det samme netværk som de originale data. Har du flere eksempler på alvorlige fejl, du har begået?

Jeg har arbejdet med en række undersøgelser i min FBI-karriere, hvor virksomheder har været så fokuserede på at skubbe den næste digitale udviklingside frem, at de fuldstændigt undlod i første omgang at tage sig af deres nuværende infrastruktur. 

Et eksempel, jeg har set mange gange, er virksomheder, der er så fokuserede på at flytte til skybaserede tjenester, at de fuldstændigt har forsømt eksisterende servere og anden infrastruktur, hardware, der stadig er i brug og forbundet uden de nødvendige sikkerhedsopdateringer. 

Alt, hvad der kræves, er en åben port eller en ubesvaret sikkerhedsopdatering for angribere til at drage fordel af situationen. 

Glemt hardware og software er en enorm risikofaktor, og præcis hvad mange angribere leder efter, når de kontrollerer dit netværk.

Optiv arbejder med hundreder af store organisationer for at udvikle deres strategi mod afpresningsangreb. Er der nogle fælles punkter, som du kan anbefale alle virksomheder at fokusere på?

Absolut, nøglen er forberedelse, og det lønner sig at gøre sig umådeligt umage at undgå at blive offer for afpresningssoftware. 

Nogle af de bedste strategier for at undgå at blive offer er inden for følgende områder: 

1. Kend dit netværk og din infrastruktur godt nok, eller hvis du bruger tredjeparts tjenester til dette, skal du sikre dig, at du kan få den hurtigst mulige oversigt over potentielle skader. Det er ekstremt vigtigt hurtigt at få en forståelse af omfanget, have evnen til at foretage en analyse af årsagen, genvinde kontrollen og afgøre, om der er stjålet data. 

2. Viden om, hvor dine data er placeret, helst de data, du anser for at være vigtigst. Hvis det er tilstrækkeligt segmenteret, og du har tilstrækkelig gode, verificerede funktionelle sikkerhedskopier, er det straks meget lettere at afværge et afpresningsangreb. 

3. Sørg for, at du har en robust og udførlig manual til håndtering af digitale hændelser, herunder afpresningsangreb. Sørg for at øve, øve, øve på alle niveauer i organisationen, helt op til bestyrelsesniveauer. 

4. Sørg for, at du har evnen til hurtigt at tilkalde tredjeparts-ekspertise, når det er nødvendigt, hvad enten det er eksterne konsulenter, tekniske efterforskere eller PR- og kommunikationseksperter.

Ud over at styrke sin tekniske del, skal virksomheder også investere i videreuddannelse af deres personale, da størstedelen af ​​alle afpresningsangreb er muliggjort af menneskelig adfærd?

Jeg har altid sagt, at cybersikkerhed handler mere om menneskerne bag tastaturet snarere end egentlig teknologi. 

Efterhånden som teknologien udvikler sig, især inden for kunstig intelligens, maskinindlæring og overgangen til skybaserede tjenester, skal det også være viden. Uanset størrelse skal alle virksomheder, der konkurrerer om innovationstempoet, også konkurrere om kvalificeret personale om det. 

Jeg vil gerne understrege vigtigheden af "kvalificeret" her, især i betragtning af at der ikke kun er mangel på mennesker, der kan udføre jobbet, men der er også voksende forskelle i vidensniveau inden for gruppen, der er kvalificerede nok til at forstå kompleksiteten af moderne netværk. 

Store huller i vidensniveauer kan hindre virksomheder i deres udvikling, men endnu mere alvorlige kan være konsekvenserne, hvis du har en it-manager eller it-sikkerhedschef, der er dårligt udstyret og veluddannet, men stadig hævder overordnede, at virksomheden og dens it systemer er sikre.

Du har været involveret i at forhandle med angribere bag afpresningsangreb i en længere periode. Hvordan har interaktionerne mellem parterne udviklet sig gennem årene? Kender du nogen særlige grupperinger, der deltager i dobbelt afpresning ved at true med at videregive følsomme data til konkurrerende virksomheder?

En ting, som jeg tror, mange organisationer tager fejl af, er at disse kriminelle grupper er individuelle og isolerede, at de konkurrerer mod hinanden. 

Tværtimod deles data såvel som data om potentielle ofre lejlighedsvis mellem forskellige grupper. Når data først er blevet stjålet fra et firma og derefter offentliggjort eller solgt via fora på det mørke web, er det meget almindeligt for andre grupper eller enkeltpersoner at bruge dataene eller replikere indbruddet for at få adgang til yderligere data fra både det oprindelige offer og andre.

Med fremkomsten af afpresningssoftware som en tjeneste og rene handelssteder for ondsindet software på det mørke web, såsom Silk Road og AlphaBay, er dobbelt afpresning en meget reel trussel, en trussel, der ikke kun kommer fra en individuel gruppe, men nogle gange også grupper arbejder sammen om at levere både ondsindet software og bot-net til at distribuere det.

Apropos dobbelt afpresning, hvordan håndterer du det bedst? For selvom en virksomhed kan gendanne sine data fra sikkerhedskopier og genvinde kontrollen med sine netværk, hvordan kan du bedst sikre, at cyberkriminelle ikke afslører de stjålne data?

Truslen om dobbelt afpresning er reel, men med afpresningsangreb har der altid været en trussel om, at de kriminelle grupper lækker de oplysninger, de har stjålet, så det er ikke en direkte ny trussel. 

Noget, der hører fortiden til, er muligheden for, at ofrene for afpresningsangreb enten betaler eller gendanner deres data, men uden at fortælle om det hele. Forpligtelsen til at rapportere, hvad der er sket, betyder større gennemsigtighed for alle omkring.

Hvordan ser du det franske forsikringsselskab AXAs meddelelse om, at de ikke længere vil godtgøre betalinger for afpresningsangreb? Tror du dette er en effektiv strategi til at modvirke disse typer angreb?

Jeg er overbevist om, at AXAs beslutning dels var baseret på deres syn på de udfordringer, der findes på markedet for cyberforsikring, og dels på pres fra lovgivning og retsvæsen. 

Der er tilfælde, som jeg har arbejdet med, hvor cyberkriminelle bevidst har søgt på et offers infrastruktur for at finde information om, hvorvidt offeret har været forsikret mod afpresningsangreb og anden cyberkriminalitet. Nogle grupper har endda brugt disse oplysninger i deres afpresningsangreb for at informere offeret om, at de lige så godt kan betale, da de er forsikrede mod det. 

Et argument for dette er, at forsikring mod afpresningsangreb tilskynder angribere, så begrænsning af betalinger kan reducere den økonomiske gevinst og dermed reducere værdien af et angreb. 

Jeg mener dog for min del, at tendensen og et mere sandsynligt svar vil være at reducere betalinger og frem for alt kræve, at forsikringstageren hæver deres digitale modenheds-niveau, udfører bedre og hyppigere risikovurderinger og tilpasser sig bedre baseret på niveauet af trussel. 

Efter min mening ville dette være en bedre måde at bekæmpe afpresning end blot at stoppe betalinger.