Åtta varningssignaler varje CIO bör känna till - ny rapport

26 november 2014 — McAfee, en del av Intel^® Security, har släppt rapporten When Minutes Count, som detaljerat går igenom de viktigaste varningssignalerna som kan tyda på att ett system är utsatt för angrepp eller intrång.

Rapportens slutsatser sammanfattas i en checklista som består av åtta kritiska indikatorer på misstänkt aktivitet i en organisations nätverk – en checklista som de företag som framgångsrikt skyddar sina data följer.

• 1. En nätverksenhet – exempelvis en dator eller smartphone - kommunicerar med kända misstänkta platser, eller med ett land där företaget inte har verksamhet eller kunder.
• 2. En nätverksenhet kommunicerar med externa enheter genom udda portar, eller där portar och protokoll inte matchar; till exempel genom att sända SSH-trafik över port 80 snarare än HTTP-trafik.
• 3. Publika eller oskyddade (DMZ) enheter som kommunicerar med interna enheter. Detta möjliggör att förbigå säkerhetsarrangemang, föra över data och få tillgång till andra resurser på nätverket.
• 4. Malware vid udda klockslag. Sådana varningar som inträffar nattetid eller på helger kan innebära att nätverksenheten drabbats av intrång.
• 5. Nätverksscanning av interna enheter som kommunicerar med många enheter på kort tid kan vara en indikation på en obehörig som förflyttar sig mellan enheter i nätverket.
• 6. Flera larm från en och samma enhet, eller liknande larm från olika enheter inom 24 timmar, exempelvis upprepade misslyckade inloggningar och autentiseringar.
• 7. När ett system efter att ha rensats från malware åter är infekterat inom några minuter kan detta tyda på att systemet drabbats av rootkits eller andra typer av härdade attacker.
• 8. Ett användarkonto som försöker logga in på flera resurser inom några minuter från olika geografiska platser är ett tecken på att användarens inloggningsinformation är stulen – eller att en användare håller på med något skumt.

“Vi upptäckte en dator som gjorde underliga autentiseringsförsök till domänen klockan två på morgonen. Det skulle kunna vara ofarligt, men också ett tecken på angrepp. Efter den incidenten har vi satt upp ett regelverk som automatiskt slår larm om någon arbetsstation gör än fem autentiseringsförsök utanför kontorstid, för att hjälpa oss identifiera en attack snabbt”, säger Lance Wright, IT-säkerhetsansvarig vid Volusion, ett av de företag som bidragit till rapporten.

Rapporten, som bygger på en undersökning genomförd av Evalueserve på uppdrag av Intel Security, utvärderar företags förmåga att spåra och hantera riktade IT-attacker och presenterar både exempel på vanliga svagheter och på best practices.

Andra fakta från undersökningen:

• 74% av dem som svarat betraktar riktade IT-attacker som ett stort hot för deras organisation.
• 58% av de undersökta företagen utredde 10 eller fler attacker det senaste året.
• 76% av företagen känner sig osäkra på sin förmåga att upptäcka en attack inom en timme, och nästan hälften räknade med att det skulle ta dagar, veckor – eller månader – innan de upptäckte misstänkt aktivitet.

“Varje minut som går innan en attack upptäcks är kritisk – ett intrång kan förorsaka skador både ekonomiskt och för varumärket som tar år att reparera, om det överhuvudtaget är möjligt. Samtidigt är en viktig faktor att snabbt kunna filtrera och prioritera olika typer av varningar och indikatorer. Det krävs kunskaper om de vanligaste hotbilderna för att snabbt kunna agera, och för att säkra nätverket innan attacker äger rum. Det krävs även kraftfulla verktyg för att sortera och analysera hoten i realtid, för att agera på alla larm, även falska, är inte mycket mer effektivt än att inte agera alls.”, säger James Tucker, expert på nätverkssäkerhet vid Intel Security i Sverige.

Den kompletta rapporten kan hittas på www.mcafee.com/SIEM