Ingen universallösning: Svenska företag attackerade

Hur IT-chefer beväpnar sig med avancerad säkerhet för att bekämpa onlinehot

Inledning

Statsminister Stefan Löfven nämnde nyligen cyberattacker som ett av de åtta största hoten mot vårt land. Precis som hos våra europeiska grannar utsätts företag inom offentlig och privat sektor i allt högre grad för onlineattacker, både till följd av sin egen digitala utveckling och därför att cyberbrottsligheten har blivit allt mer professionell.

Den växande förekomsten av uppkopplade system, mobil- och molnlösningar och IoT-system på svenska företag har gjort dem mer lyhörda och effektiva än någonsin. Men tillväxten har sitt pris och organisationerna står inför allt mer beslutsamma fiender – från statligt sanktionerade spioner till cybergäng som främst är ute efter pengar.

Kommande EU-lagar kring sekretess tvingar organisationerna att förbättra sin datasäkerhet. Men hur är det med attacker som inte inbegriper stöld av kunddata? Ransomware kan frysa företagets system på ett ögonblick, och stöld av IP-information från konkurrenter och spioner kan göra precis lika stor skada.

Frågan är: Vad kan landets IT-chefer och företagsledare göra åt saken?

Kunskap är makt i cybervärlden. Därför bestämde sig Trend Micro för att försöka bringa klarhet i de utmaningar som svenska företag står inför. Vi frågade seniora ledare i IT-branschens framkant vad de ser som de största problemen under 2017. Vi bad dem dessutom berätta om sin syn på avancerade säkerhetsverktyg. Kan de underlätta kampen mot onlinehot? Och i så fall hur?

Genom att förse företagen med svar på dessa och andra frågor hoppas vi att de har större möjligheter att avvärja hoten de ställs inför.

Tillvägagångssätt: Trend Micro gav i uppdrag åt Opinium att genomföra intervjuer med 100 IT-beslutsfattare i hela Sverige. Deltagarna representerade företag med 1–49 upp till 500+ anställda i en mängd olika branscher inom både offentlig och privat sektor.

Sverige under attack

På ytan ser svenska företag ut att klara hoten från cyberrymden ganska bra. 62 % svarade att de inte utsattes för några större attacker under förra året. Bara en fjärdedel (26 %) svarade ja på frågan. Som jämförelse svarade 65 % av de tillfrågade företagen i USA respektive 45 % i Storbritannien att de hade utsatts för attacker under samma period. Är det så att svenska företag är bland de bästa i Europa på att avstyra attacker?

Möjligen. Men resultatet kan också indikera deltagarnas insyn i sina egna IT-system. Många av dagens attacker är konstruerade för att ske i bakgrunden, och kan helt enkelt ha hamnat under radarn på traditionella identifieringsmetoder. Svenska företag utgör trots allt, precis som sina europeiska grannar, ett lockande mål för hackare.

Av alla företag som upptäckte cyberattacker på sina system utsattes fler än hälften (58 %) för ransomware. Detta är ett fortsatt allvarligt hot mot organisationer och kräver stora säkerhetsinvesteringar på gateway-, klient-, nätverks- och servernivå, kombinerat med en samordnad strategi för säkerhetskopiering som bidrar till att minska skadorna.

Nätfiske var det näst vanligaste hotet (29 %) följt av kompromettering av företagsmejl (BEC) (14 %) och konto-/identitetskapning (10 %).

De största hoten 2017

Ransomware (39 %) fortsätter att vara ett stort problem under 2017 enligt svenska IT-chefer. Detta skiljer sig betydligt från deltagarna i de flesta andra länder som ingick i Trend Micros undersökning och som se ut att börja få kontroll över detta hot. Resultatet kan tyda på att svenska företag fortfarande ligger en bit efter sina utländska motsvarigheter.

Kompromettering av företagsmejl (BEC, Business Email Compromise) – även kallat vd-bedrägerier eller ”whaling” – hamnade på andra plats och angavs som det största hotet bland 11 % av deltagarna. Sådana attacker kan vara svårare att upptäcka eftersom de vanligtvis inte inbegriper sabotageprogram, bara en falsk ”från”-domän som ser ut att komma från mottagarens vd och som därför klarar sig förbi traditionella filter.

Cyberspionage (10 %) hamnade på tredje plats. Detta ämne har varit mycket omtalat i medierna, främst när det gäller stöld av statsinformation som kan inverka på nationella val. Detta kan ha påverkat svenska IT-chefer, även om risken för att företagshemligheter ska hamna i fel händer har funnits i många år. Det är dock ett legitimt problem med tanke på hur enkelt hackare kan ta sig in i företagsnätverk.

Faktum är att vi förutsåg en ökning av cyberspionage redan i vår rapport The Next Tier. Där beskrev vi det växande hotet från cyberpropaganda som företag ställs inför – en ny typ av hot som kan handla om att stater publicerar känslig information som de har tillskansat sig i geopolitiska syften. Vi varnade också för en ökning av antalet BEC-attacker när cyberbrottslingar försöker göra större förtjänst på sina aktiviteter. Det relativt enkla och billiga förfarandet att formulera ett trovärdigt e-postmeddelande för att locka mottagare att överföra stora summor av företagets kapital kommer att bli mycket vanligt under 2017. Det uppskattade totala värdet på förlusterna uppgår redan till mer än tre miljarder dollar bara de senaste två åren.

Svenska IT-chefer anser att de hindras i sitt arbete med att skydda företagens system på grund av bristande kunskap om de senaste cyberhoten (38 %) samt cyberbrottslingarnas oförutsägbarhet (37 %). Hotlandskapet förändras mycket snabbt. Men det är lätt att hitta tips och råd och bästa praxis, och den rätta kombinationen av medarbetare, processer och teknik behöver inte nödvändigtvis tömma kassan.

Angreppsytan växer

Var ser svenska IT-chefer de största svagheterna i sina organisationer? Webbsurfande medarbetare (25 %), otillräckligt skyddade nätverk (16 %) och intrång i e-post (12 %) var de vanligaste svaren. Lyckligtvis kan IT-teamen minska riskerna inom alla dessa tre områden genom sådant som webbfiltrering, brandväggar och gateway-säkerhet i samband med e-post.

Då är otillräcklig enhetssäkerhet (11 %) en större utmaning. På många sätt är detta ett mer långsiktigt hot, och en följd av att arbete via mobila enheter har blivit allt mer populärt på svenska företag. Detta gör de anställda mer nöjda och produktiva men utsätter samtidigt företagen för större cyberrisker. Faktum är att närmare två tredjedelar (64 %) av de tillfrågade IT-cheferna menade att mobiltelefoner, surfplattor, IoT-enheter och bärbara datorer kommer att utsättas för hot i framtiden.

Vilka lösningar ser de? Svenska IT-chefer bedömer att utbildning av medarbetarna (40 %) är den klart viktigaste åtgärden som företagen kan vidta för att minska riskerna, följt av att de anställda får en på förhand godkänd lista med enheter att välja bland (25 %). Ungefär lika många (24 %) tycker att man bör förbjuda privata enheter helt och hållet. Men detta vore ett steg bakåt och skulle minska produktiviteten drastiskt för medarbetarna. Med rätt strategi är det fullt möjligt att främja företagets tillväxt och att göra det på ett mer kontrollerat och säkert sätt.

Vikten av avancerad säkerhet

Svenska IT-chefer är mindre säkra än sina europeiska kolleger på att de förstår de utmaningar inom cybersäkerhet som deras företag står inför (56 %). Detta är antingen ett tecken på relativ omognad på marknaden eller på att deltagarna underskattar sig själva. Något som tyder på den första teorin är att 41 % angav att de inte vet vad begreppet ”nästa generations säkerhet” betyder. Två tredjedelar (64 %) ser inte heller falskt positiva resultat i säkerhetsverktyg som något problem – trots att detta kan innebära allvarliga störningar i verksamheten.

På plussidan kan nämnas att närmare hälften (46 %) av deltagarna ansåg att avancerade säkerhetsverktyg och tekniker som maskininlärning och beteendeanalys är effektiva metoder för att avvärja cyberhot. Samtidigt är användningsgraden lägre än i de flesta andra europeiska länder och USA. Mindre än en tredjedel (29 %) använder sådana verktyg i dag och bara 20 % planerar att göra det under de närmaste 12 till 18 månaderna. Kanske återstår det fortfarande en del att göra när det gäller att utbilda marknaden i hur avancerad säkerhet kan integreras i befintliga system.

[Box Out: Vad är avancerad säkerhet?

Innehållsfiltrering och skydd mot sabotageprogram är en sak. Men avancerad säkerhet går djupare än så och handlar om att identifiera okända smygande hot som riktade attacker, nolldagsattacker, intrång i företagsmejl och ransomware. Nolldagsfilter blockerar tidigare okända hot, anpassad sandlådeanalys utlöser kod i en säker miljö för att se hur den beter sig, beteendeanalys identifierar ovanlig programaktivitet och maskininlärning undersöker statiska filegenskaper före körning och ytterligare attribut under körningen för att fastställa om filen är skadlig eller inte.]

Svenska IT-chefer kanske inte implementerar avancerade säkerhetsverktyg i samma omfattning som sina europeiska och amerikanska motsvarigheter, men däremot är de säkra på fördelarna med dessa tekniker i framtiden. Mer än hälften av deltagarna (58 %) svarade att avancerad säkerhet kommer att ersätta behovet av mänskliga experter för att filtrera bort hot. De förutsäger att sådana verktyg kommer att ersätta säkerhetsanalytiker (32 %) och nätverkssäkerhetstekniker (22 %) i framtiden.

Skydd i flera lager

Även om bara 32 % uppgav att de föredrar ett system där angriparna stoppas på flera plan, väljer majoriteten av deltagarna integrerade lösningar från en och samma leverantör (44 %) framför metoder där man plockar russinen ur kakan från olika leverantörer. Detta visar att svenska IT-chefer gärna använder flera olika skyddstekniker, förutsatt att de kan integreras på ett enkelt sätt och från en enda leverantör.

Den stora majoriteten (60 %) svarade att de föredrar en ”stabil” partner som förstår deras organisation framför nya aktörer på marknaden som lovar mer än de kan hålla. Detta verkar tyda på att svenska IT-beslutsfattare värdesätter erfarenhet och gott rykte när de väljer cybersäkerhetsprodukter.

Slutsats

Svenska företag kommer att attackeras från alla håll under 2017. Vissa tecken tyder dock på att alla inte har tillgång till de verktyg och den kunskap som krävs för att förstå attackernas omfattning. Däremot är företagen medvetna om att avancerad säkerhet är en effektiv lösning i framtiden.

Svenska företag önskar sig dessutom en enda integrerad lösning som tillgodoser alla deras behov av cybersäkerhet. Detta är det smarta valet för IT-chefer som inser att hanteringen av flera konkurrerande produkter kan vara en administrativ mardröm som lämnar dörren öppen för cyberbrottslingar. Genom att kombinera flera lager av skydd på en och samma plattform från en betrodd och stabil partner har svenska organisationer den bästa chansen att skydda sin information och verksamhet långt efter 2017.

Kort sagt finns det, till skillnad från vad vissa leverantörer påstår, ingen universallösning för att bekämpa de otroligt omfattande och varierande hoten som finns i dag. För maximalt skydd och minimal inverkan på produktiviteten krävs ett integrerat tillvägagångssätt i flera lager för att skydda klienter, nätverk, webb, e-post, fysiska servrar och hybridmolnservrar.

Rekommendationer

Sådana lager ska inbegripa:

Signaturbaserad identifiering: kan i kombination med fil- och webbplatsrykte samt C&C-blockering avvärja de flesta kända hot. Detta är en oerhört processorsnål lösning.

Programbeteendeanalys: undersöker program när de packas upp och söker efter misstänkt eller ovanligt beteende i programmets interaktion med operativsystemet, andra program och skript, även om programmet inte är svartlistat. Bidrar till att blockera krypto-ransomware. Inbegriper också tekniker som skriptskydd, injektionsskydd, minnesgranskning, övervakning av misstänkt aktivitet samt skydd mot webbläsarintrång.

Förebyggande av attacker: förhindrar utnyttjande av säkerhetsluckor i program och operativsystem.Inbegriper värdbaserade brandväggar, skydd mot attacker, förebyggande av intrång och identifiering av lateral aktivitet.

Kontroll/vitlistning av program: är mycket effektivt när det gäller att blockerainstallation och körning av körbara filer som inte är godkända program eller dynamiska länkbibliotek (DLL).

Utredning och forensik/(EDR, Endpoint detection and response): registrerar och rapporterar aktivitet på systemnivå för att utvärdera attackens karaktär och omfattning.

Maskininlärning: kan användas för att extrahera och analysera filegenskaper både före och under körning. Detta förbättrar noggrannheten och kan – i kombination med ”bruselimineringstekniker” som uppräkning (filförekomst) och kontroll av vitlistor (kända säkra program) – minska antalet falskt positiva resultat.

Sandlådetekniker: Ovanstående metoder kan kombineras med sandlådefunktioner som gör det möjligt att köra potentiellt skadliga filer på en säker virtuell maskin för att fastställa exakt hur de skulle bete sig på en klientdator. Inte nog med att filerna kan blockeras. Dessutom kan ytterligare attribut som File Has-, IP-, URL- och domäninformation som används vid C&C-återanrop och nedladdning av skadliga kontakter extraheras och delas med andra användare i princip i realtid.