Var affären stängd igår?

Konsultbloggen, 2021-07-06

Det har nog inte undgått någon att antalet IT-attacker ökar och drabbar allt fler företag närmare dig än tidigare. I helgen var det COOP som fick rubriker och förra veckan var det Bauhaus.

Det här är en negativ trend som växt sig starkare och starkare sedan starten för fem-sex år sedan. Det handlar om kriminalitet i syfte att tjäna pengar. Tidigare har avancerade angrepp syftat till att skada specifika individer, företag, organisationer och nationer. Det vill säga att själva skadan har varit målet. Dessa typer av angrepp sker ju såklart fortfarande men kompletteras numera med attacker iscensatta av organiserad brottslighet i syfte att tjäna pengar.

I huvudsak två attackvektorer används i den nya typen av brottslighet. Antingen berövas du tillgänglighet till ditt system genom att angriparen nyttjar en lämplig sårbarhet för att få fotfäste i systemet, starkt nog för att kunna exekvera kod som krypterar systemet, varvid du får ett erbjudande om att köpa krypteringsnyckeln för x bitcoin – en s.k. Ransomewareattack. Det andra allternativet som blir allt vanligare och som bl.a. drabbade Gunnebo är en s.k. leakwareattack. Syftet är det samma men istället för att otillgängliggöra systemet så stjäls känslig information som kommer att publiceras om du inte betalar lösen i form av x bitcoin. I båda fallen så är det relativt vanligt att betalning sker och att du faktiskt erhåller möjlighet att återta ditt system, detta är självklart ingenting det talas brett om.

I fallet med COOP i helgen så är det ännu läskigare då sårbarheten som nyttjas ligger i en stödprogramvara som nyttjas av ett flertal olika system för transaktioner som var och en i sin tur har ett stort antal slutanvändare där alltså COOP var en (Kaseya VSA som används i Visma Esscom som används av COOP).

Vad kan vi göra åt saken och hur skyddar vi oss?

Svaret är egentligen allt och inget, d.v.s. det finns alltid en möjlighet att grupper som REvil eller Sodinokibi (grupperingen bakom COOP-attacken) ,som de också benämns, förr eller senare nyttjar en sårbarhet som det ännu inte finns kännedom om. Det innebär att det bästa skyddet bygger vi utifrån konsekvensprevention snarare än sannolikhetsprevention. Att säkerställa en god och VALIDERAD återstartsförmåga och att separera sina nätverk, så alla ägg inte ligger i samma korg, är de två avgjort största och viktigaste tekniska åtgärderna. Att ha en kontinuerlig nätövervakning och därtill kopplad patchantering är två andra viktiga parametrar att kravställa på. Att med jämna mellanrum genomföra teknisk audit i syfte att säkerställa att bilden av systemet fortfarande stämmer överens med verkligheten är ytterligare en åtgärd med hög verkningsgrad. Inget av detta är dock meningsfullt innan vi har säkerställt en hög säkerhetsmedvetenhet bland våra IT-användare genom god och relevant utbildning. Det lägger grunden för den säkerhetskultur som faktiskt gör skillnad på riktigt.

Vid pennan/ Lennart Engvall, VD på CAG Engvall Security

Författare

Lennart Engvall

Senior konsult

CAG Engvall Security

+46 (0)70 301 42 52

Om CAG Engvall Security

Bolag: CAG Engvall Security

Grundat: 2017, del av CAG sedan 2017

Branscher: Försvar, Myndigheter, Handel & Tjänster, Bank & Finans, Industri, Hälsa & Vård

Specialistområden: IT- och informationssäkerhet

Passion för utveckling: ”Att hela tiden ligga steget före och utveckla säkra och trygga lösningar för våra kunder.”

Adress: Kungsgatan 37, 111 56 Stockholm

Kontakta oss om du vill veta mer

Annika Rogneby

Sälj- och Marknadschef

CAG Group

Fredrik Börjesson

VD

CAG Security

+46 (0)76 181 12 04