”Angripare väljer ut komplexa it-lösningar med dåliga nätverk”

krönika Sverige påverkas av minst 2,4 miljoner it-attacker per år – och under den senaste månaden har svenska företag, myndigheter och organisationer drabbats av ett stort antal allvarliga attacker. Men det går att vända den negativa utvecklingen, skriver Niclas Molander på Netscout i en krönika.

”Angripare väljer ut komplexa it-lösningar med dåliga nätverk”

It-attacker är i dag en del av den ökade säkerhetspolitiska spänningen i världen. Nyligen drabbades Sophiahemmet, vars databas nu är till försäljning på darknet, medan den största attacken som lamslog Tietoevry utfördes av hackergruppen Akira som man tror har uppstått ur en annan rysk hackargrupp som ställde sig på Rysslands sida i Ukrainakriget. Det här följer ett mönster som vi på Netscout också ser – allt fler hackergrupper drivs av politiska eller en blandning av politiska och ekonomiska motiv som gör att angriparna får resurser och stöd som bara en stat kan erbjuda, vilket därmed ökar angriparnas slagstyrka.

Attackerna är dessutom alltmer hybrida, det vill säga angriparna använder olika tekniker för att komma åt det man vill: Till exempel kan krypterade ddos-attacker eller attacker som ger sig på internets styrsystem (DNS-systemet) kombineras med försök till intrång via olika svagheter i mjukvaror.

En anledning till att angriparna lyckas komma åt stora it-leverantörer som Tietoevry är att it-miljöerna är tekniskt komplexa. Outsourcingföretag med många kunder samlade i samma it-infrastruktur skapar, förenklat, många angreppspunkter där infekterad kod snabbt kan spridas mellan samtliga kunder i outsourcingföretagets it-infrastruktur. Ett exempel är en nyligen genomförd it-attack mot ett datacenter som gick vägen via mjukvaran för kylsystemet. Eftersom kylsystemet använde datacentrets nätverk kunde intrånget ta sig den vägen till själva kärnan av it-infrastrukturen och sedan sprida sig vidare mellan kunderna i datacentret.

Dessutom är kundernas it-infrastruktur inte längre samlad i ett enda eget datacenter eller hos en outsourcingleverantör. Alltmer it-infrastruktur flyttas ut i så kallade edge-nätverk för att vara närmare de affärer och processer som tekniken stödjer. Eftersom den tekniken inte befinner sig i det egna datacentret eller hos outsourcingleverantören kommer edge-tekniken i stället att använda de nätverk som finns i närheten vilket minskar kontrollen och ökar risken för intrång. Till det måste även läggas det faktum att företag och organisationer i dag naturligtvis använder publika molntjänster där företagen helt måste lita på det säkerhetsarbete som molnleverantören erbjuder.

Så vad ska vi då göra för hantera angriparnas ökade förmågor och våra tekniska tillkortakommanden?

Till att börja med måste vi ha en nykter syn på it-attackerna. Det går inte att stoppa alla attacker. Vi behöver därför koncentrera oss på att upptäcka attackerna tidigt och kunna återstarta verksamheten så snabbt och smärtfritt som möjligt. Att ständigt analysera vad som händer i våra nätverk är ett sätt att både upptäcka attacker och att minska effekterna av dem.

Eftersom angriparna använder hybridattacker måste vi spela samma spel – hybridförsvar. Attacker som riktar uppmärksamhet åt ett håll genomförs ofta för att oupptäckt lyckas slinka igenom försvarsmurarna på andra ställen. Här krävs verktyg och processer för överblick och kontroll av våra datacenter och nätverk så att avledningsmanövrar eller volymattacker inte tröttar ut tekniken eller vår mänskliga uppmärksamhetsförmåga.

Varför ska en svensk vd kommunicera med en rysk server?

Slutligen gäller det att öka förmågan att identifiera och analysera avvikande beteenden. När ett ai-fingerat telefonsamtal från vd:ns barn gör att vd:n klickar på en länk med ransomware behöver kontrollsystemen hjälpa till och blockera det klicket — varför ska en svensk vd plötsligt kommunicera med en server i Ryssland eller Iran? Användarna behöver i situationer som denna automatiserat stöd som hjälper till att minska felen som vi människor gör.

Det säkerhetspolitiska läget kommer under överskådlig tid att innebära fortsatt stora utmaningar med it-attacker mot svenska företag och myndigheter. Att peka finger åt de som drabbas av intrång kommer inte att hjälpa någon utan vi behöver lära oss av våra misstag och investera i rätt tekniker, processer och säkerhetsteam för att på ett metodiskt och fungerande sätt ta oss an hoten mot vår gemensamma it-säkerhet.

Niclas Molander är Sverigechef på Netscout

Senaste artiklarna

Hämtar fler artiklar
Till startsidan
Telekom idag

Telekom idag Premium

Nyhetstjänsten för dig som jobbar med professionell kommunikation. Nu med nya nischade nyhetsbrev för ditt intresseområde och utbildnings-tv.