Ett av flera verktyg för att hantera morgondagens hot

11 mars 2024

Cyberattacker mot svenska verksamheter

Ingen har nog undgått de senaste månadernas stora antal it-intrång, där det i flera fall är ransomware-teknik som använts för att åsamka skadan. Hur själva intrånget har utförts skiljer sig däremot åt.

Någon vecka före den senaste vågen av attacker skrev jag ett inlägg om just ransomware och de många variablerna som kopplas till ett angrepp. Ett lästips om ni vill veta mer.

Svensk cybersäkerhetsinnovation

Vad händer inom det förebyggande området? Jag tycker två ”nya” svenska förmågor är värda att känna till. Ett av dom är KTH:s nya centrum för cyberförsvar och informationssäkerhet. Det är ett kunskapscenter som kommer bidra till forskning, innovation och utbildning som stärker Sveriges cybersäkerhet och långsiktiga kompetensförsörjning. Till centret kopplas redan idag en rad verksamheter – företag, intresseorganisationer, civila myndigheter och Försvarsmakten.

Den andra viktig förmågan som fått en nödvändig omstart är det svenska Nationella cybersäkerhetscentret. För att tydliggöra ägarskapet har bland annat FRA tilldelats huvudmannaskap för centret. Om rätt val görs framåt ser jag att centret kommer bidra med nödvändig struktur och underrättelser, men även handfast rådgivning kring såväl förebyggande som reaktiva åtgärder.

Från Tele2s sida följer vi upprättandet och utvecklandet av dessa båda center. Kortsiktigt väntas vissa existerande samverkansforum bli mer strukturerade, men centret kan också ge möjlighet att samverka med ytterligare verksamheter. Långsiktigt har Tele2 förhoppning att både kunna bidra med information och erfarenheter, men givetvis också dra nytta av forskning, kompetens och underrättelser kring specifika hot.

Gällande nyheter kan såklart även nämnas att Europol tillsammans med flera nationella polismyndigheter lyckats stänga ner hackergruppen LockBits infrastruktur som använts för ransomware-brottslighet. Det är en Europol-aktion som har stora likheter med exempelvis nedstängningen av det sms-baserade Flubot-viruset. LockBit beskrivs av Europol som ”en av världens mest spridda och skadliga ransomware”. Gruppen bakom har kännetecknats av att pressa sina offer genom så kallat triple extortion ransomware.

Kortsiktigt har nedstängningen positiva effekter, men tyvärr finns ett närmast obegränsat antal andra aktörer som fortsätter opåverkat.

Internetbrandväggen har potential att bli ett av era viktigaste skydd

Säkerhet kommer alltid byggas på ett batteri av åtgärder, och dessa kommer kontinuerligt behöva förbättras utifrån hur bland annat hoten utvecklas. En typ av säkerhetsåtgärd, internetbrandväggen, kommer aldrig vara mer än en del av lösningen. Men vad skiljer en ”vanlig” internetbrandvägg mot en modern? Massor, och jag ska kortfattat förklara några av de största fördelarna.

De senaste åren har antalet identifierade sårbarheter i hård- och mjukvaror stigit kraftigt. Att säkerhetsuppgradera just hård- och mjukvara kräver ofta servicefönster, som i sin tur kan innebära tillfälliga driftsavbrott. Listan över internetrelaterade risker kan göras lång. Därför tycker jag att just en internetbrandvägg, (även kallad NGFW, next generation firewall) med avancerade och automatiskt uppdaterande säkerhetsfunktioner, behöver få ett mycket större fokus.

Inte helt oväntat kan jag mest om Tele2s egen internetbrandvägg och jag ska nu dela med mig av några funktioner som kan innebära skillnaden mellan intrångsförsök och en angripares intrång.

Tele2s internetbrandvägg baseras på säkerhetsprodukter från Check Point, som är en ledande leverantör av säkerhetslösningar för nätverk och it. Att vi valt just Check Point beror på deras djupa insikter och möjligheter att analysera trafikmönster, isolera destinationstrafik med högre risk samt exceptionell förmåga att slå samman olika datakällor som ökar förmågan att identifiera attacker.

Information och data om nya hot tillkommer konstant. Allt detta lagras i ett gigantisk centralt system där AI-teknik bidrar till att omsätta information om hoten till konkreta blockeringsfunktioner som uppdateras automatiskt.

Vad kan då internetbrandväggen blockera? Mycket förenklat kan det sammanfattas till följande:

• Skydd mot kända sårbarheter (registrerade CVE-sårbarheter)

• Skydd mot virus, botar, phishing och olika typer av så kallade injection-stölder

• Skydd mot webbsidor som innehåller skadlig programvara

• Skydd mot webb-/DNS-tjänster för exempelvis otillåten fjärrstyrning, till exempel command & control-servrar

• Skydd mot trafik som har så kallade signaturspår av angrepp

Några exempel

I bilder och bildtexter nedan kan ni få en inblick i olika typer av hot som Tele2s internetbrandvägg har stoppat. De olika hoten har stoppats under en 80 dagars-period.

Rapporten ovan visar vad som attackerats (Attacked Destination), angreppssätt, exploaterad sårbarhet (CVE) samt varifrån attacken utförts.

Under perioden har ett stort antal attacker förhindrats. Olika funktioner (så kallade blad) byggs samman för att ge skydd mot olika typer av hot.

En av internetbrandväggens reaktiva funktioner, Intrusion Prevention System (IPS), har blockerat ett stort antal händelser som potentiellt kunnat leda till incidenter som intrång.

En av flera rapporttyper som ger överblick över inträffade händelser, exempelvis att rapporteras till verksamhetens företags- eller it-ledning. I rapporten framgår bland annat att 11 enheter under perioden har infekterats av så kallade botar och att dessa försökt kommunicera med servrar som används för fjärrstyrning. En fjärrstyrd bot utgör ett stort potentiellt hot mot såväl nätverk, it och informationstillgångar.

Sammanfattning

Efter en kortare nyhetsspaning kom vi in på ett säkerhetsverktyg jag anser bör finnas på plats för att upprätthålla säkerhet över tid. Att i alla lägen ha sin it- och nätverksmiljö säkerhetsuppdaterad och skyddad mot okända hot är nära på omöjligt. Att det då finns ett ”automatiskt” skyddsnät, en kraftfull internetbrandvägg, är ett lysande exempel på smart och kostnadseffektiv säkerhet.

Nästa inlägg i säkerhetsbloggen kommer i april. Till dess, glöm inte kontakta oss om du vill veta mer om smarta och säkerhetshöjande lösningar.

Vänliga hälsningar Martin Fransson Säkerhetschef – Tele2 Företag