När det gäller att infektera företag och privatpersoner används två olika trick. Antingen infekteras datorerna genom tekniska svagheter, så kallade säkerhetshål, eller genom att lura användaren att klicka på något de inte borde klickat på.
Det enklaste sättet är, och har alltid varit, att lura användaren att klicka på en bilaga eller följa en länk i t ex e-posten. Man försöker utnyttja vår nyfikenhet, vår vilja att hjälpa till, vår dåliga förmåga till kritiskt tänkande och ibland kryddas det med lockelser av mer sexuell art. Oavsett metod så kommer attacken lyckas. Det finns alltid tillräckligt många personer som klickar för att elakingarna ska uppnå sina syften. Det räcker oftast med att en enda person klickar för att hela organisationen ska vara i farozonen.
Vad den elaka koden gör när den installerats beror såklart på syftet med attacken. Det handlar idag nästan uteslutande om att tjäna pengar. Förr kunde det handla om att sprida sitt alster så mycket som det bara gick och sen skryta om det i de mer ljusskydda sidorna av internet. Idag är det istället pengar som gäller.
Det finns även en annan typ av attackerare idag. Det är olika hackergrupper och spionageorganisationer som använder elak kod för att komma åt känslig information som stjäls från offrets dator. Dessa hackergrupper har ofta olika specialistområden, t ex försvarsindustri, finansiella sektorn, oljeindustrin, fordonsindustrin etc, men gör ibland avstickare och attackerar helt oväntade mål. Det kan tolkas som att de tar emot uppdrag av tredje part.
Arbetar man i en sådan bransch och har man en sådan motståndare emot sig är det oerhört svårt att framgångsrikt skydda sig. Man pratar ofta om att attackerna kommer lyckas och att det istället handlar om att satsa resurser på att upptäcka att det sker och att minimera skadan av attacken istället för att lägga allt krut på att försöka stoppa dem i dörren.
Den stora volymen av attacker går dock fortfarande ut på att försöka stjäla kreditkortsnummer och inloggningsuppgifter av olika typer. Kreditkortsnummer kan snabbt omsättas i pengar och inloggningsuppgifter kan användas för att t ex skicka ut spam eller sprida länkar till phishing-siter där bekanta till den drabbade luras att ge ifrån sig uppgifter som attackeraren kan använda.
Och precis som i vilken bransch som helst fortgår en slags ”affärsutveckling” även hos elakingarna. Sedan ett tag tillbaka används så kallad ransomware för att klämma offer på pengar. Attacken börjar som vanligt med att användaren luras att klicka på t ex en bilaga i e-posten. Därefter installeras en trojan som antingen legat dold i bilagan eller som laddas ned från internet. Trojanen börjar därefter kryptera filer på den lokala hårddisken och därefter även filer på utdelade enheter i nätverket som offret kan har rättigheter att skriva till. Sedan läggs det upp ett meddelande om hur man ska gå tillväga för att köpa dekrypteringsnyckeln av elakingen.
För ett stort företag är det inte de få tusenlappar det kostar att köpa nyckeln som är problemet. Den stora kostnaden kommer från stora störningar i verksamheten då man ofta måste stänga ned stora delar av nätverket för att minimera skadeverkningen av krypteringen.
Har man koll på säkerhetskopieringen är det ofta onödigt att köpa dekrypteringsnyckeln. Det är egentligen bara att rensa den infekterade datorn och därefter återställa informationen från en backup. Man kanske tappar en stunds arbete, men det är ofta inte värre än så. Kostnaden kommer istället som sagt från stilleståndet.
Vad gör man då? Ptja, det är egentligen ingen raketforskning det handlar om utan istället gäller det att följa de goda råd som säkerhetsexperter upprepat i alla år:
Var försiktig med inkommande filer
Alla inkommande filer ska betraktas som möjligt fientliga. Har man en miljö som är fri från elak kod är inkommande filer egentligen det enda sättet att infekteras (förutom möjligen genom teknisk infektion som sker automatiskt via t ex webbplatser) och ska hanteras därefter. Men dagens verksamheter och den enorma mängd filer som susar omkring gör det dock i praktiken omöjligt att hantera dem på ett säkert sätt.
Kör med minimala rättigheter
Klickar man på elak kod kommer den ”ärva” användarens rättigheter i systemet. Kör användaren som administratör blir även trojanen administratör i systemet med fulla rättigheter. Överväg att gå den rekommenderade vägen och minimera rättigheterna i systemet.
Denna rekommendation gäller även i nätverket. Se till att användarna endast har rättigheter till de resurser de verkligen behöver komma åt. Överväg även ifall skrivrättigheter behövs i alla lägen eller om det räcker med läsrättigheter. Infekteras användaren med en informationsstjälande trojan kommer den försöka stjäla samtliga filer den är intresserad av (t ex alla dokument, kalkylblad eller designritningar). Är det en destruktiv trojan som t ex krypterar filer kommer den kryptera alla filer på alla enheter som användaren kan skriva till. Handlar det om elak kod som har förmågan att sprida sig via nätverksenheter kommer denna begränsas av hur skriv- och läsrättigheter är satta.
Håll koll på säkerhetskopior och backupper
Är oturen framme och man infekteras med elak kod är det ofta billigast för organisationen att återställa filerna från backup och fortsätta jobba. Har man ett väl uppsatt system för detta minimeras informationsförlusterna till i värsta fall ett par timmar. Dock bör man se till att ordentligt kontrollera vilken elak kod man infekterats av. Handlingsplanen är olika beroende på vilken elak kod det handlar om.
Kör ett uppdaterat antivirusprogram
Även om antivirusprogram inte kan upptäcka all elak kod gör de så gott de kan. Är de uppdaterade och väl inställda så fångar de den stora volymen av elak kod som kommer in. De flesta antivirusprogram har idag många olika tekniker att fånga ny, tidigare okänd, elak kod. Men trots att de inte kommer stoppa allt är de en oerhört viktig del i säkerhetslådan för att försvåra infektioner.
Se till att patcha säkerhetshål som dyker upp
Att se till att täppa till säkerhetshål så snart som möjligt är viktigare än man tror. Många suckar över att de måste installera och starta om datorer ”hela dagarna”. Men gör det ändå. Varför göra det enklare än nödvändigt för elakingarna att komma in?
Se till att systemet som används för patchhantering även kan kontrollera att patcharna är installerade och inte bara ”ivägskjutna”. Ibland ser det ut som att det är klar, men patchen har inte installerats ordentligt.
Det är svårt att ge råd i hur snabbt man ska uppdatera. Det beror på hur allvarligt säkerhetshålet är och ifall den används i attacker eller inte. Men vissa organisationer har patchning någon gång i månaden och vissa mindre organisationer patchar mer sällan än så. Det är ett riskabelt beteende att ha attackfönstret öppet så länge. Kan man visa på att man har andra säkerhetsfunktioner på plats för att minimera risken för attacker kan det vara motiverat.
Utbilda personalen
Lägger man tid att kontinuerligt utbilda personalen att känna igen farligheter och risker som dyker upp tjänar man ofta mycket på det. För förutom säkerhetsperimetern är det användarna som hjälper eller stjälper. Är de tränade i att inte klicka på allt som dyker upp så minskar man risken för infektion. Har de fått instruktioner i hur de ska agera när de ser en risk så täpps farorna till snabbare. Vet de hur de ska handskas med företagets information och ”prylar” (laptops, mobiler, usb-minnen etc) så minskar risken för informationsläckage.
I teorin är detta egentligen rätt enkelt. Men i praktiken är det svårt. Det finns helt enkelt för många rörliga delar i en organisation för att man ska kunna känna sig helt säker. Men man kan göra så gott man kan och se till att alla är involverade i arbetet att skydda organisationen och dess tillgångar efter bästa förmåga. Sen toppar man med lite tekniska lösningar.
Vi på Knowit Secure hjälper gärna till att säkra din organisation. Kontakta oss så kommer vi till dig och pratar mer!