Når først de er inde bag firewallen...

CLOUDEONs CTO, Frank Mogensen, beskriver risici ved og løsningsmodeller til den bølge af ransomware, der til stadighed angriber virksomheders IT-systemer.

Tech Insights / 300621

Virksomhedernes IT-systemer tages som gidsler af hackere
Et flertal af virksomheder er i dag sårbare overfor trusler fra en ny bølge af malware, der går under navnet ransomware. Ransomware adskiller sig fra en traditionel virus ved ikke primært at inficere og destruere filer, men i stedet låse og kryptere IT-systemer og dermed tage virksomhedernes data og operativsystemer som gidsel.

Virksomhederne bliver så tvunget til at betale en løsesum for igen at kunne udføre selv de mest grundlæggende handlinger så som at betjene deres kunder, sende varer ud eller booke et hotelværelse. "Virksomhederne er lammede, indtil de har udbetalt et beløb i bitcoin til hackerne", forklarer Frank Mogensen, Chief Technology Officer (CTO) for CLOUDEON, der leverer cloudløsninger til enterprises i Norden.


Ransomware er ikke et nyt fænomen - men forekomsten er eksploderet siden 2018, hvor mængden af angreb steg med 450 % på et år. Stigningen er endnu voldsommere nu. I følge Frank skyldes det primært to ting: 1) Der findes nu malware-toolkits på internettet, som enhver 13-årig kan downloade og starte sit eget angreb med - og dermed tjene penge. Hackeren sidder sikkert bag sin egen skærm og bag et anonymt VPN-kredsløb, hvor han kan udgive sig for at være en anden. 2) Man kan også bestille nogen til at hacke for sig, såkaldt Ransomware as a Service. Frank tilføjer: "Som hacker kan man beskytte sig på en helt anden måde end tidligere, og kan derfor rimelig risikofrit sidde og sende mails med ransomwareangreb. Og det kan være en rigtig god forretning..."


Intelligent phishing og en lynhurtig infektion
Frank forklarer, at hackerne får adgang til virksomhedernes system via intelligent phishing. Hackeren sender en mail afsted, der enten ser interessant ud, eller giver sig ud for at komme fra én man kender eller stoler på. I mailen er et link, og når medarbejderen, der har modtaget mailen, klikker på linket, afvikles noget kode i computerens system - og hackeren får adgang til maskinen. Dernæst udvikler angrebet sig lynhurtigt: hackeren får adgang til alle de passwords, der ligger cached på computeren, og kan øjeblikkelig inficere alle andre maskiner på netværket.


Ransomware spreder sig gennem alle former for netværk, også de krypterede. Selvom man som virksomhed selvfølgelig har antivirus på sine maskiner - måske har man sågar patchopdateret og lukket alle huller i systemet - er man ikke beskyttet mod ransomware:


"Lad os bare sige, at du har opdateret dit system. Hvis jeg går ind på en tilfældig større dansk virksomhed og sidder med en af virksomhedens laptops, vil jeg som oftest kunne tilgå alle servere via netværket, sommetider flere tusinde. Det vil sige, at hvis jeg var administrator i den virksomhed, havde fuld adgang til netværket og blev inficeret med ransomware, ville alle servere være inficerede indenfor 10 minutter. I de store ransomwareangreb, kan man derfor med 99 % sikkerhed vide, at én med administratoradgang er smittekilde nr. 1. Også selvom hackerne bruger et cached login, der er opsnappet fra en brugers PC. Hvis man ved det, hvorfor beskytter man sig ikke?" - Frank Mogensen, CTO


Et håbløst gammeldags sikkerhedsparadigme
En gennemsnitlig dansk virksomhed vil ofte benytte sig af perimetersikkerhed, dvs. en firewall. Den type sikkerhedsløsning er baseret på idéen om, at alt er sikkert indenfor firewallen, og at alt er usikkert udenfor. Det betyder, at når hackeren først er indenfor de digitale mure, er der frit spil og fri adgang til alle servere og systemer på indersiden. Og derfor kan sådan en virus sprede sig som en steppebrand - ransomware kan inficere 5000 servere på mindre end 10 minutter. Frank advarer virksomheder mod at forlade sig på firewalls og traditionel antivirus:


"Den type sikkerhed er håbløst gammeldags. Firewalls og antivirusprogrammer skal kende definitionerne eller karakteristika på den specifikke ransomware for at virke. Lidt ligesom en biologisk virus og en vaccine, hvor man skal kende virussens RNA for at kunne lave vaccinen. Men fordi ransomware muterer kraftigt - det er indbygget i koden - bliver det umuligt at forberede sikkerhedsmodellen til at genkende den enkelte angriber og afværge truslen i tide. På den måde lægger man sikkerheden i sin virksomheds IT-platform i hænderne på den enkelte medarbejders dømmekraft - og det er en stor risiko at løbe!" - Frank Mogensen, CTO


Ransomware-hackere er ikke bare gidseltagere, de er også tyve
Selv hvis man som virksomhed betaler 'løsesummen' efter et ransomwareangreb kan man ikke være sikker på at få sine data tilbage, når man får adgang til sine IT-systemer igen:


"Omkring 50% af ransomware er designet til at stjæle de data, de krypterer. De highspeed-spoler data ud af virksomheden via nogle anonyme proxyer og relays, så man ikke kan spore processen. Det er ikke et spørgsmål om, at man bare kan restore systemet fra sidste uge, og så er 'alt godt igen'. Alt er ikke godt igen. Alle virksomhedens data er kopierede og kan sælges til konkurrenter, og alle passwords fra alle steder, du nogensinde er logget på, er i andres hænder." - Frank Mogensen, CTO


Det kan lade sig gøre at beskytte on-premise-IT mod ransomwareangreb, men fordi alt i systemet i udgangspunktet er åbent og forbundet, er det en omstændelig opgave. I Cloud er strukturen omvendt - alt er som udgangspunkt lukket og kræver tilladelse for at kunne forbinde sig internt. Frank uddyber: "Alt i Cloud er mikrosegmenteret og bygger på et Zero Trust-sikkerhedsparadigme. On-premise sættes alle servere på en netværksstreng, og så kan de kommunikere uhæmmet med hinanden. I Cloud kan ingenting kommunikere, med mindre man specifikt udvælger nogle servere eller servergrupper, der forbindes med hinanden."


Det betyder, at kun de medarbejdere, der skal bruge adgang til en specifik applikation, gives adgang. På samme måde kan man begrænse de administrative rettigheder gennem PIM (Priviledged Identity Management), hvor adgangen til en bestemt server først leveres til medarbejderen, når der er brug for den. Det betyder også, at cloudløsninger kan overleve et ransomwareangreb: hackeren får ganske enkelt kun adgang til en lille del af systemet.


Hvad kan en virksomhed gøre for at beskytte sig mod ransomware?
I følge Frank er det eneste, man kan gøre at betale hackerne og håbe på det bedste, hvis man allerede er blevet ramt af ransomware, og virksomheden ikke kan leve med downtime. Alternativt skal man geninstallere eller restore alle IT-systemer, da man aldrig kan være sikker på at have fundet alle de inficerede steder. Det vil tage mellem 14 dage og tre måneder alt efter virksomhedens størrelse. Som virksomhed har man derefter muligheden for at beskytte sig anderledes fremover - og hvis man allerede er i en situation, hvor alt i systemet skal restores, har man muligheden for at gøre det i Cloud, på lukkede, isolerede netværk. Med Zero Trust-beskyttelse i Cloud isolerer man også eventuelle trusler, der stadig måtte lure i systemet.


Med cloudløsninger kan man fx. drive virksomheden på SaaS (Software as a Service) eller Paas (Platform as a Service) og undgår derved de risici, der er forbundet med at have on-premise-servere. Frank beskriver det som en fremtidssikring af virksomheden og understreger, at alene besparelserne ved at beskytte sig mod hackerangreb gør det værdifuldt at skifte til Cloud. Hvis man ønsker at bevare sit on-premise-miljø, har man i stedet mulighed for at lave en Business Disaster Recovery i Cloud, hvor man sikrer sit system, som det så ud umiddelbart før angrebet, i et lukket miljø.


Kan du leve med at have mistet dine data? Hvad vil du gøre ved det?
Business Disaster Recovery fungerer sådan, at et stykke software synkroniserer hele serveren op i Cloud i en tilstand, hvor serveren ikke kører og dermed ikke koster penge. Når systemet først er synkroniseret, er det kun ændringer, såkaldte delta-data, der synkroniseres op. Det betyder, at virksomhedens servere kan restores med ned til en times forskydning, og det er muligt at spole synkroniseringen tilbage og vælge præcis det tidspunkt, hvorfra man vil restore. Det betyder også, at det er mindre kritisk, hvis man opdager angrebet senere.


Men, som Frank siger: "Det er en backup - det er ikke beskyttelse. Som virksomhed skal du spørge dig selv, om du kan leve med, at du har mistet dine data, at andre har dem - og hvad vil du gøre ved det? Med en fuld cloudløsning beskytter man fra begyndelsen sin intellektuelle ejendom, sine passwords og sine kundeoplysninger mod hackernes gidseltagning og tyveri."

 

GB Round Flag

 

Find this interesting

Keep updated with news and events on the Cloud and cloudeon.