När ransomware blir ett allt större säkerhetshot ökar behovet av effektiva skydd. Att skydda sin organisation handlar dels om cybersäkerhet i allmänhet, dels om specifika åtgärder som säkra säkerhetskopior och att säkra mejlen – det är i den som den skadliga koden oftast tar sig in på företag.
I dag bör alla veta att utpressningsattacker, ransomware, medför stora risker för alla företag och organisationer. Den nu aktuella attacken mot Kaseya, med svåra konsekvenser för bland andra Coop i Sverige, talar sitt tydliga språk. Om cyberkriminella lyckas kidnappa ett företags data blir det dyrt, med försämrad lönsamhet och i värsta fall konkurs som följd. Om en attack bli allmänt känd kan företaget även drabbas av försämrad renommé.
Det är lätt hänt att bli handfallen. Men faktum är att det finns åtgärder som ger skydd mot utpressningsattacker. Ett problem är att det handlar om ett flertal olika åtgärder. Belöningen blir ett rimligt säkert skydd mot utpressningsattacker, till en rimlig kostnad. Det går att skydda sig mot attacker och många av lösningarna är generella säkerhetslösningar som en organisation bör beakta i vilket fall som helst.
Läs mer och Tech Datas ransomware-lösningar här.
Men vad är en utpressningsattack, eller ransomware och gisslanprogram som de också kallas? Det finns flera varianter och de utförs inte sällan i kombination med andra typer av attacker. Men enkelt uttryckt handlar det om att kriminella krypterar ett företags data så att de blir oanvändbara och begär en lösensumma för att låsa upp dem. I vissa fall är attackerna så sofistikerade att de inte aktiveras innan den skadliga kod som utför krypteringen får tillgång till säkerhetskopierade data. Det gör att ett drabbat företag inte kan återställa sina data.
Säkerhetskopior är grundskyddet
IT-jätten Cisco är ett företag som tillhandahåller olika typer av skydd mot utpressningsattacker. I Sverige gör man det i samarbete med distributörer som Tech Data och olika återförsäljare.
– Det är viktigt att ha samarbetspartner som kan erbjuda sådana här lösningar. Våra samarbetspartner och distributörer som Tech Data och återförsäljare har de kunskaper som krävs, säger Henrik Bergqvist som är ansvarig för cybersäkerhet på Cisco i Sverige.
Henrik Bergqvist tips för åtgärder mot utpressningsattacker börjar med det mest uppenbara skyddet:
– Det måste gå att återställa data från säkerhetskopior som inte komprometterats, säger Henrik Bergqvist.
Det här innebär flera krav, inte minst att företaget har testat att återläsning av säkerhetskopierade data faktiskt fungerar. Det finns otaliga historier om företag som upptäckt att säkerhetskopior som tagits i åratal inte går att använda när katastrofen väl inträffar.
Ett annat krav är att säkerhetskopierade data ska vara skyddade från attacker, även om den operativa IT-miljön drabbas. Det finns olika metoder för att säkerställa detta, ofta i samverkan med varandra. Ett exempel är ”immutable storage”, eller ”immutable backup”. Det innebär att säkerhetskopierade data helt enkelt inte kan ändras, på något sätt. Det gör att man alltid kan vara säker på att ha korrekta data att läsa tillbaka om en IT-miljö drabbas av en utpressningsattack.
Säkra mejlen, den vanligaste attackytan
Utpressningsattacker initieras ofta av bilagor till mejl som innehåller skadlig kod eller av länkar i mejl som leder till skadlig kod. Därför blir säkerhetsprodukter och -tjänster för att säkra mejlanvändning viktiga vad gäller skydd mot utpressningsattacker. Även utbildning av användare är viktig. Eller för att uttrycka det enkelt: tala om för folk att inte klicka på länkar eller öppna bilagor de inte känner till. Det allmänna distansarbetet har gjort detta än mer aktuellt, att arbeta hemma är inget skydd i sig.
Läs mer och Tech Datas ransomware-lösningar här.
– Det gäller att försvåra varje steg i en attack. Ett exempel är perimeterskydd som kontrollerar och förhindrar nedladdningar av filer, säger Henrik Bergqvist.
Koll på kommunikation och appar
Kontroll och övervakning av kommunikation, både internt på ett företag och med omvärlden, bidrar till skydd mot utpressningsattacker. Här finns det flera saker att tänka på:
- Kontroller bör ske av kommunikation på flera olika nivåer: ren nätverkstrafik, till och från utrustning som skrivare, i och mellan applikationer, och så vidare. En nyckel till framgång är att upptäcka och hantera avvikelser, så kallade anomalier. Sådana är ofta indikationer på intrångsförsök.
- Resonemangen för att övervaka och skydda nätverkstrafik kan och bör även tillämpas på applikationer. Även här är grundregeln att upptäcka anomalier och agera för att hantera dem.
Skydda klienterna
En trend inom cybersäkerhet är att fokus flyttas från perimeterskydd, till att skydda klienter (endpoints). Det här beror på flera saker, kanske främst att det inte är vettigt att se ett företag som en hermetisk tillsluten enhet, utan i stället som en del av internet. Därför blir det viktigt att skydda ändpunkterna för kommunikationen som redan pågår, vilka ofta är klientenheter.
Det här gäller inte bara bärbara datorer, mobiler och liknande, utan i allt högre utsträckning även en stor mängd IoT-enheter – allt från små sensorer, till AR-glasögon, uppkopplade kaffebryggare och industrimaskiner.
Generella säkerhetsåtgärder
Det finns så klart fler saker att tänka på, både vad gäller cybersäkerhet i allmänhet och skydd mot utpressningsattacker i synnerhet:
- Användning av onlinetjänster med information om känd skadlig kod och kända adresser som används av kriminella. Cisco Talos är samlingsnamnet på en sådan uppsättning tjänster.
- Segmentering. Att dela upp IT-miljöer och nätverk i delar som är isolerade från varandra, så att spridning av skadlig kod kan förhindras. Segmentering kan utföras på olika nivåer, till exempel att isolera olika kontor, avdelningar, applikationer och typer av utrustning från varandra. Det är en fördel om isoleringen kan slås av och på vid behov.
- Snabb lägeskoll. Skyndsamt agerande är a och o när säkerhetsproblem uppstår.
- Automation och AI, främst maskininlärning, eftersom det överstiger mänsklig förmåga att hantera cybersäkerhet manuellt.
- Incidenthantering, antingen inbyggt i säkerhetslösningar eller genom integration med specialiserade lösningar. På modern svenska kallas det för att hantera ”tickets”.
- Och, självklart, strategier, policy och processer för cybersäkerhet.
Slutligen handlar cybersäkerhet och skydd mot utpressningsattacker om att motverka komplexitet. Komplexitet i IT-miljöer är en viktig grogrund för sårbarheter. Ju mer komplicerad en IT-miljö är, desto svårare blir det att skydda den. Ett sätt att minska komplexitet är att samla så mycket säkerhetsfunktioner som möjligt under ett paraply, antingen från en leverantör eller genom tätt integrerade säkerhetslösningar.
