stoppa skadlig kod

Dammet efter Wannacry har slutligen lagt sig, och vi börjar så sakta falla tillbaka i våra gamla vanliga hjulspår igen. Och efter en sådan här händelse så blir det alltid diskussioner kring vilka skydd som är mest effektiva mot det senaste hotet, och det kommer samtidigt en mängd IT-säkerhetstillverkare som passar på att positionera sig som ”The silver bullet” (eller ”våra kunder var skyddade”). Som alla vet (och som ni kan se nedan) så finns inte EN lösning som löser alla säkerhetsproblem. Därför vill jag ta tillfället i akt att påminna om vikten av att arbeta strategiskt och strukturerat med IT-säkerheten.

Detta vet vi:

  • WCry upptäcktes den 12/5-2017, och är ett Ransomware som krypterar filer på datorn, och sedan kräver lösensumma för att ”låsa upp” dem.
  • WCry infekterade Windows-datorer med hjälp av en sårbarhet i SMB-protokollet som upptäcktes av NSA, och ”offentliggjordes” av hackergruppen The Shadow Brokers under vintern 2017.
  • Microsoft släppte en patch mot sårbarheten för alla stödda versioner av Windows den 14/3-2017. Patchen släpptes inte för legacy-system, t.ex. Win XP, Win server 2003 etc. Microsoft släppte dock en nödpatch för dessa legacy-system på fredagen den 12/5-2017.
  • De flesta av de drabbade systemen var Windows 7, men de största miljöer som drabbades hade en stor andel Windows XP.

Även om det verkar som att svenska organisationer var förhållandevis förskonade, så var det trots allt flera stora miljöer som fick en rejäl smäll. Och för att ni skall ha maximal chans att undvika sådana händelser i framtiden så kommer här några rekommendationer:

Att lägga tid och pengar på att avhjälpa incidentsituationer är ungefär lika roligt som att laga taket på huset för att det droppar regnvatten i frukostgröten, när man egentligen hade tänkt åka till jobbet.

Systematiska åtgärder

  1. Sårbarhets- och patchhantering är en viktig hörnstolpeInventera sårbarheter, och patcha sårbara system och applikationer, och då inte bara Microsoft-patchar. Patchade system var inte mottagliga för WannaCry. Flexera (tidigare Secunia) har en SCCM-integrerad patch management-plattform som ger total kontroll över patchningen i er miljö.
  2. Ut med det gamla (t.ex. Win XP, SMB-protokollet, gamla Java-versioner etc.). Små populationer av gamla teknologier kan utgöra en stor risk för miljön. Det låter kanske jobbigt, men allt för ofta så är det där incidenten börjar. Om man verkligen MÅSTE ha gamla system så skall dessa härdas med applikationskontroll.
  3. Sträva mot att eliminera alla adminkonton. Idag så går det att erbjuda en användarvänlig och flexibel plattform utan att tillåta användarkonton med administrativa rättigheter. Avecto Defendpoint är ett exempel på en teknologi som använder Windows inbyggda mekanismer för att tilldela förhöjda rättigheter till applikationen istället för till användaren.
  4. Det krävs tid och kunskap för att upprätthålla, administrera och övervaka IT-säkerheten i en organisation. Se till att era IT-säkerhetsprodukter är uppdaterade och fungerar. Håll koll på vad som händer i omvärlden och anpassa skyddet efter aktuell hotbild. Övervaka och analysera vad som händer i miljön. IT-säkerhetsprodukterna är väldigt bra på att logga och upptäcka saker, men ofta behövs det en människa för att bedöma vilken åtgärd som skall vidtas. Underskatta inte heller den påfrestning som en incident innebär för organisationen. Om ni har svårt att avsätta den tid eller upprätthålla den kompetens som behövs, så bör ni anlita en extern partner (läs NSEC) som kan bistå med detta.

 

Tekniska åtgärder

  1. Stärk skalskyddet. Med ett starkt perimeterförsvar kan hoten stoppas innan de når användarna. Ett modernt spamfilter och en Next Generation Firewall (med applikationskontroll, webbfilter, antivirus, IPS etc.) kopplade till en SandBox ger goda möjligheter att upptäcka och stoppa hotet i dörren.
  2. Implementera ett adaptivt klientskydd med Machine Learning för att upptäcka nya varianter av skadlig kod.
  3. Knyt samman era IT-säkerhetslösningar i en stor sammankopplad säkerhetsinfrastruktur. Integrera IT-säkerhetsprodukter från olika tillverkare med varandra, och låta dem utbyta information om hot som upptäcks i miljön. Här kan ni läsa vårt tidigare blogginlägg om det.
  4. Sträva efter automation. Med över 500 000 nya varianter av skadlig kod varje dag så är det omöjligt att förlita sig på manuell handpåläggning för att vara säker. Se till att er säkerhetsplattform kan hantera det mesta på egen hand. Korrelera händelser i miljön, och skapa automatiska åtgärder baserat på dessa. Leta efter specifika IOC (indicators of compromise) i hela infrastrukturen och korrigera automatiskt. Med en EDR-lösning som McAfees Endpoint Threat Defense and Response och en SIEM effektiviseras incidenthanteringen avsevärt.

Att lägga tid och pengar på att avhjälpa incidentsituationer är ungefär lika roligt som att laga taket på huset för att det droppar regnvatten i frukostgröten, när man egentligen hade tänkt åka till jobbet. Genom att arbeta strategiskt och strukturerat med förebyggande åtgärder, så minskar risken för att gröten blir blöt, plånboken tom, och jobbet lidande.

Kontakta oss om ni vill ha hjälp med er IT-säkerhetsstrategi.

Oskar Ehrnström