Laddar meny

WannaCry - en global väckarklocka

Nyhet 2017-05-16
WannaCry, har skakat om världen och visar hur sårbara vi är. Någon skapade ett ”weaponized ransomware” som spred sig över världen inom loppet av några timmar.

Avsändaren använde ett klassiskt angreppssätt som utnyttjar en sårbarhet i operativsystemet, något som skett många gånger tidigare, men denna gång med en ny sofistikerad laddningsmekanism (attackens innehåll).

Den stora skillnaden är att detta är en produkt framtagen av det amerikanska underrättelseorganet NSA, en så kallad "weaponized attack”, som utnyttjar sofistikerade "stealth" mekanismer för att undvika upptäckt. De flesta av dagens verktyg är helt enkelt inte tillräckligt avancerade för att hantera denna attackkraft och komplexitet.

Lyckligtvis finns det verktyg som reagerar på anomalier och begränsar dem. Dessa för dock med sig ett antal utmaningar:

  • För det första skapar det felaktiga larm för saker som inte är dåliga.
  • För det andra bygger den på statistiska modeller - vissa kallar det artificiell intelligens - vilket det inte är. Dessa modeller kan "tränas" att hitta problem men det betyder också att de kan "omskolas" för att ignorera problem. Därför kräver de mer uppmärksamhet och underhåll för att hålla dem rätt inställda.
  • För det tredje kan detekteringsnivån inverka på hur tidigt den statistiska modellen triggar, vilket gör det möjligt för oss att se fler attacker men även till problem - fler falska larm.

Varför är det viktigt att förstå detta?

Eftersom moderna säkerhetshot måste hanteras på ett annat sätt. Man måste komplettera förebyggande mekanismer - de traditionella malware-skyddet - med avancerad detektering och reaktionskapacitet. Det innebär att vi måste ha sensorer som mäter det mesta i vår it-miljö. Dessa mätningar måste sedan analyseras för att identifiera hot och pågående attacker. De flesta av dessa möjligheter tillgängliga idag (rent teoretiskt) men utnyttjas inte samlat.

Vad kan man då göra åt det?

Som ett första steg måste en övervakningsinfrastruktur skapas. Det är naturligtvis nödvändigt att säga att någon måste göra något med varningarna om hoten. Det betyder att reaktiva möjligheter med tydliga processer och välutbildad personal måste vara på plats. Tyvärr är inget av detta något man gör i en handvändning. Det tar tid och ansträngningar. Men om man vill bryta trenden med att förlora säkerhetsstriden så måste man göra det.

Vad vi kan göra på kort sikt är att uppdatera (patcha) de sårbara Windows-systemen.

Detta kräver en avvägning mellan risken för ett intrång mot risken vid patching. Parallellt måste detekterings- och reaktionsförmågan som de flesta har, aktiveras. Det betyder att man ska aktivera loggarna och titta på dem manuellt (dvs med skript) de kommande dagarna för att se attacken innan den får fäste i datamiljön.

Rekommendation på kort sikt:

  • Patcha där det är möjligt.
  • Öka loggar och känslighet för övervakningsverktyg.
  • Ha it-specialist på plats de närmsta dagarna.

Långsiktiga rekommendationer:

  • Använd förebyggande verktyg som kan se (och om möjligt hantera) avancerade hot.
  • Skapa en övervakningsarkitektur och installera sensorer i nätverket och informationssystemen.
  • Upprätta reaktiva förfaranden, träna it-personal för att hantera attacker och upprätta regler som involverar reaktiva förmågor tidigare.
Atea.se upplevs bättre om du uppdaterar din webbläsare. Här hittar du en ny version av internet explorer