211service.com
Once More Unto the Breach: Vad som krävs för att besegra cyberangripare
I samarbete med Hewlett Packard Enterprise och FireEye
Tänk dig det här: Det är kvällen före en stor semester. Familj och vänner kommer ner till ditt hem för att njuta av en avkopplande måltid och tid borta från kontoret.
Men alla tar inte en paus.
Mitt i natten ringer telefonen. Det är en nödsituation på jobbet – ett nätverksbrott. Jag har fått samtal vid de mest olämpliga tidpunkterna, säger Marshall Heilman, vicepresident och verkställande direktör, incidentrespons och red-team-verksamhet på cybersäkerhetsföretaget Mandiant, ett FireEye-företag. 2014 fick jag ett samtal strax före Thanksgiving. Jag var tvungen att gå in för att hjälpa ett företag som hade drabbats av en avancerad angripare, och det var allvarligt, minns Heilman och tillägger att hans team kämpade för ett nytt intrång på julafton 2015. Teammedlemmarna har också gott om historier om t.ex. , att vara så upptagen på helgdagar att anställda arbetade samtidigt som de försökte tråckla en kalkon samtidigt, säger Heilman: Hackare är strategiska när det gäller semestern. De kompromissar med organisationer vid dessa tillfällen eftersom det är då de förväntar sig att försvaret är nere.
Men som Heilman vet alltför väl behöver hackare inte vänta till semestern för att fånga sina mål. Organisationer av alla storlekar är sårbara för intrång året runt.
Det fanns en tid då cybersäkerhetsexperter använde en slottsliknelse för att beskriva sådana attacker – där fiender korsar en vallgrav, skalar en mur och smyger in oupptäckt av riddarna. Men Chris Leach, chefsteknolog för Hewlett Packard Enterprise (HPE) Security Services, kallar det perspektivet föråldrat. Den äldre taktiken att låta riddarna titta på perimetern är inte den bästa användningen av resurser. På grund av förändrade hot och hur de kamouflerade soldaterna kommer in, måste vi upptäcka inkräktare snabbare, innan de kan hitta kronjuvelerna.
Andrzej Kawalec, teknisk chef för HPE Security Services, ser också en utveckling inom cybersäkerhet. I dag är det en enorm asymmetri i anfallarnas och försvararnas förmågor, säger han. De flesta organisationer förlitar sig idag på förrtidens murar och vallgravar och tror att de försvarar sig mot katapulter och kanoner, medan angripare istället använder drönare och mycket riktad smygteknik. Och i dagens digitala företag, noterar han, befinner sig anställda och kunder ofta utanför ett företags väggar – till exempel i kaféer och samarbetsutrymmen utan starka perimeterförsvar. Under tiden, som HPE:s cyberriskrapport 2016 finner att 86 procent av organisationerna för närvarande saknar adekvata cybersäkerhetskapaciteter.
Video: Anatomy of an Attack
Månader på insidan
Hur lång tid tillbringar motståndare innanför omkretsen innan de upptäcks? Under 2015 var medianantalet dagar 146, enligt M-Trends 2016-rapport av Mandiant. Även om de flesta attacker inte kommer att förvandlas till stora intrång, är ständiga cybersäkerhetshot ett faktum i dessa dagar, säger Heilman. En framgångsrik angripare kan få nätverksåtkomst under loppet av en vecka, eller till och med på bara ett par dagar, säger han. Så om du inte kan förhindra en attack – om du vet att angriparen kommer att ta sig in oavsett vad – så vill du upptäcka den så snabbt som möjligt och sedan svara på den. HPE:s Kawalec håller med. 'Människor behöver en robust säkerhetspartner, eller en uppsättning partners, som förstår hur de ska svara i realtid, säger han.
Det är där FireEye och HPE kommer in. De två företagen, som erbjuder incidentrespons, kompromissbedömning och hotdetektionstjänster till företag över hela världen, reagerar på tusentals sådana intrång årligen.
Det finns ett behov av verklig inlärning och förståelse om kadensen – händelseförloppet, säger Kawalec. Den kadensen inkluderar forskning och spaning, infiltration, upptäckt, fångst och exfiltrering eller dataextraktion. Det är ytterst viktigt, säger Kawalec, att förstå din organisations riskprofil: Du bör börja med en enkel fråga: Vilka är dina digitala tillgångar och de cyberthot som de står inför? Utan det svaret kommer du att vara bedrövligt underberedd att svara i realtid på en potentiellt förödande cyberattack.
Attacklivscykeln
Undersökningsresultat
Cybersäkerhetsutmaningar, risker, trender och effekter
Producerad av MIT Technology Review Custom i samarbete med Hewlett Packard Enterprise Security Services och FireEye Inc.
Oavsett om förövaren är en hacktivist, en cyberkriminell eller en statligt sponsrad hotaktör, kan kadensen (eller attackens livscykel ) förblir i huvudsak densamma, säger Heilman. Hans teams arbete vänder sig mot avancerade ihållande hot (APTs), som är situationer där förövarna får tillgång till ett nätverk och stannar där under en lång tid.
Efter att de har undersökt ett målföretags system och människor tar angriparna nästa steg: infiltrera ett nätverk genom att utnyttja en svaghet – i 80 procent av fallen genom att skicka ett nätfiske-e-postmeddelande, säger Heilman. Genom att få en människa att klicka på en länk eller öppna en fil kan angriparna köra sin egen skadliga kod, vilket ofta skapar en bakdörr in i nätverket. Det skapar ett fotfäste från vilket angripare kan kontrollera sina aktiviteter i den miljön.
Därefter kommer privilegieupptrappning, förklarar Heilman: De tar rättigheterna de har fått från systemen som de har äventyrat och eskalerar dem till en lokal administratör eller en huvudadministratör, till root-åtkomst eller till vad de kan behöva för bättre åtkomst till system och data.' Det åstadkoms ofta genom att stjäla referenser, knäcka lösenord eller utnyttja sårbar programvara.
När angriparna väl har fått administrativa rättigheter har de nått APT-status. De åtar sig spaning, rör sig i sidled genom företagets datorsystem, inventerar vad de ser, noterar nyckelpersoners roller och ansvar och var information de vill ha. Förövare upprätthåller ofta närvaro, eller uthållighet, genom att installera flera bakdörrar i hela miljön. 'Då kommer de att försöka åstadkomma vad de än kom för att göra, vilket ofta är att stjäla information - immateriella rättigheter, finansiella data, fusions- och förvärvsdetaljer eller personligt identifierbar information, till exempel, säger Heilman. När de har slutfört sitt uppdrag behåller angriparna åtkomst där det är möjligt, om de vill återvända.
Tips för mål: Tänk som de onda
Enligt Heilmans uppfattning är det bästa sättet att besegra angripare att anta deras tankesätt – att inte svara på deras nästa drag, utan att förutse dem. Du måste också känna igen och upptäcka avvikande beteende i din organisation.
Kawalec uppmuntrar företagsledare att bekanta sig med deras företags hotlandskap. Att veta vilka tillgångar som är mest kritiska, och därför måste skyddas vaksamt, är en betydande offensiv fördel mot cyberthot. 'Förstå vad som är värdefullt i din organisation. Vem ska försöka få tag i de stora tillgångarna? Det ger en syn på risken, säger han. Förstå sedan om du har blivit äventyrad och var du är sårbar.' Till sist, det största problemet: Vet du exakt vad du ska göra när telefonen ringer i händelse av ett intrång? frågar Kawalec. Det är de stora frågorna som varje cybersäkerhetsledare eller informationssäkerhetschef borde kunna svara på sin organisations vägnar – för om de inte kan det har de problem.'
Som med många andra brott är de första 48 timmarna efter ett brott de mest kritiska. Men hur snabbt och hur bra en organisation reagerar och återhämtar sig avgörs av vad som har gjorts innan olyckan. Din första nödåtgärd är helt och i grunden beroende av det arbete du utförde månader tidigare: Skriv och förstå en plan för intrångsåtgärder, identifiera roller och ansvarsområden för de inblandade personerna, särskilt de första insatserna, och utbilda sedan människor, förklarar Kawalec. Övningar är också avgörande: Kör scenarier och granskningar av röda team – eller realistiska simuleringar – och ta företagets styrelse genom en verklig upplevelse av en cyberattack, säger han. På så sätt, när de upplever det på riktigt, är det inte för första gången.'
Och det blir inte sista gången. Som HPE:s senaste cyberriskrapport dokumenterar har volymen av intrång ökat, och även om angripare fortfarande använder relativt gamla metoder för att skala brandväggar och kringgå antivirusprogram och andra traditionella försvar, blir de också mer sofistikerade. De justerar sina tekniker för att kringgå nyare cybersäkerhetstekniker. Dessutom utvecklar de invecklade affärsmodeller där de samarbetar kring attacker, och de utökar sin räckvidd till Internet of Things, inklusive mobiltelefoner, surfplattor, molntjänster. Det hela leder till enorma utgifter för organisationer: The 2015 års kostnad för cyberbrottsstudie: Global , utfört av Ponemon Institute och sponsrat av HPE, uppskattar den genomsnittliga årliga kostnaden för cyberbrottslighet för 252 benchmarkerade företag till 7,7 miljoner dollar på bara ett år, med säkerhetsforskningsföretaget som rapporterar att vissa förlorade så mycket som 65 miljoner dollar.
Att hantera allt mer sofistikerade motståndare kräver motsvarande sofistikerade försvarslinjer. Med det i åtanke har HPE utvecklat en industristandard Cyberreferensarkitektur (CRA) som ger kunderna en plan för avancerade hotskyddstjänster och funktioner för incidenthantering. Bland andra funktioner inkluderar CRA FireEyes mest aktuella insikter om APT, de situationer där angripare etablerar starka fotfästen och skapar förödelse under långa tidsperioder.
I huvudsak är CRA en kokbok för cybersäkerhet, säger Leach, från HPE. 'Referensarkitekturen artikulerar hur din organisation ska se ut: nyckelområdena, ansvarsområdena och måtten. Det sträcker sig från den strategiska delen – inklusive att köra svarsövningar inom ett företag – till människorna, till operationerna, till vad du bör göra i ett verkligt brott, förklarar han.
Arkitekturen inkluderar också ritningar för specifika användningar, syntetisering av de vanliga händelserna och kartläggning av dem till CRA för att se om det adresserar risker och operativa risker, tillägger Leach. ”Chief Information Security Officer (CISO) tar förmodligen upp risker så proaktivt som han eller hon kan. Men en CISO kanske inte har alla delar av den referensarkitekturen och måste därför samarbeta med andra för att få hela bilden, säger han. CRA är verkligen en värdefull guide från början till slut.'
Samarbeta med experterna
Statistik visar att företag behöver hjälp utifrån med cybersäkerhet. Endast 47 procent av 2015 års överträdelser som Mandiant åtgärdade upptäcktes internt, av ett företags egna anställda; i 53 procent av fallen fick företag veta om intrång från externa källor, som brottsbekämpande myndigheter, media, kunder eller leverantörer – eller till och med angriparna själva. Kawalec säger att ett sådant externt meddelande sätter företagsledare i en svår, reaktiv position. 'Det betyder att de har väldigt svårt att kontrollera situationen, att beordra och styra den lämpliga responsen, och även att kommunicera från en stark position, säger han. De måste fokusera på att förstå och spåra beteenden hos användare och system, och sedan matcha ett mönster mot något de vet inte är rätt.'
Fler och fler globala företag vänder sig till HPE för cybersäkerhetssaneringstjänster som stöds av FireEyes avancerade hotdetektering, intelligens, metoder och expertis vid incidentrespons. HPE-FireEye hotanalytiker engagerar sig som en förlängning av en organisations cybersäkerhetsteam och ger insikt och intelligens från frontlinjen. Förutom att reagera på incidenter, letar HPE och FireEye proaktivt efter indikatorer på kompromisser i sina kunders miljöer.
Med 10 säkerhetsverksamhetscenter runt om i världen och 5 000 säkerhetspersonal som betjänar 10 000 kunder, erbjuder HPE en oöverträffad global räckvidd. FireEye har dessutom sex globala säkerhetsoperationscenter som ger konstant upptäckt och svar till 4 400 kunder. Tillsammans bildar de två företagen ett kraftfullt partnerskap inom cybersäkerhet, säger Kawalec. ”När man tänker på resurserna hos ett typiskt säkerhetsteam i en ganska stor organisation, skulle även stora säkerhetsteam bara vara 15 till 100 personer. HPE och FireEye kan projicera cybersäkerhetskapacitet för ett brett spektrum av företag. Det är därför folk vänder sig till oss för att få hjälp.'
För att lära dig mer om cybersäkerhet, vänligen utforska denna HPE-FireEye-resurswebbplats .
