Check Point: ”Vi får alltid tid hos kunden”

Han kör 8 000 mil om året i sitt värv att försöka övertyga kunder om vikten av att skydda sina it-system. Med Check Points produkter. Möt Magnus Sköld, expert på förebyggande skydd hos leverantören.

Magnus Sköld, Check Point
Magnus Sköld, Check Point.

Det blir som bekant aldrig bättre. Bara värre. Åtminstone när det gäller hoten mot it-system. Fast för Check Points Magnus Sköld är det snarast en välkommen utveckling eftersom det ger honom rejält underlag när han lobbar för nya lösningar. Det senaste handlar om något som på checkpointska kallas Threat Extraction och möter det allra snabbast växande hotet, enligt leverantören.

– Det är en variant av något som var populärt för tiotalet år sedan och som nu kommer tillbaka i en lite annan form. Nämligen skadlig kod i filer som bifogas mejl, säger han.

Nygammal trend

Då, för 10-15 år sedan, kunde det handla om statiska makron i Office-dokument som var ganska enkla att upptäcka och som snabbt blev kända. Idag handlar det om skadlig kod lite vilken som helst som är inbäddad i filer av i princip vilket format som helst, så länge det är ett format som organisationen litar på. Som ett Word-dokument, en pdf-fil eller en Powerpoint.

Och varje inbäddning, varje attack, är unik, framhåller Magnus. Vilket är skälet till att det är mycket svårare att skydda sig jämfört med hur det såg ut för ett decennium sen då många använda samma typ av skadlig kod.

– Det har blivit enkelt att modifiera kod så att den blir helt unik och det är det som ställer till det för oss som utvecklar skydd, säger han.

Mest uppskattade nyheten på flera år

Självfallet har Check Point ett skydd mot det här. Det är nyutvecklat, nylanserat och har enligt Magnus rönt större uppskattning från partner än någon annan nyhet från leverantören på ”flera år”.

Lena Gulliksen, SEC Datacom i Sverige.
Lena Gulliksen, SEC Datacom i Sverige.

Lena Gulliksen, försäljningschef på distributören SEC, konstaterade i en tidigare artikel att Check Point är helt ensamma om funktionen bland brandväggsleverantörer.

– Till skillnad från klassiska detekterings-metoder som kräver en viss tid för att söka och upptäcka hot kan Threat Extraction i förebyggande syfte eliminera hoten i realtid. Det innebär bland annat att du nu kan leverera säkerhet som inte stör användaren exempelvis vid nedladdning av filer från nätet. Och idag är alltså Check Point ensamma om lösningen i sitt segment, next generation firewalls, sa hon då.

Förutsätter att koden är skadlig

I korthet går det ut på att tekniken förutsätter att alla bifogade filer innehåller skadlig kod, och ser till att extrahera den och emulera vad som skulle hända om en användare öppnar filen. Samtidigt skickas själva dokumentet vidare i realtid, men utan den kod som eventuellt skulle kunna innehålla elaka delar.

– Det är skillnaden mot hur andra jobbar. Vi låter användaren se dokumentet på en gång. Om han eller hon behöver exempelvis ett makro eller ett javascript som ursprungsfilen innehåller kan hon ladda ner det när emuleringen är klar, vilket ofta går väldigt fort kan i värsta fall ta ett par minuter om koden visade sig vara skadlig. Men å andra sidan, om det visar sig att filen är skadlig väljer de flesta att blockera accessen till originalfilen ändå, förklarar Magnus.

Riktade attacker

Den här typen av attacker ökar dramatiskt, enligt Check Point. Under 2013 såg man att företag utsattes för i snitt två sådana varje dag. Förra året hade antalet ökat till 53. Siffrorna kommer från Check Points säkerhetsundersökning som bygger på analyser av totalt 1 000 företag, varav 300 är nordiska. Ännu är inte resultatet för 2015 års rapport klar, men Magnus säger att han vet att det åtminstone handlar om en fördubbling av antalet från föregående år.

– Metoden ger förövarna ett bra sätt att utföra riktade attacker, vilket generellt är den typ som växer mest, säger han.

Och det är påfallande ofta rekryterare i en organisation som är målet, har det visat sig. Det har att göra med att de får många mejl med bifogade pdf:er.

– De har ju ofta till och med bett om att folk ska skicka in sina ansökningar och cv-dokument, så chansen att de öppnar sådana bilagor är i det närmaste 100-procentig. Dessutom kommer man som förövare åt chefer i organisationen när ansökningarna skickas vidare från den rekryteringsansvarige, säger Magnus.

Han är inte partneransvarig, men han möter många partner och pekar på den största utmaningen för dem.

– Det är samma utmaning som vi har, att få kunderna att jobba proaktivt istället för reaktivt. Det är fortfarande så att vi ofta får komma när skadan redan är skedd. Samtidigt ser jag att våra partner är väldigt bra på att ta till sig och förklara vår teknik för slutkunder.

Har du något tips kring hur de ska göra?

– Det som fungerar bäst för oss är att visa vad som kan ske med hälp av livedemonstrationer, som jag ofta gör. Det behöver inte vara tekniskt alls, om du inte möter tekniker. När jag demar för ledningspersoner brukar jag i princip bara använda min Outlook och en pdf-fil som jag förstås har modifierat så att den innehåller skadlig kod.

– När jag visar vad som kan ske brukar de förstå varför de behöver ett skydd, säger Magnus.

Och den stora nöten för många, att över huvud taget få tid med kunden, är inte ett problem för en Check Point-partner, hävdar Magnus.

– Eftersom vi är den största säkerhetsleverantören får vi alltid sändningstid hos kunder. Det gäller nog också för partner till oss.

Post Comment