IT-säkerhet handlar allt mer om ”the long tail”

[KRÖNIKA] Medierna rapporterar dagligen om dataintrång som drabbar företag.

Jan Lundberg

Det här hänger ihop med att en rad former av ny teknik som maskininlärning och IoT sprids snabbt. I takt med att attackytorna för intrång blir allt fler ökar också hoten mot företagen.

Dessutom blir attackerna allt mer automatiserade, snabbare och riktade mot specifika offer. Det är därför som det är dags för ett nytt sätt att titta på problemet.

Svarta svanar

Hur ser då riskerna ut? Många har säkert någon gång hört talas om begreppet ”black swan” för att beskriva en mycket osannolik händelse som, om den skulle inträffa, förändrar allt. Begreppet kommer förstås från teorin om hur alla påståenden, hur övertygande de än verkar, kan motbevisas när någon upptäcker motsatsen. Som att européer var övertygade om att alla svanar är vita – ända till en upptäcktsresande såg svarta svanar i Australien.

En ”black swan” är alltså något omvälvande, som ett intrång som hotar ett helt företag. För några år sedan fanns det bara några unika hottyper som var och en påverkade många. Intrången dominerades till exempel av ILOVEYOUVIRUSE och Conficker. Det fanns förstås även mer riktad skadliga programvara som bara hade några få offer, men detta var ovanligt.

En allt längre svans

Hoten har idag istället fått en ”long tail” av en mängd olika, specialiserade och sedan tidigare okända cyberhot. Sådana unika hot upptäcks i många fall inte, åtminstone inte i tid. Dessa attackmetoder kan orsaka allvarliga skador på verksamheten och följaktligen är de exempel på ”black swans” och är något som säkerhetsansvariga – och ledningsgruppen och styrelsen – behöver arbeta aktivt för att undvika.

Vad beror då denna ökade diversifiering av hoten på? Det finns flera orsaker, framför allt:

  1. Digitaliseringen sprider sig inom verksamheter och globalt, vilket leder till en större attackyta.
  2. Gratis, användarvänliga och automatiserade verktyg för att hitta säkerhetshål och konstruera nya former av skadlig programvara som finns tillgängliga. Dessa gör det möjligt även för icke-säkerhetsexperter att konstruera avancerade intrång.
  3. Fler och alltmer sofistikerade kriminella grupper, som kan skapa avancerade och helt nya hot.

Visserligen förbättras säkerhetskontrollerna ständigt, vilket ger bättre möjligheter att hindra de okända hoten. Men dessvärre har inte kontrollerna kunnat hålla jämna steg med utvecklingen av nya hot.

Och ”the long tail” kan bli ännu längre i framtiden. Maskininlärning används redan idag för att hitta nya vägar för intrången. I framtiden kan den automatisk profilera ett företag och hitta potentiella sårbarheter. Sedan kan den bedöma om det är mest effektivt att till exempel utnyttja en sårbarhet i en server eller om det istället behövs en riktad phishingattack mot en anställd.

Kommer vi snart se helt automatiserade, specialanpassade attacker mot ett visst företag? Ja, så ser antagligen framtiden ut. Därför behövs det nya och smartare verktyg som klarar av att hantera även intrång som använder metoder som ses för första gången. Den långa svansen kommer bara bli längre.

Jan Lundberg, teknisk chef i Norden för Palo Alto Networks