Teknik ger företag en falsk känsla av säkerhet – säger F-Secure Red Team

Angripare utnyttjar företag som lider av vad cybersäkerhetsexperter kallar ”en falsk känsla av trygghet” – de sätter för stor tilltro till tekniken och dess förmåga att skydda deras nätverk.

Varningen kommer från en talesperson för F-Secures red team – en grupp cybersäkerhetsexperter som specialiserat sig på att angripa organisationer för att lyfta fram styrkor och svagheter i deras skydd, med organisationens tillåtelse.

”Att använda teknologi för att lösa mänskliga problem fungerar inte, och alla som säger något annat kunde lika gärna sälja magiska bönor”, säger Tom Van de Wiele, säkerhetskonsult på F-Secure. ”Angrepp ute i verkligheten, särskilt från cyberbrottslingar, lever på att förfina subtila tricks inom social engineering om lurar människor till att släppa ner garden. Och att låta medarbetarna tro att säkerhetslösningar i toppklass kommer att ta hand om allt ingjuter en falsk känsla av säkerhet, vilket är något som angriparna idag mer eller mindre räknar med.”

Ute och (nät)fiskar

Nätfiske är ett typiskt exempel på sådant som enligt Van de Wiele är typexempel på teknik som inte hade funkat utan denna överdrivna tilltro till tekniken. Enligt PwC:s undersökning Global State of Information Security Survey 2017* så är nätfiske den vanligaste attackvektorn för cyberattacker mot finansinstitut under förra året. Och baserat på spridningen av ”phishing-as-a-service”-paket på dark net** så kommer de här attackerna att bli ännu vanligare fortsättningsvis.

”Du skulle inte tro vad folk klickar på när de jobbar. De är inte dumma, men de har släppt ner sin gard och förväntar sig inte att bli lurade, säger Vad de Wiele. Och onekligen är det så – simulerade nätfiske-attacker är framgångsrika när F-Secure genomför red team-övningar.

Ett färskt exempel från ett uppdrag: F-Secures red team-experter skickade ut ett falskt Linkedin-mejl för att se hur många av de anställda hos kunden som skulle klicka på en länk i ett mejl de inte bett om att få, och inte förväntade sig att få. 52 procent av medarbetarna klickade. I ett annat test skapade red team-experterna ett mejl med en länk till en falsk portal där medarbetarna behövde logga in med sitt nätverkslösenord. 26 procent följde länken. 13 procent skrev gladeligen in sitt användarnamn och sitt lösenord.

Inget är heligt

De Red Team-övningar som Van de Wiele och hans kollegor genomför innebär att man utför en serie test som tagits fram för att få fram en helhetsbild av vad företag gör rätt och fel när det gäller säkerhet. Testen utmanar företagen att upptäcka och begränsa spridningen av simulerade cyberattacker, samt testar deras förmåga att svara på dem. Attackerna kan vara utformade för att stjäla finansiell information och annan värdefull data, eller ta kontroll över centrala delar av företagets IT-infrastruktur.

Enligt Van de Wiele överraskas företagen ofta av dessa tester, att de blottlägger exakt hur sårbara de var. ”Bilden av det egna säkerhetsarbetet matchas sällan av de svagheter som angriparna i själva verket ser”, säger han. Testerna inbegriper samtliga attackvektorer på företaget – inte bara de digitala, egentligen allt som faller under företagets namn.

”Många företag blir förvånade när vi får tillgång till servrar som inte är uppkopplade mot publika nät, och många IT-säkerhetsansvariga är helt oförberedda för ett angrepp som går via fysisk tillgång till företagets lokaler. Och det är förvånansvärt enkelt att få: Allt du behöver är en skyddsväst och en arbetsorder. Skyddsvästar är bättre än Harry Potters osynlighetsmantel. Ta på den och du kan ta dig in överallt. Utan att någon undrar något.”

Med Red Team-övningar kan företag och organisationer:

·       Verifiera att deras säkerhetsinsatser fungerar och fungerar såsom det är tänkt

·       Mäta effekten av investeringar i cybersäkerhet

·       Få en överblick av hur effektivt skydd de har för affärskritisk information

·       Upptäcka problem med säkerhetsprocesser; om de behöver uppdateras, eller om det behövs ytterligare utbildning

·       Höja medvetenheten ute i organisationen

·       Säkerställa att säkerhetsmonitoreringen fungerar som den ska

·       Testa organisationens förmåga att upptäcka och begränsa en attack