Trend Micro ”Xday 2020”

Trend Micros uppskattade och årliga event fick i år arrangeras som ett online-event. Underrubriken var ”Du är inte starkare än din svagaste länk”. Även om upplägget blev lite annorlunda så var innehållet lika intressant och relevant som tidigare år.

Trend Micro ”Xday 2020” 1Oneline-eventet leddes av den uppskattade illusionisten och programledaren Henrik Silver. Från en studio i konferensanläggningen At Six, i centrala Stockholm, hälsade han alla varmt välkomna.

Först ut bland alla talare var Trend Micros Sverigechef Erik Jönsson. Han började med att tacka alla inblandade för att Xday 2020 kunde genomföras trots de extremt ovanliga omständigheterna som vi alla upplever under den pågående pandemin.

Empati finns inte på deras agenda

Erik berättar att året har varit dynamiskt och att Trend Micro har landat bra i de nya förutsättningarna samtidigt som det självklart har satt organisationen på svåra prov.

Kanske var det många av oss som lyssnade som trodde och hoppades att aktiviteten bland de cyberkriminella skulle avta i dessa tider med Covid-19. Erik fick oss snabbt att inse att så inte är fallet. Det infinner sig nästan en känsla av uppgivenhet när han berättar att attacker med Ransomware fortsätter i samma omfattning som tidigare men nu riktas de i första hand mot myndigheter, sjukvården och skolor. Varför ger man sig på just dessa aktörer nu när de har fullt upp med att hantera Coronapandemin? Jo, det är just därför att dessa samhällsdelar är satta under mycket stor press och ”betalningsviljan” är högre där eftersom de kämpar för att överhuvudtaget få verksamheten att fungera. Det sista som behövs i den situationen är ett kidnappat systemstöd.

Erik säger att Trend Micro kan konstatera att 94 % av alla attacker är E-postbaserade. Under den senaste tiden är dessutom hela 80 % av all skadlig kod kopplad till Covid-19. Människor lockas att klicka på länkar som utger sig för att ge relevant information om viruset och dess spridning. Att de cyberkriminella prioriterar cynism framför empati blir tydligare än någonsin. Men det finns hopp.

Interaktion med publik på distans

En intressant detalj i upplägget för årets Xday var att det under flera tillfällen under dagen fanns möjlighet för oss som lyssnade att både skicka in frågor löpande till föredragshållarna samt att svara på frågor som lades ut under online-eventets gång.

En av de första frågorna som ställdes var vilken IT-risk som deltagarna upplever som störst? Det alternativ som fick flest röster var att den största risken ligger i den befintliga teknikskuld som skapats genom att gamla system inte supporteras och uppdateras med bland annat patchar (säkerhetsuppdateringar). En aspekt som lyftes fram avseende det problemet var att det ofta finns en tanke på att gamla system ska fasas ut inom kort men sedan blir det ändå så att de lever vidare mycket längre än det var tänkt och det är lätt att tappa fokus på de systemen.

Som en uppföljning på frågan hur de står till när det gäller uppdatering av befintliga system, såväl nya som gamla, ställdes frågan; Hur lång tid tar det innan ni har uppdaterat era system med en ny utskickad uppdatering? Svaren fördelade sig enligt följande:

  • 1-3 dagar 24%
  • 1-3 veckor 16%
  • 1-3 månader 57%
  • 1-3 år 3%

Att det här är en möjlighet att relativt enkelt höja säkerheten i sin IT-miljö är en slutsats som kan dras utifrån det utfallet.

Att byta lösenord ska vara en given aktivitet

Trend Micro ”Xday 2020” 2Mikael Jansson är en etisk hackare. Via länk från Malmö gav han oss sin syn på IT-säkerhet utifrån ett hackarperspektiv.

Han inleder med att konstatera att så länge det finns något att ta kommer attackerna att fortsätta. Ett ganska logiskt resonemang men i Mikaels föredrag får vi ändå flera exempel på att vi med relativt enkla förändringar kan förhindra en stor del av de lyckade intrången.

Den svagaste länken i våra säkerhetslösningar är tyvärr vi själva, människorna. Det är på tok för vanligt att det används lösenord som består av barnens namn plus födelseår(!). En annan mycket stor risk när det gäller lösenord är default-lösenord (fabriksinställningar). De flesta enheter som idag kopplas upp mot Internet och organisationers intranät levereras med ett fördefinierat lösenord, till exempel ”0000”. Det kan handla om allt från utrustning i konferensrum till utrustning för luftkonditionering eller belysning. Om dessa lösenord inte ändras i samband med installationen är risken mycket stor att de blir en vidöppen väg in i organisationens IT-miljö. Detsamma gäller givetvis för motsvarande utrustning som köps och installeras i hemmen. Att ändra de förinställda lösenorden är en åtgärd som definitivt tillhör gruppen enkla åtgärder eller populärt uttryckt – Low Hanging Fruits.

Att den mänskliga faktorn är en alltför stor del av lyckade intrång påminns vi om när Mikael berättar att han en gång satt på ett tåg och en medpassagerare som satt och jobbade frågade honom om han kunde passa hans PC medan han gick på toaletten. Den personen ska vara glad att det var en etisk hackare som han vände sig till. Mikael visade även en bild på ett olåst serverskåp, i publik miljö, som han såg hos en kund. Sannolikt insåg alla deltagare att vid sidan av alla tekniskt avancerade och nödvändiga lösningar finns det många enkla åtgärder att göra. I annat fall står sig de tekniska lösningarna slätt om de enkelt kan rundas via en oskyddad uppkopplad enhet eller ett öppet serverskåp.

Det ska vara roligt!

Mikael tar också upp en annan framgångsfaktor avseende säkerhetsarbete. Se till att medarbetarna tycker att det är roligt och självklart att tänka säkerhet. Det kanske inte låter helt lätt men han delar med sig av några tips. Låt medarbetarna fundera över, kanske i tävlingsform, frågeställningen; Hur skulle jag hacka min egen arbetsplats? De anställda sitter på en stor kunskapsmassa om hur företaget fungerar och det handlar inte bara om IT-miljön i sig. Mikael påpekar att de flesta företag, för att inte säga alla, har en säkerhetspolicy. Den är framtagen med största allvar och avser att säkerställa att personalens arbetssätt gör att intrång ska förhindras eller åtminstone försvåras. Kanske finns det något i det regelverket som i praktiken gör det svårt för de anställda att genomföra sina dagliga arbetsuppgifter på ett smidigt och effektivt sätt. Om så är fallet finns det en risk att medarbetare kringgår rutiner och återigen är det den mänskliga faktorn som är den svagaste länken. Även om det görs utan ont uppsåt.

Han avslutar med att lyfta fram vikten av utbildning i säkerhet för all personal. Mikael tar flygplatser som ett exempel på arbetsplatser där detta görs. All personal, oavsett roll, tränas i säkerhet. Det spelar ingen roll om du arbetar med att städa toaletter, expedierar i Tax Free-butiker eller tjänstgör vid gaterna. Alla utbildas i hur de ska agera och vad de ska vara uppmärksamma på.

Tid & Tålamod är två framgångsfaktorer

Trend Micro ”Xday 2020” 3Magnus Carling, CISO på Stena, var på plats i studion och intog scenen för att hålla ett mycket intressant föredrag med den kluriga rubriken ”Hur flyttar man på Gotland?”.

Han hänvisar till historisk forskning som visar på att för cirka 400 miljoner år sedan låg Gotland troligen vid ekvatorn och fynd i den berömda Lummelundagrottan visar på att det finns korall där. Huvudsyftet med Magnus rubrik är självklart inte att ge oss en historielektion men det fungerar som en pedagogisk metafor för några av hans budskap.

När grottsystemet först upptäcktes kom man endast in en bit i grottan, därefter blev det helt enkelt för trångt för att ta sig vidare. Efter en tid upptäckte tre nyfikna pojkar ett litet hål som var tillräckligt stort för att de skulle kunna pressa sig igenom och väl därinne stod det klart det fanns stora salar och sjöar. Vad har detta med IT-säkerhet att göra? Magnus avslappnade stil och hans förmåga att berätta gör att det faktiskt inte ens låter klyschigt när han relaterar till det kända uttrycket – Droppen urholkar stenen. Att Lummelundagrottan skapades av vatten och att Gotland har gjort en geografisk resa har en sak gemensamt, nämligen att det tog tid. Att de tre pojkarna dessutom hittade en annan väg in i grottsystemet gör hans metafor ännu bättre.

”Jag tror stenhårt på att vi måste ge våra projekt tid att ta fram bästa möjliga lösning. Förändring är jobbigt och att styra om en verksamhet till ett säkrare arbetssätt kan stöta på oväntat motstånd. I våra privatliv har vi kanske inte något emot att prova på nya saker eller resa till nya platser. I arbetslivet kan det däremot väcka stor motvilja om det ska genomföras en så tillsynes enkel förändring som att lösenorden ska utökas från 8 till 10 tecken. Vi måste ha en stor förståelse för den mänskliga oviljan till förändringar. Nyckeln till framgång med förändringsarbete är att löpande kommunicera vilka förändringar som är på gång och inte minst varför detta behöver göras. Det är dessutom viktigt att förstå vad som är viktigt för respektive målgrupp. Alla delar av en organisation har sannolikt inte samma insyn i och förståelse för ett förändringsarbete”, säger Magnus.

Berättelsen om de tre pojkarnas väg in i Lummelundagrottan belyser den andra sidan av hotbilder och intrång. Om du har, i princip, obegränsat med tid och tålamod så kommer du till sist att hitta en väg in. Hackare har de förutsättningarna och de kommer hela tiden att aktivt söka efter den svagaste länken i säkerhetskedjan. Om de inte lyckas idag så kommer det en ny dag imorgon.

Han säger också att det är viktigt att styrelsen är involverad i säkerhetsarbetet och att beslut som tas högt upp i en organisation blir mer beständiga.

Även Magnus, precis som Mikael före honom, kommer in på vikten av att säkerhetsarbete inte får vara tråkigt och trist. Han tipsar om att ett inslag i utbildningen kan vara i form av en frågesport där olika team tävlar med varandra. Ett annat tips är att dela in de anställda i röda respektive blå grupper. De röda teamen får i uppdrag att ta sig in i de egna systemen medan de blå teamen får i uppdrag att upptäcka intrångsförsöken.

”Säkerhetsarbetet ska upplevas som ett lärande istället för ett lidande”, avslutar Magnus Carling.

Samarbete ger framgång

Trend Micro ”Xday 2020” 4Från Austin, Texas, i USA kom ett föredrag som presenterades av Brian Gorenc vars titel är Senior Director Vulnerability Research. Han berättade om ett samarbetsprojekt där Trend Micro tillsammans med andra företag och så kallade Researchers letar efter säkerhetshål i vedertagna applikationer och plattformar. En Researcher ägnar sig åt att hitta buggar och andra säkerhetsrisker. När ett fel hittas kontaktar de berörda aktörer och informerar om vilket säkerhetshål som de har upptäckt. De tar betalt för att de lämnar information om felet men de gör inte själva några skadliga intrång. Det finns exempel på att en Researcher har fått ersättning på upp till 25 000 dollar för en enda upptäckt.

I Trend Micros samarbetsprojekt, som är döpt till Zero Day Initiative, informerar man berörd aktör när ett säkerhetshål har hittats och därefter har man satt en gräns på 121 dagar för den aktören att ta fram och distribuera en lösning på problemet. Under tiden skapar samarbetsprojektet en tillfällig lösning för att förhindra intrång.

Brian gav oss ett konkret exempel som handlade om Sharepoint som används av många Enterprise-företag och därför är intressant för de cyberkriminella att ge sig på. I detta fall var det myndigheter i Kanada samt företag i Mellanöstern som drabbades. Han avslutar med att, precis som tidigare talare, understryka vikten av att så snabbt som möjligt uppdatera sin IT-miljö med de patchar som skickas ut.

Take Away

Trots att Xday i år genomfördes som ett online-event hade Trend Micro ändå gjort sitt yttersta för att upplevelsen skulle bli lika gedigen som tidigare år. Därför hade de i förväg skickat ut lunchkuponger via E-post och gav oss en möjlighet att beställa Take Away för hemleverans till lunchpausen. Kreativt.

Det var inte bara mat vi kunde få med oss hem från årets Xday och det går faktiskt att göra en liknelse med den kunskap som också förmedlades till deltagarna oavsett var vi befann oss.

Dagen innehöll även en intressant paneldebatt som leddes av Trend Micros erfarne medarbetare Johnny Krogsböll. Han är Nordic Technical Director. Deltagare var Erik Jönsson och  Magnus Carling på plats i studion, Mikael Jansson samt Bharat Mistry på länk från Malmö respektive England. Den senare är Principal Security Strategist på Trend Micro.

Flera kommentarer och svar på frågor i paneldebatten handlade om att det tyvärr oftast är vi själva som är den svagaste länken. Här följer några exempel:

– Människor är den svagaste länken! Det är också de som beslutar och skapar regelverken (Mikael)

– Även tekniken är byggd av människor (Magnus)

– 90% av alla intrång beror på den mänskliga faktorn enligt en ny rapport i England (Bharat)

– Nyfikenhet måste vara en naturlig del av vårt arbete (Erik)

Strategi vs. Teknik

I slutet av dagen gavs det möjlighet att välja mellan två parallella spår, det ena med fokus på strategi och det andra med tekniken i centrum.

I strategispåret pratade bland annat Bharat Mistry om vikten av att de anställda verkligen förstår och respekterar att det finns delar av säkerhetsarbetet som kan upplevas som ett hinder i det dagliga arbetet.

”Om vi tror att en säkerhetsutbildning passar alla så tänker vi fel”, konstaterar Bharat.

Han avslutar med att uppmana oss att göra säkerhetsarbetet roligt och intressant. Bland annat genom uppmuntran och belöningar. Bharat konstaterar att om vi lyckas med det kan vi kanske istället säga att människorna är vår starkaste länk!

Efter de båda ämnesspåren tog Henrik och Erik scenen i besittning. De summerade dagen och uppmanade åhörarna att redan kommande dagar komma igång med några av de punkter som hade belysts under årets Xday.

Det blev uppenbart att det fanns en tydlig tanke bakom valet av årets rubrik för detta event;

Du är inte starkare än din svagaste länk!

Mer information:

XDR video: https://www.youtube.com/watch?v=MtxtlT5_iZ4

XDR Information: https://www.trendmicro.com/en_us/business/products/detection-response/xdr.html

Virtual patching: https://www.youtube.com/watch?v=IggmhtUCIuM&t=7s

Trend Micro: www.trendmicro.com