”Tänk om allt går fel”- Trend Micro Xday

Trend Micros årliga event Xday hölls i år på Fotografiska Muséet i Stockholm.

Ola Wittenby som är Trend Micros VD

Sensommarvärmen i luften och den inbjudande utsikten över Stockholms inlopp och Gröna Lund utgjorde en perfekt inramning till en mycket givande dag. Ola Wittenby som är Trend Micros VD.

Underrubriken var satt till – Tänk om allt går fel! Det budskapet kändes helt rätt och dagen blev lyckad på alla sätt. Ola Wittenby som är Trend Micros VD i Sverige hälsade oss alla varmt välkomna. Han berättade bland annat att Trend Micro fyller 30 år i år och att de under tiden löpande jobbat med nya innovativa lösningar som till exempel Trend Micro maskinlärande teknik för spamfiltrering som man började med redan för 8 år sen.

Pedagogisk och visuell inledning

Att innovation är en del av Trend Micro blir tydligt när Ola plötsligt byter roll och kastar sig in i chokladbranschen. Han blir en entreprenör som har startat det framgångsrika företaget – The Clean Chocolate Company. Tillsammans med en medarbetare spelar de upp ett ”drama” där vi får se hur en spear phishing-attack kan gå till och hur lätt det är att som måltavla intet ont anandes lämna ut lösenord och andra koder.

Sannolikt var det inte en slump att Trend Micro hade valt att vara på Fotografiska denna gång. De är utrustade med tekniskt avancerade konferensutrymmen där det bland annat finns en möjlighet för projicering i 360°. Inramningen med projicering på väggarna förstärkte upplevelsen där vi parallellt får följa hur Ola som entusiastisk entreprenör i chokladbranschen bygger upp och utvecklar sin verksamhet med molnbaserade lösningar för allt från betalfunktion till de hemliga recepten av deras utsökta choklad. Vid bordet bredvid sitter en gestalt i mörker med en jacka med huva som täcker delar av ansiktet. Han är givetvis den onde hackaren. Framför oss spelas nu upp ett exempel hur ett lyckat intrång kan gå till. Vi ser entreprenörens och hackerns bildskärmar på väggen framför oss och man behöver inte förstå all kod som passerar på hackarens skärm för att ändå kunna följa hur han kommer åt den ena känsliga informationen efter den andra.

Entreprenören märker inte att när han sitter och jobbar med sin site så får hackaren honom att klicka på en ”knapp” som ser helt ofarlig ut och plötsligt är entreprenören inne på en kopia av sin site som kontrolleras av hackaren. I det här tänkta fallet avslutar hackaren med att lägga ut en bild på en dödskalle och då förstår entreprenören att det har skett ett intrång men det var mer för att förstärka dramaturgin för oss som tittade på. I vanliga fall är hackarna så drivna, nuförtiden, att de inte lämnar några synliga spår efter sig.

Det var ett mycket pedagogiskt och visuellt sätt att få oss att inse allvaret i att vi alla kan bli före
mål för en attack och hur det kan gå till. När Ola har återgått till sitt vanliga jag berättar han för oss att en sak som hackare har gått om och det är tid. De har inte bråttom och de försöker om och om igen. Dessutom blir det allt vanligare att de kriminella använder nya teknologier och attackmetoder vilka ofta numera är helt automatiserade.

Glöm inte gamla hot

Rik Ferguson, som är Vice President Security Research, på Trend Micro följer upp inledningen med att tala om vad vi kan göra för att skapa en säkrare IT-miljö i våra organisationer. En sak som borde vara självklar, men som många inte gör, det är att uppdatera sina system med de patchar (uppdateringar) som programvaruföretagen skickar ut i samband med att de upptäcker säkerhetsrisker och fel i sina program. Rik menar att anledningen till att så många inte kör patcharna är att när man kör uppdateringarna så påverkar de tillgängligheten för användarna. Då ska man komma ihåg att om man inte har patchat sina system och råkar ut för ett intrång så kommer tillgängligheten att vara borta under en sannolikt mycket längre tidsperiod. Självklart är inte det den enda åtgärden som måste göras för att höja säkerheten men kanske en av de enklaste.

Rik berättade också att antalet Ransomware minskar för tillfället och samtidigt så ökar upptäcktsgraden med 3 %. En viktig insikt som vi bör ta med oss är att när vi tror att ett hot är överspelat, till exempel Macro Malware, och vi kopplar av det så kommer det tillbaka i nya attacker. Hackarna provar sig hela tiden fram för att hitta en svag länk i säkerhetskedjan och som Ola sa tidigare så har de gott om tid att prova olika angreppssätt. Nya som gamla.

Kryptovalutor är utsatta

Han fortsätter med att berätta att det är mycket vanligt att kryptovalutor är målet för så kallad Digital Pickpocketing. Många aktörer på den finansiella marknaden är små och medelstora bolag som inte alla har tillräckligt med resurser eller kunskap för att skydda sig. Många hackare satsar på att placera ut skadlig kod på så många enheter som möjligt. Därefter kan de ägna sig åt Crypto Mining för att på så sätt komma över kryptovaluta. ”Jag vill ha med dig i ett hemligt projekt!” Rik avslutar sitt förmiddagspass med att tala lite om vilka hot han och Trend Micro ser när det gäller användningen av mail. Han ger oss ett konkret exempel på hur det kan gå till.

En medarbetare får ett mail som ser ut att komma ifrån dennes chef. I själva verket kommer det ifrån någon som har tagit kontrollen över den mailadressen. Budskapet är att chefen vill ha med medarbetaren i ett nytt och mycket hemligt projekt som ska startas upp. Personen kommer att få mer info inom kort men ombeds, väldigt tydligt, att inte prata om detta med någon. Efter ett par dagar kommer ett nytt mail från chefen och denna gång sent på en fredagseftermiddag. Chefen är på resande fot och har missat att verkställa betalningen av en mycket viktig faktura. Medarbetaren som känner sig uppmärksammad och uppmuntrad av chefen vill givetvis vara till lags och stärka sin position som en kompetent person på företaget. Dessutom är arbetsveckan snart slut och det finns inte många kvar som det går att stämma av med. Betalningen verkställs och medarbetaren ser fram emot en skön helg med en god känsla i magen. Samtidigt har ännu en attack via mail slutat i en framgång för hackarna.

Rik rekommenderar att företagen har rutiner som gör att minst två personer måste godkänna och verkställa en betalning. Han avslöjar att denna typ av bedrägerier omfattar inte mindre än 12,5 miljarder dollar globalt per år. Det är ett svindlande belopp och detta är bara en kategori av alla olika typer av cyberkriminalitet. En påminnelse om att vi alla behöver höja vår riskmedvetenhet, bland annat genom event som Xday.

Analys av mail-profiler

Ett sätt att komma till rätta med falska mail är att med hjälp av maskininlärning tolka och analysera olika mail-profiler. Då kan man identifiera om ett mail följer en persons sätt att använda mail utifrån språkbruk, storlek och tidpunkt med mera. Verktyget kallas Trend Micro Writing Style DNA och finns idag bland annat för engelska och japanska. Det utgår ifrån en så kallad Zero Trust Model.
Rik avslutar detta pass med att konstatera att de otroliga mängder som vi skapar idag kräver automatisering för att kunna analyseras och hanteras. Han säger att 90 % av allt data som mänskligheten har skapat sedan tidernas begynnelse är producerat de senaste två åren.

Vad vill Trend Micro?

IT-Finans fick möjligheten till ett exklusivt samtal med Ola Wittenby under en paus och vi frågade honom om vad han och hans team fokuserar på just nu.

”Vi är mitt uppe i en resa vars mål är att vi ska bli störst i Sverige år 2022. Under den resan vill vi vara en motor när det gäller att öka medvetenheten och kunskapen om IT-säkerhet på den svenska marknaden. Det gäller inte bara våra befintliga kunder utan vi vill bidra på ett större plan”, berättar han.

”Vi har som mål att hjälpa marknaden att skydda sig bättre i deras transformationsresa mot molnlösningar. Vi har därför tre fokusområden; Bättre skydda användaren, då främst cloudapplösningar och E-postlösningar, skydd av traditionellla datacenter och server-laster i molnet, att bättre förstå och att proaktivt skydda skadliga transaktioner i nätverket”, förklarar Ola.

Hur överlever vi ett Cyber Armageddon?

Simon Edwards, European Cyber Security Architect på Trend Micro, inledde sitt föredrag med att understryka det som Rik tidigare hade pratat om när det gäller vikten av att hålla sina system uppdaterade. När Wannacry slog till med full kraft slogs delar av sjukvården i London ut. Bland annat låg cancerbehandlingarna nere i två veckor i västra London. Orsaken var att de inte hade patchat röntgenapparater och annan utrustning samt sina system. De hade gjort bedömningen att de inte hade tid för detta.
Hur överlever vi då ett Cyber Armageddon frågade sig Simon. Han presenterade en strategi bestående av sex steg. Det första steget är att faktiskt acceptera att ett intrång kommer att ske det är bara frågan om när detta händer. Vad är det värsta som kan hända då? Är det att det har skett ett intrång eller är det att data försvinner ut från verksamheten?

Det andra steget är att veta vad man skyddar. Vilken information i systemen kan vara intressant att komma över för en inkräktare? Det tredje steget är att blockera intrång genom att använda verktyg som blockerar intrång fullt ut och lita på dem. Simon menar att vi, generellt sätt, inte använder den fulla potentialen i dessa verktyg. Han säger även att man ska segmentera sitt nätverk och ha interna spärrar mellan de olika blocken.
Det fjärde steget är att identifiera vilka delar av nätverket som inte är fullt skyddade. Automatisera så mycket som möjligt. Det femte steget handlar om att ha is i magen när ett intrång ändå sker. Innan man återställer sin IT-miljö och tar bort den skadliga koden ska man ta sig tid att ordentligt analysera vilket syfte och mål som intrånget har. Är det riktat mot något speciellt? Varför lyckades intrånget? Genom att göra den grundliga analysen skaffar man sig kunskap inför framtiden. När IT-miljön är återställd är det försent för en sådan analys.

Det sjätte och sista steget är att se till att ha en incidentplan som tydligt visar vem som ansvarar för de olika delarna. Den ska vara kommunicerad med all personal och övningar bör genomföras en gång i kvartalet, enligt Simon. Vem ansvarar för de etiska och moraliska besluten?

Under eftermiddagen fanns det två föredragsspår att välja mellan; Strategi eller Teknik.
Vi valde att följa strategispåret och fick då ta del av ännu ett mycket intressant föredrag av Rik Ferguson. Han uppmuntrade oss att ställa frågor och det hela övergick efter ett tag till en givande diskussion i plenum som leddes av Rik.

Han inledde med att ställa frågan om vem som kommer att bära det juridiska ansvaret i framtiden? Han gjorde en jämförelse mellan mjukvaruföretag och biltillverkare. Frågan var hur långt ansvaret sträcker sig för en mjukvarutillverkare som till exempel har en applikation som används vid ett datorhaveri eller ett intrångsförsök. Företagets kunder köper produkten och kan sedan själva sätta ett antal parametrar efter sitt eget behov. De kan också välja att inte köra in de patchar som leverantören skickar ut. Om systemet sedan kraschar är frågan hur stort ansvar som mjukvaruföretaget har. Denna frågeställning engagerade flera av åhörarna. Rik fortsatte med att jämföra med bilindustrin och de självkörande fordon som är en del av vår framtid. Här finns det gott om moraliska och etiska dilemman för de programmerare som skriver koden som styr fordonet. I ett tänkt scenario kan ett fordon hamna i en situation där det tvingas att välja mellan att svänga åt ena hållet och då köra på två personer eller svänga åt andra hållet och därmed köra på fem personer. Vem ansvarar för det valet?

Rik avslutar med att konstatera att vi faktiskt har börjat att lägga ut de etiska och moraliska besluten på Artificiell Intelligens. Vi får säkert anledning till att återkomma till dessa svåra frågor.
En väldigt intressant och fullspäckad dag avslutades med ett trevligt mingel.
Här kan du även läsa om: seminarium med temat ”Cybersäkerhet i vardagen”