Företag är alltid på jakt efter den senaste lösningen som kan skydda dem från cyberattacker.
Men, suget på nya lösningar till trots, så visar de analyser som F-Secures säkerhetsexperter genomfört att de flesta intrång beror på en av två saker. Och det har inget med nolldagarssårbarheter att göra. Tvärtom är det ett problem som får mycket mer uppmärksamhet än det förtjänar.
”Våra efterforskningar har visat att de flesta företag faller offer för attacker som antingen utnyttjar opatchad mjukvara med kända sårbarheter eller drar nytta av den mänskliga faktorn – till exempel genom att lura dem med phishingmejl”, säger Janne Kauhanen, cybersäkerhetsexpert på F-Secure. Det Kauhanen säger är att – i princip – alla andra säkerhetsinsatser är kompletterande åtgärder som snarare är tänkt att fånga attacker som inträffar på grund av de här två skälen. ”Och trots detta så är företag besatta av nolldagars-sårbarheter och de allra senaste inom attackmetoder, av sådant som i verkligheten är tämligen begränsade och obskyra problem.”
En ny säkerhetslucka upptäcks var 90:e minut*, och flera tusen sårbarheter upptäcks varje år. I genomsnitt tar det 103 dagar för en sårbarhet att åtgärdas.* Samtidigt visar analysföretaget Gartner att ”tiden det tar från det att en patch kommer ut till dess att det finns färdig kod som drar nytta av den underliggande säkerhetsluckan har krympt från 45 till 15 dagar under de senaste tio åren”.** Gartner noterar att ”i genomsnitt är det under samma period bara är omkring 0,4 procent av alla sårbarheter som utnyttjas på ”day zero” (utan att leverantören vet om problemet, att det inte finns något känt sätt att avhjälpa problemet)”.**
Det massiva WannaCry-utbrottet är det senaste i raden av exempel på hur en känd sårbarhet utnyttjas med enorma konsekvenser som följd. Utbrottet, som har infekterat maskiner i dussintals länder och påverkat ett stort antal olika branscher från kollektivtrafik och transport till hälso- och sjukvård, är baserat på den sårbarhet i Windows SMB-tjänst (Server Message Block) som beskrivs i MS17-010 och som patchades av Microsoft i mars. Spridningen av WannaCry-masken hade blivit betydligt mindre om fler maskiner hade hållits uppdaterade. Statistik från Radar, F-Secures verktyg för hantering av sårbarheter, visar att omkring 15 procent av alla hosts kör Windows SMB. Om något så är WannaCry åtminstone en effektiv, och dramatisk, påminnelse för alla IT-ansvariga om varför det är en bra idé att se till att SMB-protokollet är uppdaterat och inte ligger blottlagt på det öppna internet.
Du kan inte fixa det du inte känner till
”Det bästa sättet att hantera cyberhot är faktiskt att förutse dem genom att fixa sårbarheter innan de ens kan utnyttjas”, säger Jimmy Ruokolainen, Vice President, Product Management på F-Secure. ”Det betyder att man härdar hela organisationens attackyta. Men med sådant som ”skugg-IT”, externa aktörer som gör fel i konfigurationer och potentiellt sårbara partners så har de flesta företag överlag dålig koll på hur deras attackyta ser ut. Det är där F-Secure Radar når längre än andra lösningar, med vår unika funktion för att analysera hur nätverket är uppbyggt.”
Verktyg för hotanalys fungerar bra när det handlar om att hitta sårbarheter och sårbara system, åtminstone så länge de får tydliga instruktioner om var de ska leta. De fungerar inte lika bra om syftet är att upptäcka vilka system det är meningen att de ska analyser. Nätets uppbyggnad – hur olika servrar är kopplade till varandra och genom vilka noder de kommunicerar – analyseras av F-Secure Radar som sedan kan generera rapporter om en organisations överflödiga och daterade maskiner, sårbara och felkonfigurerade enheter. Den upptäcker exempelvis sådant som SMB-protokoll som står öppet mot internet.
F-Secure Radar är en nyckelfärdig plattform för genomsökning och hantering av sårbarheter. Den låter företag och organisationer upptäcka och hantera hot både inom det egna nätverket och hos externa partners, upptäcka risker och säkerställa regelefterlevnad både gällande nuvarande och kommande regelverk (exempelvis GDPR). Den möjliggör smidig hantering av såväl produktivitet som säkerhet med bland annat kontinuerlig monitorering av sårbarheter, automatisk schemaläggning av genomsökningar efter sårbarheter och ett system för tilldelning och prioritering av lösningar.
”Att dra nytta av kända sårbarheter är fortfarande den fundamentala orsaken till de flesta intrång”, säger Ruokolainen. ”Med F-Secure Radar kan företagets säkerhetsteam få ett oöverträffat åskådliggörande och ovärderliga insikter i de cybersäkerhetsrisker som föreligger så att de kan upptäcka dessa sårbarheter innan någon annan gör det.”