1. Ransomware (Gisslanattacker)

Gisslanattacker ger angriparna störst vinst per insats med en ganska låg risk att åka fast, vilket är anledningen till att ransomware är det största hotet mot din organisation.

– Det är också en låg kunskapströskel för angriparna att ta sig över, säger Andy Rogers som arbetar som senior utredare på it-säkerhetsföretaget Schellman.

– Det finns gott om ransomware-as-a-service-tjänster (RaaS) som mer än villigt ser till att du som angripare får tillgång till de verktyg du behöver för att släppa loss en gisslankampanj.

Dessa ”tjänsteleverantörer” tar knappt någon risk eftersom de inte själva ligger bakom attackerna. ”Det är en rätt skön affär för dem”, säger Andy Rogers. Dessutom görs betalningarna med kryptovalutor som är svåra att spåra.

Gisslanattacker har blivit en av de mest lönsamma kriminella verksamheterna i världen på grund av ett hölje av anonymitet och stora pengar.

– Många av den senaste tidens högprofilerade leveranskedjeattacker, som attacken mot Colonial Pipeline under 2021, har varit gisslanattacker där hackarna krypterat hårddiskarna och krävt uppåt 4,4 miljoner dollar i kryptovaluta, säger Rogers.

Det bästa sättet att undvika att bli ett offer för gisslanattacker är att etablera tydliga rutiner och policys, speciellt att skapa uppmärksamhet bland medarbetarna, så kallad security awareness training. Rogers rekommenderar att ett system med månatliga uppdateringar av system och applikationer, såväl som segregering av sårbara system som inte kan uppdateras, från kritiska system och data.

– Se till att ta regelbundna säkerhetskopior av dina data och gör det på ett sådant sätt att de inte kan skrivas över av ett gisslanprogram, tillägger Rogers.

2. Zombie-botnät

Så kallade zombie-botnät skapas för att utföra specifika handlingar som ddos-attacker (distributed denial-of-service), inspelning av tangentbordstryckningar (keylogging) och spamattacker.

– Sådana hot är potentiellt katastrofala eftersom de kan användas för att stjäla inloggningsuppgifter eller för att få ett helt nätverk att gå på knäna med en enda attack, säger Eric McGee, senior nätverkstekniker på datacenter-företaget TRG Datacenters.

Varje dator i ett botnät kan beskrivas som en zombie på grund av det faktum att datorn, och dess användare, är omedvetna om att maskinen plikttroget och tanklöst utför skadliga handlingar. Smarta IoT-enheter är särskilt lockande måltavlor för dem som vill bygga botnät.

– Det är lätt hänt att glömma säkerheten för IoT-enheter, men sådana enheter är ofta det enklaste sättet en angripare kan få tillgång till ditt system, varnar McGee, och föreslår att det bästa sättet att skydda sig mot zombie-botnät på IoT-nätverk är att begränsa varje enhets möjlighet att öppna inkommande anrop och kräva starka lösenord för alla tillhörande konton.

3. Föråldrade processer och policys

Föråldrade och inrutade manuella processer och policys utgör en allvarlig, fastän självförvållad, risk för säkerheten.

– Antalet sårbarheter och utnyttjanden på uppgång ökar exponentiellt, säger Robert Smallwood, teknikchef på General Dynamics.

– Processer och policys för en organisation måste tillåta flexibilitet och snabbhet så att organisationen kan byta spår och skyndsamt svara på nya hot.

Organisationer som hamnat på efterkälken eller till och med helt försummat att modernisera och uppdatera sina processer löper risken att hamna i en teknisk skuldsituation som kan vidga nätverkets attackyta.

Enligt Smallwood fortsätter många stora företag att tampas med rigida och föråldrade policys samtidigt som de inte drar nytta av de automatiserade, hybrida och komplexa miljöer som utgör ett modernt nätverk.

– Många organisationer gör dessutom undantag i sina policys för äldre protokoll eller utrustning utan att lägga på tillräckliga skydd, vilket får till följd att man rundar skyddsåtgärder som multifaktorautentisering, tillägger Smallwood.

Kritiska processer bör regelbundet granskas som en del av de åtgärder man vidtar i en grundläggande förändringshantering.

– När man gör förändringar som påverkar nätverket måste de relaterade processerna och policys granskas, säger Smallwood.

För vissa organisationer kan det krävas en utvärdering av alla nätverksrelaterade processer.

– I sådana fall är det bäst att starta med din normala praxis för tjänstehantering inom it, såväl som alla processer som vilar tungt på manuella aktiviteter.

4. Man-i-mitten-attacker

En man-i-mitten-attack (man-in-the-middle, MTM) innebär att en tredje part oupptäckt genskjuter kommunikationen mellan två parter och avlyssnar eller förändrar den data som utväxlas i kommunikationen. Detta kan genomföras på flera sätt, till exempel genom att spoofa ip-adresser, använda en fientlig proxyserver, eller genom att avlyssna trafiken i trådlösa nätverk.

En MTM-attack kan vara ganska enkel, till exempel att snappa upp inloggningsuppgifter för att stjäla användarnamn och lösenord. På en högre nivå kan MTM-attacker nyttjas för att skapa ett sofistikerat svepskäl för att omdirigera offret till en falsk, men fullt realistisk, webbsajt som är skapad för att uppnå ett visst bedrägligt syfte.

I alla dess former kan en MTM-attack bli förödande. När inkräktaren väl är inne i nätverket kan den ta sig vidare, med början i en viss del av nätverket, för att sedan upptäcka sårbarheter som hjälper inkräktaren vidare till andra delar av nätverket.

– Eftersom angriparna loggar in med ”giltiga” inloggningsuppgifter är det ofta svårt att upptäcka intrånget, vilket ger dem tid att arbeta sig djupare in i nätverket, säger Benny Czarny, vd på OPSWAT, ett företag som specialiserat sig på att skydda nätverk för kritisk infrastruktur.

MTM-attacker förbises och underskattas ofta, säger Keatron Evans, senior it-säkerhetsforskare på Infosec Institute.

– Folk tror att detta hot kan fixas med kryptering av data under transport, men det adresserar bara en liten del av problemet, säger Evans.

En annan missuppfattning är att nätverksbaserade hot kommer på något magiskt sätt försvinna bara för att organisationen migrerar till molnet.

– Det är helt enkelt inte sant, varnar Evans.

– Var på alerten även om du migrerat till en molntjänst.

För att avvärja MTM-attacker rekommenderar Evans att lägga till portbaserad säkerhet med så kallad DHCP-snooping och DARP-inspektion (dynamic address resolution protocol) samt att uppgradera till IPv6 så fort som möjligt. Evans föreslår också att byta ut ARP, en av de vanligaste orsakerna bakom nätverksbaserade MTM-attacker, med ett nyare protokoll som kallas Neighbor Discovery Protocol (NDP).

5. Kompromettering av företagets e-post

Kompromettering av företagets e-post, på engelska Business Email Compromise (BEC), är ett allvarligt hot mot företag av alla storlekar, i alla branscher.

– Allt eftersom företagen i allt större utsträckning inför policys för villkorad tillgång, till exempel så kallad single-sign-on (SSO), växer BEC-bedrägerier i både räckvidd och ekonomiska konsekvenser, säger Jonathan Hencinski, chefsexpert inom detektion och gensvar av cyberhot på it-säkerhetsföretaget Expel.

Det ligger i sakens natur att BEC-attacker leder direkt till kompromettering av inloggningsuppgifter. Den typ av attack som är svårast att upptäcka är den där angriparen går in genom ”huvudentrén” med giltiga inloggningsuppgifter. Angriparna använder VPN och hostingtjänster för att runda policys för villkorad tillgång.

– Ett vanligt tillvägagångssätt för denna typ av attacker är att använda uttjänta protokoll för att runda multifaktorautentisering i Office 365. När en angripare väl fått tag på inloggningsuppgifterna och tagit sig in på nätverket kan denne få tillgång till kritiska kontrollsystem och känslig information över hela organisationen, säger Hencinski.

BEC-attacker kan drabba vilken organisation som helst, när som helst.

– Sedan 2019 har vi sett en 50-procentig ökning av utnyttjandet av VPN- och hostingtjänster för att få tillgång till komprometterade konton. Dessa tjänster låter angriparna runda policys för villkorad tillgång som genom ip-lokalisering nekar inloggningar från vissa länder, säger Hencinski.

Att detektera försök till BEC-attacker är en rättfram trestegsprocess.

– Det första steget är att inspektera e-post för att upptäcka och förhindra nätfiskeattacker som försöker stjäla inloggningsuppgifter från medarbetare, och att upptäcka när en angripare använder en medarbetares konto för att skicka nätfiskande e-post.

Det andra steget är övervakning av autentiseringen för att upptäcka användningen av stulna inloggningsuppgifter.

– Det tredje steget är övervakning av konton för att upptäcka typiska tecken på att ett konto övertagits, säger Hencinski.

6. För många verktyg

Att en organisation håller sig med en spretig uppsättning verktyg, där säkerhetsansvariga behöver hantera dussintals olika tekniska skyddssystem, kan bli en black om foten för målsättningen att göra organisationen mer motståndskraftig.

Den resulterande komplexiteten och bristen på enkel hantering av cybersäkerheten kan öppna för förödande attacker mot it-avdelningen och it-säkerheten, varnar Amit Bareket, vd och medgrundare på Perimeter81, ett tjänsteföretag inom nätverkssäkerhet.

Bareket pekar på en undersökning från Perimeter81 själva som visar att 71 procent av de tillfrågade CIO:erna och relaterade beslutsfattare anser att ett stort antal verktyg försvårar upptäckt av attacker eller möjligheten att motverka intrång.

Keith Mularski, cybersäkerhetschef på EY Consulting, säger att det bästa sättet att skydda sig mot alla slags cyberhot är att hålla sig till basal säkerhetspraxis.

– Isolera affärskritiska system och nätverk från internet och tillämpa en strikt kontroll över vem eller vad som har tillgång till dessa system, är det råd Mularski ger.

Mularski rekommenderar vidare att inte lita på någonting och att segmentera hela det operativa systemet.

– Se till att undvika underförstådd tillit – allt och alla som får tillgång till nätverket ska autentiseras, oavsett var de befinner sig, när i tiden det handlar om, eller vilka de är.

För att öka beredskapen föreslår Mularski också schemalagda simuleringar.

– Liksom en idrottsman vill du att ditt team ska träna upp muskelminnet och exekvera försvarsprocedurer snabbt och intuitivt när det sker en incident eller ett intrång.