Kostnadsfritt nyhetsbrev
Få den senaste uppdateringarna direkt i inkorgen.
En anledning till att angriparna lyckas komma åt stora it-leverantörer som Tietoevry är att it-miljöerna är tekniskt komplexa. Outsourcingföretag med många kunder samlade i samma it-infrastruktur skapar, förenklat, många angreppspunkter där infekterad kod snabbt kan spridas mellan samtliga kunder i outsourcingföretagets it-infrastruktur. Ett exempel är en nyligen genomförd it-attack mot ett datacenter som gick vägen via mjukvaran för kylsystemet. Eftersom kylsystemet använde datacentrets nätverk kunde intrånget ta sig den vägen till själva kärnan av it-infrastrukturen och sedan sprida sig vidare mellan kunderna i datacentret.
Dessutom är kundernas it-infrastruktur inte längre samlad i ett enda eget datacenter eller hos en outsourcingleverantör. Alltmer it-infrastruktur flyttas ut i så kallade edge-nätverk för att vara närmare de affärer och processer som tekniken stödjer. Eftersom den tekniken inte befinner sig i det egna datacentret eller hos outsourcingleverantören kommer edge-tekniken i stället att använda de nätverk som finns i närheten vilket minskar kontrollen och ökar risken för intrång. Till det måste även läggas det faktum att företag och organisationer i dag naturligtvis använder publika molntjänster där företagen helt måste lita på det säkerhetsarbete som molnleverantören erbjuder.
Så vad ska vi då göra för hantera angriparnas ökade förmågor och våra tekniska tillkortakommanden?
Till att börja med måste vi ha en nykter syn på it-attackerna. Det går inte att stoppa alla attacker. Vi behöver därför koncentrera oss på att upptäcka attackerna tidigt och kunna återstarta verksamheten så snabbt och smärtfritt som möjligt. Att ständigt analysera vad som händer i våra nätverk är ett sätt att både upptäcka attacker och att minska effekterna av dem.
Eftersom angriparna använder hybridattacker måste vi spela samma spel – hybridförsvar. Attacker som riktar uppmärksamhet åt ett håll genomförs ofta för att oupptäckt lyckas slinka igenom försvarsmurarna på andra ställen. Här krävs verktyg och processer för överblick och kontroll av våra datacenter och nätverk så att avledningsmanövrar eller volymattacker inte tröttar ut tekniken eller vår mänskliga uppmärksamhetsförmåga.
Varför ska en svensk vd kommunicera med en rysk server?
Slutligen gäller det att öka förmågan att identifiera och analysera avvikande beteenden. När ett ai-fingerat telefonsamtal från vd:ns barn gör att vd:n klickar på en länk med ransomware behöver kontrollsystemen hjälpa till och blockera det klicket — varför ska en svensk vd plötsligt kommunicera med en server i Ryssland eller Iran? Användarna behöver i situationer som denna automatiserat stöd som hjälper till att minska felen som vi människor gör.
Det säkerhetspolitiska läget kommer under överskådlig tid att innebära fortsatt stora utmaningar med it-attacker mot svenska företag och myndigheter. Att peka finger åt de som drabbas av intrång kommer inte att hjälpa någon utan vi behöver lära oss av våra misstag och investera i rätt tekniker, processer och säkerhetsteam för att på ett metodiskt och fungerande sätt ta oss an hoten mot vår gemensamma it-säkerhet.
Niclas Molander är Sverigechef på Netscout
Denna artikel var tidigare publicerad på tidningen telekomidag.se
publicerad 6 mars 2024
av
Niclas Molander, Sverigechef Netscout