HVIS DE VIRKELIGT VIL – SLIPPER DE IGENNEM
Egentlig er det en ulige kamp: Kampen mellem hackerne og dem, der skal forsvare firmaets IT-systemer.
”Hackerne vinder før eller siden. Hvis de virkeligt vil ind, så slipper de igennem,” siger Brian Harris, der er IT-sikkerhedsekspert hos NCC Group.
”Dem der angriber, har en helt stribe værktøjer på hylden, som de kan bruge, og de behøver egentlig bare at prikke løs fra en ende af, indtil de finder et svagt sted i dit forsvar,” forklarer han.
Han har i mere end et årti arbejdet med IT-sikkerhed og hans nuværende job går netop ud på at finde huller i virksomheders IT-sikkerhed: ”Pentesting” eller ”Offensive Security”, som det hedder, når man tester, om man kan trænge igennem i virksomhedernes forsvar.
“Generelt bør man have rimelig godt styr på de her typer af angreb fordi de er så udbredte”
Brian Harris, IT-sikkerhedsekspert, NCC Group
Hackernes favorit-våben: Dit genbrugs-password
Men før Brian Harris giver et overblik over de vigtigste måder, du bliver angrebet på, så peger han på den største svaghed – på tværs af alle typer af brancher: Genbrug af passwords.
”Vi har alle stribevis af konti på nettet til alt muligt: Facebook, Microsoft, Instagram – og alle mulige sites, hvor vi lige har en brugerkonto. Listen er uendelig, og 99 pct. af os genbruger passwords på tværs af de mange konti,” forklarer Brian Harris.
På et tidspunkt vil et af de sites blive hacket, og så ligger tusindvis – hvis ikke millionvis af passwords pludseligt i hænderne på hackere. Hvis de ikke benytter dem selv, kan de tjene penge på at sælge listerne videre på den mørke del af nettet.
”Man kan hente flere terabytes med kombinationer af e-mailadresser og passwords og hackere, der vil angribe bestemte firmaer, behøver blot downloade filerne og så lede efter domænenavne på firmaer, de gerne vil angribe.” ”De går i øvrigt sjældent efter specifikke personer, men udnytter blot folk, hvis oplysninger de har fundet fra tidligere lækager.”
Ransomware – Hvor er min backup
Et af de våben som hackerne i stor stil har taget til sig de seneste år er Ransomware, hvor hackerne krypterer computere, hvis det lykkes dem at slippe ind.
”Det er helt afgørende, at virksomheder har en ’ransomwareplan’, for hvis du først bliver ramt, så er løsningen normalt at slette alt, og geninstallere fra bunden,” siger Brian Harris.
Her er det selvfølgelig altafgørende, at man har et backup-system, men også at den plan er gennemtestet, så man ved det virker. Det inkluderer bl.a., at man har et backup-system, der ligger off-site.
”Du drømmer ikke om, hvor ofte jeg har spurgt ind til firmaers backups som så viser sig at ligge på servere på samme netværk inde i huset, og så er man lige vidt.”
De mere avancerede ransomware-angreb går ikke i gang med det samme, men ligger i dvale et stykke tid, mens de breder sig til de mest basale dele af et IT-system og ikke mindst til backup-systemerne. Brian Harris ved godt, at han lyder som en, der sælger IT-sikkerhed, men ser ingen vej uden om:
”Det er ikke nok at have en backup. Det er også afgørende, at man får systemet testet, og at det bliver gjort af folk, der har indsigt i alle de ting, der kan gå galt, hvis man bliver angrebet.”
OWASP TOP-10
På OWASP.org finder du en oversigt over de ti mest udbredte typer af hacker-angreb.
DDOS – Har du råd til at blive lagt ned?
Det næste våben i hacker-arsenalet er et klassisk DDOS-angreb, som går ud på at overdænge servere med forespørgsler, så de til sidst ikke er i stand til at svare og går ned.
Den type angreb kan stort set bestilles med et par klik på den mere skumle del af nettet. Angrebet kan enten være fordelt over mange angribende maskiner, som – måske uvidende – lægger maskinkraft til et angreb. En anden variant går mere målrettet efter at lægge forespørgsler på en server, som kræver en masse regnekraft.
”Hvis jeg bruger søgefunktionen til at søge efter noget meget specifikt, skal den blot levere nogle få resultater. Men hvis man beder den om at levere alle tekster med et ”b”, skal sitet levere langt flere resultater.”
Det lyder uskyldigt, for hvad sker der egentlig, hvis jeres firma-hjemmeside er nede i et par timer? Men for en webbutik kan det betyde millioner i tabt omsætning, eller det kan betyde store administrative udgifter til at rydde op, hvis brugerne ikke kan benytte selvbetjeningsløsninger og begynder at skrive eller ringe til firmaet.
Brian Harris understreger, at løsningen ikke bare er altid at have luft til at modstå angrebet med en hel masse ekstra servere. Det vil være spild af ressourcer og nærmest umuligt. I stedet bør man rådføre sig med eksperter, der kan hjælpe med de rette værktøjer. Load-balancing, hvor trafikken fordeles ligeligt på servere, kan tage toppen af presset, men er der tale om et større angreb, skal man forsøge at sortere i trafikken.
”Det kan være nødvendigt at blokere for nogle IP-numre, men typisk er man nødt til at lade dem komme ind igen drypvist, for ikke at afvise legitime brugere,” forklarer Brian Harris.
Forsvar dig selv: De ti mest aktive angreb
Det varierer hele tiden hvilke typer af angreb, som er mest udbredt blandt hackere, og Brian Harris anbefaler, at man holder øje med udvikling på Wasp.org, hvor Top 10-listen giver overblik over, de mest aktive typer af angreb. Øverst på listen står ”Broken Access Control”, hvor et IT-system giver adgang til mere, end den enkelte bruger egentlig har rettigheder til. Det er et klassisk problem, som har været kendt i tyve år, men som stadig bliver udnyttet på forskellige systemer. \
Skriv en kommentar
This site uses Akismet to reduce spam. Learn how your comment data is processed.