curve

Cybertruslernes ABC

Hvad er det, vi her i 2022 skal være særligt opmærksomme på i forbindelse med at sikre os digitalt – og hvordan kan virksomheder bedst imødekomme truslerne! Det europæiske agentur for cybersikkerhed, ENISA (EU Agency for Cybersecurity), udgiver hvert år en rapport, der skitserer det aktuelle trusselslandskab. Vi har bedt Christoffer Pedersen, Software Craftsman hos STRONGMINDS og specialist i sikkerhed, om at sætte truslerne i en lokal kontekst.

ENISAs ni kategorier (1)

  • Ransomware
    ’Ransom’ oversættes med løsepenge, hvilket er målet med dette angreb. ’Ransomware’ er software der inficerer og låser computeren. Det er en særlig del eller underkategori af ’malware’ (se næste punkt). Computer, systemer og data tages så at sige som gidsel og der afkræves løsepenge for at åbne computeren. ’Ransomware’ karakteriseres som den primære trussel for danske virksomheder i perioden 2020-2021.
  • Malware
    ’Malware’ er en sammentrækning af ’malicious software’ – dvs. ondsindet software. Det er en fællesbetegndelse for software der giver uautoriseret adgang til en computer eller et netværk og har til hensigt at gøre skade på de inficerede systemer eller lække data.
  • Cryptojacking
    ’Cryptojacking’ er sammensat af cryptocurrency (valuta) og highjacking, dvs ’kapring’. Aktørerne bag cryptojacking skaber adgang til computere, hvorfra de kører software, der miner kryptovaluta.
  • Trusler via e-mails
    Trusler der på forskellig vis lokker penge ud af modtageren gennem overtalelse eller ved at udnytte vaner eller gængs praksis. Det kan være de efterhånden velkendte ’du har arvet en masse penge fra en slægtning’ emails, eller emails maskeret som afsendere vi kender og ikke er på vagt overfor.
  • Trusler rettet mod data
    Denne kategori dækker over handlinger der resulterer i eksponering eller tab af data. Det kan være i form af målrettede angreb eller handlinger, gennem interne uheld eller lemfældig omgang med data.
  • Trusler mod tilgængelighed og integritet
    Virksomheder, med web-baserede ydelser og services er afhængige af, at deres brugere har adgang til deres tjenester. Truslerne i denne kategori dækker de forskellige måder, hvorpå man kan søge at ødelægge eller ryste webløsningers performance, troværdihed eller integritet. Mest kritisk er DDoS angreb (Distributed Denial of Service). Gennem koordineret, massiv trafik mod en server udmatter man ressourcerne, med svækkelse af perfomance, tab af data eller servicenedbrud til følge. ENISA beskriver denne trusselstype med en konsistent høj rangering i trusselslandskabet på grund af de mange faktiske hændelser og potentialet for at ramme med stor påvirkning.
  • Disinformation – misinformation
    Disinformation (på dansk ’desinformation’) er information som er produceret og distribueret med det bevidste formål at mislede eller vildlede. Vi kender det også under det nu velkendte begreb ’fake news’. Misinformation er den utilsigtede videreformidling af denne type information. Distribution af misledende informationer er et støt stigende problem på grund af den generelle stigning i brugen af sociale- og onlinemedier. En stigning der yderligere er accelereret under corona pandemien. Denne kategori er ny hos ENISA, der imidlertid vægter den højt. Der henvises til koordinerede kampagner af mis/disinformation, der underminerer virksomheders generelle tillid og troværdighed. Det er væsentlige og forretningsmæssigt kostbare værdier at få sat på spil for de fleste virksomheder. I rapporten nævnes bl.a. en kampagne af disinformation i kølvandet på fodboldspiller Christian Eriksens hjertestop. I et angreb på COVID-19 vacciner, blev disse kæde sammen med, og tilskrevet skylden for, at Eriksen faldt om .
  • Ikke-ondsigtede trusler
    Cybertrusler eller -angreb kan typisk betragtes som værende både målrettede og ondsigtede aktiviteter. – Ofte foranlediget af nogen med incitament til at gå efter et konkret mål. Truslerne i denne kategori er imidlertid ikke hverken ondsigtede eller med forsæt. De dækker over de trusler der ligger i uheld, menneskelige fejl eller tilfældige systemfejl. I 2020-2021 har der været en betragtelig stigning i ikke-ondsigtede hændelser, og i 2020 kunne flertallet af sikkerhedsbrud tilskrives menneskelige fejl. En stigning der forklares med corona-pandemien som multiplikator for menneskelige fejl og system miskonfigurationer.
  • Trusler på forsyningskæder
    Her angribes et svagt led i forsyningskæden og det fungerer ved en kombination af minimum to angreb. Først et angreb på en leverandør – derefter angribes et andet mål for at skaffe adgang til aktiver hos enten kunde eller andre leverandører. For at blive karakteriseret som et ’forsyningskæde angreb’ er såvel leverandør som kunde mål for angrebet (2).

Christoffer kan nikke genkendende til kategorierne i rapporten. ”Emnerne går igen mange steder, såsom ved CFCS (Centre for Cyber Security), FE (Forsvarets efterretningstjeneste), NCSC (National Cyber Security Center – Storbritaniens svar på FE), samt andre sikkerhedsfora”. Ser man isoleret på de danske agenturer har de selvfølgelig lidt mere fokus på de danske trusler. Det er min oplevelse, at vi i Danmark er mest optaget af ransomware og hvad de i rapporten kalder “ikke-ondsigtede trusler”. Det er de emner, jeg oftest ser dækket i artikler om cybersikkerhed”.

Netop de ikke-ondsigtede trusler, anbefaler Christoffer, at man er ekstra opmærksom på: ”I det hele taget er det medarbejderens adfærd, man skal have mest fokus på. Det er oftest dér, problemerne starter. – Og det gælder faktisk for de fleste trusler. Desværre er det også et af de steder, virksomheder typisk er dårligst til lægge, ikke bare deres fokus men også budget. Skulle det ske, at man kommer under angreb – f.eks et ransomware angreb – så er det vigtigt, at man har backup af både data og konfigurationer”.

Størrelsen på virksomhederne spiller også ind i håndteringen af trusselsberedskabet: ”Der er en del præventive metoder, der oftest bliver implementeret i de større virksomheder. Det kan være MFA (Multi-factor Authentication), Bruger/konti/rettigheds-styring, firewalls, vpn adgang til interne sider, begrænsninger på, hvilket software der kan køre, logning og kryptering af kommunikation.

Hos STRONGMINDS er det en af vores kernekompetencer at hjælpe virksomheder med at lægge deres IT sikkert ud i skyen. Migrering til cloud, kan imidlertid også give sikkerhedsproblemer: ”Dette sker oftest igennem miskonfigurationer, eller sikkerhedsforanstaltninger der ikke er sat op. Det kan være sletning af logs, der ikke er deaktiveret, eller hvis man ikke har påkrævet MFA. I øjeblikket er vi ved at sætte Guard Rails op, således at de automatisk bliver påført, hver gang vi laver en kundekonto. Det betyder, at vi altid sørger for, at best-practice indenfor cloud security bliver overholdt på kundernes AWS-konto”.

Christoffer peger endvidere på, at man i Danmark har iværksat et nyere tiltag kaldet ’D-mærket’. Det er en mærkningsordning, lavet med henblik på at sikre it-sikkerhed, data-håndtering, data-etik, osv. Det henvender sig til alle typer virksomheder og bidrager ved at guide virksomheder, og ved at tydeliggøre hvilke virksomheder, der udviser digital ansvarlighed. Kriterierne for D-mærket er ’baseret på anerkendte, internationale rammeværker fra europæiske og nationale råd, udvalg og arbejdsgrupper’(3)

Tendenser

Tager man et kig på tendenserne for de forskellige trusler, beretter ENISA(4) om en lang række trusler, der er direkte eller indirekte afledt af corona-pandemien. En anden overordnet tendens er en højere grad af professionalisering af angrebene. Dette ses både i forhold til økonomiske incitamenter og i mobiliseringen af cyber-angreb som forretningsmodeller i form af serviceydelser. De nedenstående er et udvalg af de tendenser ENISA beretter om:

  • I perioden 2020-2021 har man har set en stigning i raffinerede og effektfulde angreb på forsyningskæder. Særligt internetbaserede eller -faciliterede ydelser (Managed Service Providers) er værdifulde mål.
  • Corona pandemien skabte nye vilkår og muligheder for cyberkriminelle og var medvirkende faktor i en ny bølge af cyber spionage.
  • Øgede regeringstiltag blev iværksat for at dæmme op for statssponsorerede angreb. Generelt har man set en bedring i håndteringen fra offentlige institutioner – på såvel nationalt som internationalt niveau.
  • De cyberkriminelle er i stadigt højere grad motiveret af at skabe økonomisk profit på deres aktiviteter – gennem fx ransomware og cryptovaluta forbliver den mest gængse betalingsmetoder for trusselsaktørerne.
  • Cyber angreb er i stigende grad målrettet – og forvolder skade på – kritisk infrastruktur
  • De to mest typiske sikkerhedsbrister i forbindelse med ransomware inficeringer er phishing emails og ”brute-force på Remote Desktop Services (RDP)”. RDP står for ’Remote Desktop Protocol’. Det er en kommunikation, der lader en bruger oprette forbindelse til en anden, ekstern computer. Ved at bryde passwordbeskyttelsen (brute-force) tiltvinger cyberkriminelle sig adgang til netværk og systemer.
  • Der er et stigende fokus på forretningsmodeller inden for genren Ransomware as a Service (RaaS). To tredjedele af alle Ransomware-angreb blev iværksat som RaaS – dvs via tilgængelige services, der gør det muligt for relativt uerfarne aktører at gennemføre et Ransomware-angreb. Det ekstra led har tillige gjort det vanskeligere at pege på de egentlige trusselsaktører.
  • Andre eksempler på angreb inden for forretningsmodellen ’as a Service’, er Disinformation as a Service (DaaS) og Phishing as a Service (PhaaS). Førstnævnte med øget informationsbehov i forbindelse med Coraona pandemien som katalysator.
  • Over sommeren i 2021 så man en voldsom stigning inden for’ triple extortion ransomware’. ’Double extortion’ kendes ved at aktørerne ikke blot stjæler data hos virksomheder, men også truer med at offentliggøre dem. Denne nye tendens viser at der stilles krav om løsepenge hos en tredjepart – fx virksomhedens kunder eller leverandører.
  • Angreb via hjemmekontorer er i stigning. Coronapandemien sendte en stor del af arbejdsstyrken hjem fra virksomhedskontorer og i dag ser vi mange hybrid kontor modeller. Det har givet trusselsaktørerne en større bane at spille på, og stigende angreb på virksomheder gennem hjemmekontorer til følge.
  • Mængden af cryptojacking angreb nåede et rekordhøjt niveau i starten af 2021. Stigningen tillægges de økonomiske gevinster der associeres med denne type angreb. Der sker endvidere et skifte fra browserbaseret til filbaseret cryptojacking.
  • Aktiviteter omkring crypto mining nåede ligeledes et rekordhøjt niveau
  • Traditionelle DDoS angreb retter sig i stigende grad mod mobile netværk og Internet of Things (IoT).
  • Som tidligere beskrevet, toppede ’ikke-ondsigtede hændelser’ i 2020 og 2021. Med afsæt i corona pandemien og de nye arbejdsbetingelser med hjemmekontorer førte til en voldsom stigning af sikkerhedsbrud afledt af menneskelige fejl.

Udover de forskellige typer af trusler og hvilke tendenser, der tegner sig for samme, kommer rapporten også ind på hvilke aktører der står bag truslerne, angrebsteknikker og afværgeforanstaltninger.

Den fulde rapport kan hentes her https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021

Noter

1.  Lella, I. et al (2021). Enisa Threat Landscape 2021. Athens.: European Union Agency for Cybersecurity 
2. Lella, I. et al (2021). ENISA Threat Landscape for Supply for Supply Chain Attacks. Athens.: European Union Agency for Cybersecurity, side 6
3. https://d-maerket.dk/om/
4. Lella, I. et al (2021). ENISA Threat Landscape 2021. Athens.: European Union Agency for Cybersecurity, side 9