Når sikkerhed bliver et kapløb

Den hastige udvikling inden for spredning af malware gør, at sikkerhed bliver et større og større issue i rigtigt mange virksomheder. De sikkerhedsforanstaltninger, der fungerede fint engang, er ikke længere tilstrækkelige, og virksomhederne bliver derfor nødt til løbende at opgradere deres løsninger. En del af baggrunden for, at det er blevet sværere og sværere at gardere sig imod malware, er, at hacking og malware i stigende grad styres og udføres af organiserede kriminelle.

- Hackerne sidder jo ikke stille, når de ved, at der er millioner af kroner at Sikkerhed er blevet et kapløb tjene. Efterhånden som sikkerheden bliver opgraderet, er hackerne jo også nødt til at opgradere deres angrebsmetoder. Det er et evigt kapløb. Præcis på samme måde som med fysisk tyveri. Hvis bankerne installerer nye tyverialarmer, så finder røverne bare en anden måde at komme ind på. Så længe der er et incitament til at bryde sikkerhedsforanstaltningerne, så skal lovbryderne nok finde hullerne, konstaterer Henrik Skovfoged, der er afdelingschef hos NetDesign.

Antivirus er død – længe leve antivirus.
I de gode gamle dage skulle man blot anvende antivirus på sin pc, og så var man godt beskyttet. Sådan er det desværre ikke længere.

- Malware-programmørerne laver hele tiden nye varianter af deres malware, så antivirus-leverandørerne har for det første problemer med at fange den nye variant – der vil altid gå lidt tid, inden de har opdateret deres pattern fil – og for det andet med, at pattern filen bliver for stor, fordi den konstant skal omfatte nye varianter af den samme virus, forklarer Henrik Skovfoged.

Ifølge www.shadowserver.org så fanger den bedste anti-virus omkring 98,7 % af al ny malware, og de dårligste fanger omkring 80 %. Den slags statistikker kan selvfølgelig altid diskuteres, men det er hævet over enhver diskussion, at antivirus ikke kan fange al ny malware (zero day malware).

Den udvikling har gjort, at mange i dag spørger sig selv, om de ikke lige så godt kan droppe et antivirus-program, når man nu kan konstatere, at det ikke længere er så effektivt, som det har været.

- Det mener vi helt bestemt ikke, man kan. Selvom man ”kun” fjerner 80 % af al ny malware, så er de 80 % trods alt meget bedre end 0 %. Man det betyder selvfølgelig, at man skal overveje prisen på sin antivirus-løsning, da den jo ikke længere giver 100 % sikkerhed, vurderer Henrik Skovfoged og understreger, at konsekvenserne ved et angreb kan være fatale.

Jamen vi har da en firewall!
En firewall vil grundlæggende kun tillade eller forbyde bestemte trafiktyper. Fx tillade alt webtrafik til en hjemmeside på internettet eller tillade mail fra internettet til virksomhedens mailserver. Nogle af de nyere firewalls kan også lave inspektion af selve trafikken for at sikre, at den lever op til bestemte standarder. Men det er de færreste firewalls, som også laver scanning af indholdet i f.eks. webtrafik, da det kræver høj performance.

- Malware kan spredes ved at besøge en hjemmeside, så den trafik vil jo være tilladt i firewallen, og derfor kan den ikke blokere for trafikken. Derudover spredes mere og mere malware via HTTPS, som er krypteret webtrafik, og derfor har firewallen ingen mulighed for at inspicere indholdet i de krypterede pakker. Og endeligt er det heller ikke al malware, der kommer via internettet. Noget kommer ind i netværket via andre kanaler som fx USB nøgler, Bluetooth eller andre eksterne enheder og kommunikationsprotokoller, pointerer Henrik Skovfoged.

NetDesigns metode
- Vores metode til bekæmpelse af malware består af flere forskellige komponenter. Hver af disse komponenter kan forbedre sikkerheden, men ingen af dem er 100 % sikre, fortæller Henrik Skovfoged om NetDesigns metode, der er opdelt i tre hovedgrupper – beskyttelse, overblik og udbedring:

NetDesigns sikkerhedsmetode
Beskyttelse
Der findes en lang række metoder til at beskytte sig mod malware. Disse er blandt andet:

IPS – se produktnyhed om IPS
Firewall med content filtering – se produktnyhed om ASA
Content scanning af mail og webtrafik
Antivirus-produkter til desktops

En kombination af disse produkter og services kan forbedre beskyttelsen mod malware, men ingen af dem er tilstrækkelige i sig selv.

Overblik
For at opdage inficerede endpoints er der behov for at kunne udtrække logs fra firewalls med content filtering eller fra de dedikerede content scanings-enheder. Eksempler på disse kan være Botnet filtering i Cisco ASA (se produktnyhed) eller IronPorts botnet statistik (Layer 4 Threat Monitor).

Udbedring
Inficerede endpoints skal selvfølgelig udbedres, repareres eller geninstalleres, og NAC kan også være en metode til at udbedre. Selvfølgelig er NAC også med til at give et overblik, da inficerede pc’er ikke vil blive tilladt på netværket og derved optræde i diverse logs. Men NAC kan også sende brugerne til systemer, som kan rense deres pc, fx med opdaterede antivirus-signaturer, specielle værktøjer til fjernelse af malware mm.

Læs mere om de seneste års udvikling inden for spredning af malware

Menu Sikkerhed-malware Når sikkerhed bliver et kapløb	Info Når sikkerhed bliver et kapløb Den hastige udvikling inden for spredning af malware gør, at sikkerhed bliver et større og større issue i rigtigt mange virksomheder. De sikkerhedsforanstaltninger, der fungerede fint engang, er ikke længere tilstrækkelige, og virksomhederne bliver derfor nødt til løbende at opgradere deres løsninger. En del af baggrunden for, at det er blevet sværere og sværere at gardere sig imod malware, er, at hacking og malware i stigende grad styres og udføres af organiserede kriminelle. - Hackerne sidder jo ikke stille, når de ved, at der er millioner af kroner at tjene. Efterhånden som sikkerheden bliver opgraderet, er hackerne jo også nødt til at opgradere deres angrebsmetoder. Det er et evigt kapløb. Præcis på samme måde som med fysisk tyveri. Hvis bankerne installerer nye tyverialarmer, så finder røverne bare en anden måde at komme ind på. Så længe der er et incitament til at bryde sikkerhedsforanstaltningerne, så skal lovbryderne nok finde hullerne, konstaterer Henrik Skovfoged, der er afdelingschef hos NetDesign. Antivirus er død – længe leve antivirus. I de gode gamle dage skulle man blot anvende antivirus på sin pc, og så var man godt beskyttet. Sådan er det desværre ikke længere. - Malware-programmørerne laver hele tiden nye varianter af deres malware, så antivirus-leverandørerne har for det første problemer med at fange den nye variant – der vil altid gå lidt tid, inden de har opdateret deres pattern fil – og for det andet med, at pattern filen bliver for stor, fordi den konstant skal omfatte nye varianter af den samme virus, forklarer Henrik Skovfoged. Ifølge www.shadowserver.org så fanger den bedste anti-virus omkring 98,7 % af al ny malware, og de dårligste fanger omkring 80 %. Den slags statistikker kan selvfølgelig altid diskuteres, men det er hævet over enhver diskussion, at antivirus ikke kan fange al ny malware (zero day malware). Den udvikling har gjort, at mange i dag spørger sig selv, om de ikke lige så godt kan droppe et antivirus-program, når man nu kan konstatere, at det ikke længere er så effektivt, som det har været. - Det mener vi helt bestemt ikke, man kan. Selvom man ”kun” fjerner 80 % af al ny malware, så er de 80 % trods alt meget bedre end 0 %. Man det betyder selvfølgelig, at man skal overveje prisen på sin antivirus-løsning, da den jo ikke længere giver 100 % sikkerhed, vurderer Henrik Skovfoged og understreger, at konsekvenserne ved et angreb kan være fatale. Jamen vi har da en firewall! En firewall vil grundlæggende kun tillade eller forbyde bestemte trafiktyper. Fx tillade alt webtrafik til en hjemmeside på internettet eller tillade mail fra internettet til virksomhedens mailserver. Nogle af de nyere firewalls kan også lave inspektion af selve trafikken for at sikre, at den lever op til bestemte standarder. Men det er de færreste firewalls, som også laver scanning af indholdet i f.eks. webtrafik, da det kræver høj performance. - Malware kan spredes ved at besøge en hjemmeside, så den trafik vil jo være tilladt i firewallen, og derfor kan den ikke blokere for trafikken. Derudover spredes mere og mere malware via HTTPS, som er krypteret webtrafik, og derfor har firewallen ingen mulighed for at inspicere indholdet i de krypterede pakker. Og endeligt er det heller ikke al malware, der kommer via internettet. Noget kommer ind i netværket via andre kanaler som fx USB nøgler, Bluetooth eller andre eksterne enheder og kommunikationsprotokoller, pointerer Henrik Skovfoged. NetDesigns metode - Vores metode til bekæmpelse af malware består af flere forskellige komponenter. Hver af disse komponenter kan forbedre sikkerheden, men ingen af dem er 100 % sikre, fortæller Henrik Skovfoged om NetDesigns metode, der er opdelt i tre hovedgrupper – beskyttelse, overblik og udbedring: Beskyttelse Der findes en lang række metoder til at beskytte sig mod malware. Disse er blandt andet: IPS – se produktnyhed om IPS Firewall med content filtering – se produktnyhed om ASA Content scanning af mail og webtrafik Antivirus-produkter til desktops En kombination af disse produkter og services kan forbedre beskyttelsen mod malware, men ingen af dem er tilstrækkelige i sig selv. Overblik For at opdage inficerede endpoints er der behov for at kunne udtrække logs fra firewalls med content filtering eller fra de dedikerede content scanings-enheder. Eksempler på disse kan være Botnet filtering i Cisco ASA (se produktnyhed) eller IronPorts botnet statistik (Layer 4 Threat Monitor). Udbedring Inficerede endpoints skal selvfølgelig udbedres, repareres eller geninstalleres, og NAC kan også være en metode til at udbedre. Selvfølgelig er NAC også med til at give et overblik, da inficerede pc’er ikke vil blive tilladt på netværket og derved optræde i diverse logs. Men NAC kan også sende brugerne til systemer, som kan rense deres pc, fx med opdaterede antivirus-signaturer, specielle værktøjer til fjernelse af malware mm. Læs mere om de seneste års udvikling inden for spredning af malware	Søg Avanceret søgning Hvad er MALWARE Malware er en sammentrækning af de engelske ord malicious software (på dansk: "ondsindet programkode"). Det bruges som en fællesbetegnelse for en række kategorier af computerprogrammer, der gør skadelige eller uønskede ting på de computere, de kører på. Malware dækker over kategorier og betegnelser som: computervirus, makrovirus, orm, adware, spyware, jokeware, ransomware, keylogger, dialer, trojansk hest og hoax. Kilde: Wikipedia Seneste Nyheder Sårbarheder i Cisco FWSM og ASA Aug 09, 2010 NetDesign høster fem priser på Ciscos partnertræf May 19, 2010 Årsregnskab 2009: NetDesign leverer rekordresultat May 11, 2010 Flere nyheder
Hovedkontor: Hørmarken 2 DK-3520 Farum Tlf. nr.: 4435 8000 CVR. nr.: 89928311 Regionskontor: Skejby Nordlandsvej 311 DK-8200 Århus N Tlf. nr.: 4435 8000

Mine værktøjer

Sektion

Når sikkerhed bliver et kapløb