I dag vil man i dag også få skadelig kode fra udviklerne af det software, man bruger.
Henrik Kramselund, du er cybersikkerhedsekspert, hvad er særligt oppe i tiden lige nu, når vi taler sikkerhed og hacking?
Der bliver naturligvis snakket en del om AI, men det er frygteligt at høre på og IMHO ikke et relevant eller interessant emne. Vi har naturligvis brugt computerkraft til at sikre vores netværk, men det er ikke hverken nyt eller anderledes,
Det som er oppe i tiden lige nu, er at trusselsniveauet langt har oversteget skalaerne. Center for Cybersikkerhed kan ikke finde røde farver der illustrerer farerne godt nok, professionelle it-sikkerhedsfolk kan ikke følge med. Så der er en stor risiko for angreb og succesfulde angreb med et konstant pres.
Det betyder, at vi fra at have kontinuert overlappende sikkerhedshændelser så er konstante sikkerhedshændelser i mange parallelle spor.
Hvor man tidligere talte om supply chain sårbarheder undervejs i leverancerne, hvor hacker kunne indføje skadelig kode, vil man i dag også få skadelig kode fra udviklerne af det software, man bruger.
Det skyldes, at projekter sælges og købes af onde aktører, så en almindelig opgradering af et browserplugin eller et stykke software man tidligere har installeret, vil modtage opdateringer fra et firma som har købt sig adgang til en installeret brugerbase.
Jeg ser også fortsat et større pres på it-sikkerhedsprodukter, helt ned til de fysiske devices som firewalls og VPN gateways som bliver dissekeret og fundet alvorlige sårbarheder i.
Det drejer sig om næsten alle de større producenter af netværksudstyr, så der er al grund til at holde ekstra øje med infrastrukturerne.
Eksempelvis kan man følge de sager der bliver omtalt af it-sikkerhedsfolk på Mastodon https://cvecrowd.com/
Så mange sårbarheder, at en dansk virksomhed vil have svært ved overhovedet at vide om nogle af disse er relevante for virksomheden.
Det er blevet påpeget, at der i dag er så mange sårbarheder, at det næsten er umuligt at sikre systemer, hvad betyder det?
Antallet af kendte sårbarheder kan følges via CVE systemet, se eksempelvis https://cve.mitre.org/ og https://www.cvedetails.com/
Der kan man se udviklingen over tid.
Dags dato kan man eksempelvis på CVEdetails læse, at der er kommet 142 nye CVEer siden i går og 196 er opdateret, men over 30 dage er det rystende 3.200 nye og +6000 opdateringer.
Det er så mange sårbarheder, at en dansk virksomhed vil have svært ved overhovedet at vide om nogle af disse er relevante for virksomheden.
Har vi det software installeret, og hvor i hvilke versioner? Er disse versioner sårbare,? Bruger vi den sårbare funktion? Kan vi deaktivere noget funktionalitet (workaround) eller kan vi opdatere? Er der opdateringer?
Mange spørgsmål, som skal besvares og allesammen tager ressourcer.
Andre tænker slet ikke så meget på sikkerhed under udviklingen af software og det betyder, at der /er/ sårbarheder i software.
Hvorfor er der så mange sårbarheder, og hvad kan vi gøre?
Der er mange sårbarheder, fordi det er tæt på umuligt at producere perfekt software. Selv it-sikkerhedsbevidste eksperter laver fejl i software.
Min typiske reference er Wietse Venema, som engang udtalte at han formenligt lavede en sikkerhedsmæssigt relevant fejl for hver 1.000 linjer kode. Andre tænker slet ikke så meget på sikkerhed under udviklingen af software og det betyder, at der /er/ sårbarheder i software,
Det man kan gøre som udvikler er at benytte sikre udviklingsprocesser, der er mange forkortelser som Secure Development Lifecycle, men andre forkortelser som SDLC, SSDLC benyttes også. Kort opsummeret betyder disse at man tænker sikkerhed ind fra starten og igennem hele processen.
Det gør organisationer som OWASP, og to eksempler er:
https://owasp.org/www-project-integration-standards/writeups/owasp_in_sdlc/
https://owasp.org/www-project-web-security-testing-guide/
Den sidste er i version 4.2 en guide på 465 siders PDF! Det er således en masse viden som skal integreres i processerne med udvikling.
Fordelen er til gengæld, at kvaliteten af softwaren bliver bedre, så der er færre fejl generelt, bedre oppetid og formentlig et bedre design som giver bedre performance og skalerbarhed. Det giver værdi for virksomhederne.
Ser du nye tendenser i forhold til, hvem der arbejder med sikkerhed og hacking?
Jeg ser ikke så mange tendenser i hvem der arbejder med sikkerhed, men jeg synes, at der sker en højere grad af specialisering.
Dem som er indenfor et felt, vil fokusere mere snævert på deres valgte område. Det sker, som jeg ser det af nødvendighed, det er komplekst at følge med og der er mange nuancer. Til gengæld gør det, at vi måske har færre generalister med bred viden - det er svært at få et overblik hvis man ikke har absorberet det hen over mange år.
Selv er jeg glad for at have været med i mange år, og må selv smide flere emner væk, som jeg ikke kan følge med i grundet manglende tid i hverdagen.
Hvis det ikke kan opdateres og sikres, er det en latent trussel for hele virksomhedens overlevelse.
Kan man tale om et hacking-miljø og hvem er de?
Der er stadig hackermiljøer med dem, der bryder ind, eventuelt grundet de gamle årsager som interesse, sjov og aktivisme. Generelt vil jeg dog mene at truslerne i dag er skabt af professionelle hackere.
Det vil sige enten forbryderorganisationer, som forsøger at tjene penge eller statssponsorerede som ønsker fordele ved at overtage ressourcer i andre lande.
Der benyttes et væld af krumspring for at maskere, hvem det er som angriber, men der kommer gode historier ud jævnligt hvor organisationer identificerer angriberne.
Vi har svært ved at dæmme op overfor angriberne, da ressourcerne og kapaciteten er langt over hvad almindelige danske virksomheder har til rådighed.
Min bedste anbefaling bliver nok at se kritisk på infrastrukturer og begynde at begrænse brugen af it-systemerne.
Hvis et ældre it-system tjener lidt penge, men risikoen hvis der sker bare et indbrud i det overstiger værdien, så luk det selv med det samme. Hvis det ikke kan opdateres og sikres, er det en latent trussel for hele virksomhedens overlevelse.