Direkt från TechEd i New Orleans: Trender inom cyberbrottslighet 2010

Mer än ett av föredragen på TechEd 2010 tar upp problemet med cyberbrottslighet. Det är intressant att se att det inte bara är teknisk säkerhet, produkter och best practices som avhandlas utan också lite av verkligheten där ute. De hot och risker som är bakgrunden till allt vi jobbar med inom säkerhet. Vad är det som händer där ute just nu och varför är det så viktigt att tänka säkerhet hela vägen in till de tekniska lösningarna?

Två föredrag har varit fokuserade på cyberbrottslighet, dels gårdagens föredrag Trends in Cybercrime 2010, dels dagens föredrag Cybercrime: The Gathering Storm.

Är script kiddies fortfarande en trend?
Ska man tro gårdagens talare, Allyn Lynd från FBI och Kai Axford från Accretive Solution så är det fortfarande en trend att script kiddies och underåriga hackers vandaliserar Internet och intet ont anande privatpersoners identiteter. Jag betvivlar inte att så är fallet - dvs att denna kategori av hot är minst lika stort som tidigare. Att det dykt upp organiserad brottslighet betyder inte att hotet från script kiddies försvunnit, men huruvida det är en trend med script kiddies år 2010 har jag svårt att hålla med om. Nästan en timme av presentationen gick åt till att spela upp telefonavlyssningar och hänga ut Internet- och telefonvandaler med namn och bild - och det var först i slutet när det kom frågor från publiken som talarna berörde ämnet organiserad brottslighet. Detta när vi precis sett några av de största organiserade angreppen hittills på Google och flera andra större företag. Om detta eller andra aktuella och organiserade attacker nämndes ingenting alls, vilket gjorde både mig och många andra åhörare besvikna. Hade titeln på föredraget varit en annan hade innehållet verkat mer relevant. Men det var intressant att få höra en FBI-anställd berätta om hur man med hjälp av social engineering kan ta sig in i både FBI och de stora telefonbolagen.

Det största hotet mot dig är...du själv!
Dagens föredrag av Andy Malone gick mer in på vad cyberbrottslighet faktiskt handlar om - de ökande inslagen av ljusskygga hackernätverk med både individer och organisationer som arbetar tillsammans för vinnings skull. Det handlar om allt från nyfikenhet till nationellt intresse, från script kiddies till högst kompetenta specialister på hacking. Med den repertoaren på hotlistan är det lätt att drömma mardrömmar - men det största hotet mot dig är...du själv. I alla fall om man ska tro Andy. Fakta är att 15 % av Microsofts kunder inte patchar sina egna system. Och att om Facebook, där 400 miljoner personer frikostigt delar med sig av allt möjligt om sig själva, skulle vara ett av världens största länder om det var en nation. Har du koll på vad dina barn skriver om sig själva på Facebook - och är det rimligt att ha över 600 personer på sin vänlista. Personer som i normalfallet har tillgång till all personlig information i profilen. En parallell i företgsvärlden är ditt företags hemsida - hur mycket kan man lära sig om dig och ditt företag där? Andy demonstrerade flera intressanta verktyg som hämtar information från publika källor och extraherar och analyserar denna för att ta reda på sådant du inte trodde gick att få reda på. Ett exempel är FOCA, som (bland många andra funktioner) tar reda på vilka programvaror och versioner du använder internt, vilka personer som jobbar hos dig etc. med hjälp av metadata i de Word- och PDF-filer du publicerar på din hemsida.

Insiders är fortfarande en av de största riskerna
Trots att det talas och skrivs en hel del om organierad brottslighet, är det fortfarande insiderrelaterade brott som står för den största ekonomiska förusten. Oavsett om det är anställda drivna av missnöje - eller anställda som luras, mutas eller utsätts för utpressning. Alla dessa är insiders som står för majoriteten av den ekonomiska skada som många företag lider. Samtidigt satsas majoriteten av resurserna inom IT-säkerhet på extern hot. Även om vi (lyckligtvis) ser en begynnande trend inom rollbserad access, identitetshantering, federering, informationsskydd (DLP, data leakade prevention) etc. (det sista är min egen anmärkning). Mycket handlar dock om att inte få in fel personer i sin organisation från första början. Några av de exempel Andy tog upp involverade kandidater som sökte anställning på olika företag i akt och mening att stjäla information. De fick lön från två håll...

Hur hanterar vi riskerna?
Det finns flera sätt att hantera dessa risker på. Ett av de mest grundläggande är...att lära sig att hacka själv. Lär dig hur en hacker går till väga. Hur hackern tänker. Använd det i ditt arbete med IT- och informationsäkerhet. Använd samma verktyg som en hacker använder. Eller använd någon som besitter den kunskapen. Majoriteten av alla hackers kan inte själva skriva en rad kod utan använder färdiga verktyg för att hitta sårbarheter i dina system. Lär dig hur brandväggar verkligen fungerar. Lär dig att logga och lyssna på din IT-miljö. När något har hänt eller är på väg att hända är det för sent att börja lära sig.

Michael Westlund
Omegapoint Stockholm

0 kommentarer :: Direkt från TechEd i New Orleans: Trender inom cyberbrottslighet 2010

Skicka en kommentar