Kæmpehacks sætter klassisk it-sikkerhed skakmat: »Ideen om en mur holder ikke«

Read the full article on Version2 here.

»Det bliver stadigt vigtigere at beskytte det bløde indre af et it-setup i en virksomhed. Virksomheder bør overveje, om deres it-sikkerhed er moderne nok, inden angribere overvejer det, lyder det fra eksperter.

Det rystede verden, da osmannerne tilbage i 1453 blæste hul i Konstantinopels dobbelte mure, der havde stået i 1.100 år. Med sine primitive, men massive kanoner viste sultan Mehmed konger og riddere verden over, at de ikke skulle vide sig for sikre i deres borge, der ellers havde fungeret som garanti for deres magt i århundreder.

På samme måde understreger de verdensomspændende hackerangreb, der har ramt bredt og hårdt de seneste måneder, at tiden er løbet fra de ydre forsvarsværker, der engang sikrede it systemer mod udefrakommende. Sådan lyder det fra en række it-sikkerhedseksperter, Ingeniørens it-medie Version2 har talt med.

<…>

Ledelsen skal overbevises

Kenneth Schwartz fortæller, at arbejdet med at sikre midler til it-forsvar trods alt er blevet nemmere de seneste par år.

Han bakkes op af Magnus Stubman, der lever af at teste virksomheders it-sikkerhed som såkaldt etisk hacker hos Improsec, inden de uetiske hackere gør det. Hans perspektiv er det tætteste, vi kommer på de ondsindede hackeres uden at høre det direkte fra dem.

Hackerens værste frygt

»Når jeg kommer ind i et system, er jeg nok mindst lige så bange som mine ‘ofre’,« siger Magnus Stubman, der fortæller, at han altid antager, at alt, han laver i det angrebne system, bliver set og bemærket. »Især er jeg bange for, at der er sat digital overvågning op på ting, der er helt normale. For eksempel hvis forsvareren har opsat alarmer på at læse ler fra et helt almindeligt netværksdrev lidt for hurtigt. Eller endnu værre: at der er sat honeyles op. Filer, der ligner noget værdifuldt for mig som hacker, men som i virkeligheden starter en alarm, hvis jeg tilgår dem,« siger Magnus Stubman.

Han fortæller også, at selvom det kan lyde simpelt at lave den slags indre it-forsvar med fælder og ntfølende alarmer, er det et stort arbejde.

»Den slags overvågning af – næsten – almindelig opførsel i en it-infrastruktur kan påvirke en virksomhed på mange måder, men det må ikke forstyrre dagligdagen for meget. Det kræver en del overskud at opsætte den slags fælder,« lyder det fra hackeren, der også kommer med et godt råd:

»Min bedste anbefaling er, at man antager, at alle medarbejdere er kompromitterede og ønsker at agere i virksomheden som hackere. For det er i praksis det, der sker, hvis en medarbejder går i en phishing-fælde eller på en anden måde kompromitteres. Det skal være dagligdag, at det sker, og det må ikke kunne påvirke driften for meget. Sørg eksempelvis for, at medarbejderne kun har adgang til det mest nødvendige, så skaden i første omgang er begrænset,« siger Magnus Stubman.