Henrik Berggren är Cyber Security Expert på it-säkerhetsleverantören Logpoint.
Foto: Pressbild
Det var under långfredagen som det stora företaget Åbro Bryggeri upptäckte att man drabbats av ett så kallat ransomware-angrepp. Attacken mot bryggeriet fick företaget att åberopa force majeure gentemot sina kunder och fortfarande har Åbro inte kunnat gå igång med produktionen igen.
När attacken mot Åbro skedde exakt är oklart.
– Det går inte att uppge ett magiskt antal dagar för att upptäcka ”onormal aktivitet”. Enligt nya studier är den genomsnittliga uppehållstiden, det vill säga den tid som en angripare håller sig oupptäckt utan att bli utkastad, runt 200 dagar. Ju längre uppehållstid, desto mer och värdefullare data kan angriparna stjäla och manipulera. Det är därför viktigt att arbeta aktivt för att reducera uppehållstiden via robusta säkerhetsåtgärder, kontinuerlig övervakning och snabb "incident response", säger Henrik Berggren, Cyber Security Expert på it-säkerhetsleverantören Logpoint.
Att proaktivt leta tecken på cyberhot i företagets nätverk är det mest effektiva sättet att reducera en angripares tid, menar han.
– Målet med en threat hunting-strategi är att identifiera och neutralisera potentiella hot innan de orsakar skada i form av dataförlust eller liknande. Till skillnad från traditionella säkerhetsåtgärder som brandväggar och intrångdetekteringssystem som förlitar sig på reaktivt försvar, söker man med threat hunting aktivt efter anomalier och ovanlig aktivitet som kan indikera att det finns oinbjudna gäster i nätverket.
Större företag innebär större risk
Det är i princip omöjligt att säga hur stor risken för att drabbas av utpressningsvirus efter ett intrång är, säger Henrik Berggren.
– Generellt kan man säga att sannolikheten ökar om det utsatta företaget är stort, och äger mycket värdefull data. Har företaget dessutom redan utsatts för en ransomwareattack, kan de uppfattas som en enkel måltavla eftersom det tyder på att säkerheten är bristfällig eller att man har otillräcklig incidenthantering. Om intrånget blir allmänt känt kan det dessutom locka andra som vill utnyttja situationen och utforska samma sårbarheter. Det kan vara en stor utmaning att försvara sig mot attacker, men det finns sätt att minimera risken för att drabbas.
Han lyfter bland annat regelbundna backuper, att hålla mjukvaran uppdaterad och hålla koll på mejlsäkerheten. Att ha en plan för "incident response" är också viktigt.
– Förbered en plan, testa den regelbundet och se till att verksamheten är förberedd för att svara snabbt om en attack skulle ske. Att utföra regelbundna tester borde vara lika självklart som brandövningar.
Ska aldrig betala
Åbros vd Henrik Dunge säger att man inte tagit emot något krav från angriparna. En lösensumma ska man heller aldrig betala, menar Henrik Berggren.
– Det finns inga garantier för att man får dekrypteringsnycklarna om man betalar. Det är inte heller givet att man kommer att klara sig ifrån att bli utsatt på nytt. Dessutom uppmuntrar betalning till framtida attacker, och finansierar illegal aktivitet.