Någon gång runt 500 före Kristus skrev den kinesiske generalen och filosofen Sun Tzu: ”Om du känner din fiende och dig själv behöver du inte frukta utgången av hundra fältslag.” Detta gäller än i dag och i allra högsta grad inom it-säkerhet.
Med utgångspunkt från det här har vi pratat med tre experter. Vi frågade dem bland annat hur hoten förändrats på senare tid, hur de tror att hackers tänker nu för tiden och om det finns risk att vi skyddar fel saker i våra system.
Inte Lisbeth Salander
En av de personer vi intervjuade var Robin Blokker på Försvarets Radioanstalt, FRA. Han menar att det som främst utmärker en riktigt bra angripare är att han har ett helhetsperspektiv på säkerheten. För det är en han – någon Lisbeth Salander har i alla fall inte Robin Blokker stött på ännu.
Försvararen har däremot ett känt dilemma, att vara tvungen att försvara sig mot varje tänkbart angrepp. Angriparen däremot kan välja var, när och hur han ska rikta sin kraft mot målet.
– Det är bara att leta efter den svaga länken, den enda punkten där försvararen inte gjorde rätt. Och angriparen behöver inte hitta någon direkt eller praktisk väg. Den kan vara hur krånglig som helst, bara det går, säger Robin Blokker.
Enligt honom uppträder hackare på två olika sätt när de väl kommit in.
– Antingen är det smash-and-grab, det vill säga att försöka extrahera data väldigt fort. Eller, om angriparen inte försöker vara färdig inom ett fåtal minuter eller några timmar, då satsar han på ”maintain access” och ”secure access”, alltså att försöka bygga in sig så han kan vara kvar hur länge som helst. Då lägger han betydligt större resurser på att vara försiktig, säger Robin Blokker.
Två sorters angripare
Tina Lindgren på Combitech menar att det finns två typer av angripare: de som drivs av en önskan att tjäna pengar och de som drivs av en önskan att protestera.
– De som bara är ute efter att förstöra har det lättare. De kan göra en tjänstenekningsattack, eller förnedra eller ge offret dålig publicitet på något sätt.
– De som vill tjäna pengar däremot, de måste hitta något som är värt pengar. Båda grupper använder ofta samma tekniker och skannar av miljön i början, en ordentlig rekognosering och samlar in så mycket information som de kan. Sedan gör de en bedömning utifrån vad de vet om de svagheter som de har hittat eller kan hitta. Sedan tar man till olika lösningar beroende på vad man vill uppnå, säger Tina Lindgren på Combitech.
Hon är helt överens med Robin Blokker om att det bästa sättet att skydda sig mot en angripare är att tänka som en.
Blokker menar vidare att det är viktigt att utforma sitt skydd i flera lager, och de lagren får gärna vara oberoende av varandra.
– Så om ditt AD blir hackat och övertaget ska din nätverksinfrastruktur vara oberoende, och där ska du fortfarande ha ett visst mått av skydd och ett visst mått av spårbarhet.
– Även om du är domän-admin ska du inte kunna komma åt nätverksprylarna. Du ska också fortfarande lämna spår efter dig i sysloggarna från det.
Checklista räcker inte
– Jag tror också att du ska satsa på det jag kallar verifierade säkerhetsfunktioner, det vill säga att inte bara bockar av på en checklista. Du ska testa att du verkligen får den säkerhet du vill ha. Om du installerar en brandvarnare så ska du testa med att tända eld i din papperskorg, och då ska prylen börja tjuta. Om du aldrig tänder eld i din papperskorg så vet du inte om brandvarnaren funkar. Jag ser alldeles för lite av sådana kontroll-er, säger Robin Blokker.
– Min erfarenhet är att folk beställer säkerhet och sedan tror att det funkar. Man tar en checklista och implementerar säkerhet utifrån den. När de kryssat i alla rutorna och köpt in alla prylarna tror de att de är säkra. Men ingen bryr sig verkligen om att kolla om de verkligen får vad de vill ha. Där behöver vi förändra attityd.
– Problemet med checklistor är att de bara täcker det som alla redan är överens om att alla ska göra. De är sällan specifika för din verksamhet och bygger sällan på att någon verkligen tänker efter. Checklistor är egentligen bara papperssäkerhet. Det är något annat än verifierad säkerhet, säkerhet som verkligen existerar, säger Robin Blokker.
