March 22, 2017 |

Teknik ger företag en falsk känsla av säkerhet. Säger F-Secure Red Team

Pressmeddelande  •  Mar 22, 2017 10:06 CET Helsingfors, Finland – 22 mars, 2017: Angripare utnyttjar företag som lider av vad cybersäkerhetsexperter kallar ”en falsk känsla av trygghet” – de sätter för stor tilltro till tekniken och dess förmåga att skydda deras nätverk. Varningen kommer från en talesperson för F-Secures red team – en grupp cybersäkerhetsexperter som specialiserat […]

Pressmeddelande  •  Mar 22, 2017 10:06 CET

Helsingfors, Finland – 22 mars, 2017: Angripare utnyttjar företag som lider av vad cybersäkerhetsexperter kallar ”en falsk känsla av trygghet” – de sätter för stor tilltro till tekniken och dess förmåga att skydda deras nätverk. Varningen kommer från en talesperson för F-Secures red team – en grupp cybersäkerhetsexperter som specialiserat sig på att angripa organisationer för att lyfta fram styrkor och svagheter i deras skydd, med organisationens tillåtelse.

”Att använda teknologi för att lösa mänskliga problem fungerar inte, och alla som säger något annat kunde lika gärna sälja magiska bönor”, säger Tom Van de Wiele, säkerhetskonsult på F-Secure. ”Angrepp ute i verkligheten, särskilt från cyberbrottslingar, lever på att förfina subtila tricks inom social engineering om lurar människor till att släppa ner garden. Och att låta medarbetarna tro att säkerhetslösningar i toppklass kommer att ta hand om allt ingjuter en falsk känsla av säkerhet, vilket är något som angriparna idag mer eller mindre räknar med.”

Ute och (nät)fiskar

Nätfiske är ett typiskt exempel på sådant som enligt Van de Wiele är typexempel på teknik som inte hade funkat utan denna överdrivna tilltro till tekniken. Enligt PwC:s undersökning Global State of Information Security Survey 2017* så är nätfiske den vanligaste attackvektorn för cyberattacker mot finansinstitut under förra året. Och baserat på spridningen av ”phishing-as-a-service”-paket på dark net** så kommer de här attackerna att bli ännu vanligare fortsättningsvis.

”Du skulle inte tro vad folk klickar på när de jobbar. De är inte dumma, men de har släppt ner sin gard och förväntar sig inte att bli lurade, säger Vad de Wiele. Och onekligen är det så – simulerade nätfiske-attacker är framgångsrika när F-Secure genomför red team-övningar.

Ett färskt exempel från ett uppdrag: F-Secures red team-experter skickade ut ett falskt Linkedin-mejl för att se hur många av de anställda hos kunden som skulle klicka på en länk i ett mejl de inte bett om att få, och inte förväntade sig att få. 52 procent av medarbetarna klickade. I ett annat test skapade red team-experterna ett mejl med en länk till en falsk portal där medarbetarna behövde logga in med sitt nätverkslösenord. 26 procent följde länken. 13 procent skrev gladeligen in sitt användarnamn och sitt lösenord.

Inget är heligt

De Red Team-övningar som Van de Wiele och hans kollegor genomför innebär att man utför en serie test som tagits fram för att få fram en helhetsbild av vad företag gör rätt och fel när det gäller säkerhet. Testen utmanar företagen att upptäcka och begränsa spridningen av simulerade cyberattacker, samt testar deras förmåga att svara på dem. Attackerna kan vara utformade för att stjäla finansiell information och annan värdefull data, eller ta kontroll över centrala delar av företagets IT-infrastruktur.

Enligt Van de Wiele överraskas företagen ofta av dessa tester, att de blottlägger exakt hur sårbara de var. ”Bilden av det egna säkerhetsarbetet matchas sällan av de svagheter som angriparna i själva verket ser”, säger han. Testerna inbegriper samtliga attackvektorer på företaget – inte bara de digitala, egentligen allt som faller under företagets namn.

”Många företag blir förvånade när vi får tillgång till servrar som inte är uppkopplade mot publika nät, och många IT-säkerhetsansvariga är helt oförberedda för ett angrepp som går via fysisk tillgång till företagets lokaler. Och det är förvånansvärt enkelt att få: Allt du behöver är en skyddsväst och en arbetsorder. Skyddsvästar är bättre än Harry Potters osynlighetsmantel. Ta på den och du kan ta dig in överallt. Utan att någon undrar något.”

Med Red Team-övningar kan företag och organisationer:

  • Verifiera att deras säkerhetsinsatser fungerar och fungerar såsom det är tänkt
  • Mäta effekten av investeringar i cybersäkerhet
  • Få en överblick av hur effektivt skydd de har för affärskritisk information
  • Upptäcka problem med säkerhetsprocesser; om de behöver uppdateras, eller om det behövs ytterligare utbildning
  • Höja medvetenheten ute i organisationen
  • Säkerställa att säkerhetsmonitoreringen fungerar som den ska
  • Testa organisationens förmåga att upptäcka och begränsa en attack

*Källa: http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/financial-services-industry.html
**Källa: http://www.theregister.co.uk/2016/12/07/phishing_as_a_service/

 

Mer Information:
F-Secure Red Team-övningar
Film: Let us in. Keep them out.

Kontakt:
Adam Erlandsson
Cohn & Wolfe för F-Secure
adam.erlandsson@cohnwolfe.com
+46 735-18 24 80

 

Pressarkiv
Välj år

Senaste pressmeddelandena

March 6, 2020

IT-attacker och ransomware ett stort problem under hela 2019

En ny rapport från F-Secure visar att ransomware utgör ett allt större hot, men det finns anledning till att vara positiv.   Cyberbrottslingar fortsatte att stå för en uppsjö av attacker år 2019, sporrade av botnets på angripna IoT-enheter och angripares intresse för sårbarheten EternalBlue. I en ny rapport ”Attack Landscape H2 2019” från cybersäkerhetsleverantören […]

February 18, 2020

Ny rapport visar att internetanvändare är överväldigade av oro för ID-stöld

En rapport från F-Secure visar att konsumenter är mycket oroliga för ID-stölder, F-Secure lanserar ett kostnadsfritt verktyg som hjälper människor att hitta utsatta data En ny rapport från cybersäkerhetsleverantören F-Secure visar att en stadig ström av stora dataintrång har lett till att majoriteten av konsumenter är oroliga för online-brott som leder till identitetsstöld och kapning […]

December 18, 2019

Populärt trådlöst presentationssystem hackas under 60 sekunder

F-Secures säkerhetskonsulter varnar för att de enheter som vi litar blint på även är angriparnas favoritmål. Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt flera brister i ett populärt trådlöst presentationssystem, varav vissa kan utnyttjas på mindre än 60 sekunder. Angripare kan använda bristerna för att avlyssna och manipulera information under presentationer, stjäla lösenord och annan konfidentiell […]

December 13, 2019

Säkerhetsproblem hos smart lås lämnar dörrar öppna för angripare

Ett designfel som har upptäckts i smart låset, KeyWe Smart Lock, belyser den pågående kampen för att skapa enheter som är både smarta och säkra. Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt en designbrist hos ett smart lås, vilket angripare kan utnyttja för att enkelt få åtkomst till enheten. Låsets oförmåga att ta emot uppdateringar av […]

%d bloggers like this: