Vind endpointet TILBAGE

Transkript

1 Whitepaper Vind endpointet TILBAGE Be Ready for What s Next.

2 INDHOLD Den voksende trussel fra malware... 4 Hvorfor er endpointet et mål?... 5 Hvordan angriber cyberkriminelle endpointet?... 7 Beskyttelse af endpointet mod cyberkriminalitet... 9 Eksempel - Er dit system beskyttet?... 11

3 Vi erklærer krig ved endpointet I løbet af tre dage i slutningen af 2009 fik cyberkriminelle fat i bankoplysninger, brugernavn og adgangskode på Hillary Machinery, Inc. i Plano, Texas, USA, og udførte over 45 særskilte transaktioner til over 40 forskellige betalingsmodtagere. Virksomheden mistede dollars. Det lykkedes Hillary Machinery at få nogle af de tabte penge igen, men der manglede dollars plus advokatsalærer og retsgebyrer, og der blev ført retssag mellem virksomheden og banken. Virksomhedens ejer Troy Owen udtaler: Tabet betød ikke, at vi måtte dreje nøglen om, men det betød, at vi måtte udskyde vores planer for vækst i virksomheden. Hver dag kan man læse i aviserne om virksomheder, der angribes af cyberkriminelle. Der sker hele tiden brud på datasikkerheden. Trojanere rettet mod banker stjæler bankoplysninger til online-banker med enorme økonomiske tab til følge. I 2010 udførte CSO Magazine undersøgelsen Cyber Security Watch Survey. Chefredaktør Bill Brenner udtaler: Selv de virksomheder, der gør en stor indsats for at beskytte deres data, indrømmer, at det er næsten umuligt at holde trit med forbryderne. Det er en åben krig, en krig mod cyberkriminelle, der kun har ét mål for øje - at tjene penge. I dag er cyberkriminelle konstant på jagt efter data, der nemt kan konverteres til profit, eller oplysninger, de kan bruge til at overføre penge direkte fra virksomhedernes kasser. Ifølge SANS.ORGs rapport The Top Cyber Security Risks er antallet af angreb nu så stort og de kriminelle så avancerede, at mange organisationer har problemer med at finde ud af, hvilke trusler og svagheder, der udgør den største risiko, og hvordan ressourcerne skal fordeles for at sikre, at de mest sandsynlige og mest skadelige angreb håndteres først. Den måde, it-afdelingerne bruger penge på sikkerhed i dag, betyder, at mange overser det primære mål for angreb endpointet. Endpointet brugerens stationære computer, laptop eller mobile enhed er det vigtigste mål for cyberkriminelle i dag. Endpointsystemerne er blevet mere mobile, hvilket betyder, at den traditionelle it-perimeter ikke effektivt kan levere sikkerhed på det rigtige niveau til erhvervsbrugere og deres udstyr. Ifølge IDC er endpoint... løsninger nu den primære forsvarslinje. I denne artikel behandler vi den stigende trussel fra malware, hvordan cyberkriminelle angriber endpointet, og hvordan du kan beskytte dine endpoints mod disse skadelige aktiviteter. 3

4 Den voksende trussel fra malware Kaspersky Labs har 25 års erfaring i at beskytte virksomheder mod trusler fra internettet, og vi har set en eksplosiv stigning i malwaretrusler på internettet i dag. Tallene er frygtindgydende. Der opdages over nye trusler hver dag i alt over 3,4 millioner i Der frigives over nye malwaresignaturer hver dag til beskyttelse mod de seneste angreb. På én særlig travl dag oprettede Kaspersky signaturer til bekæmpelse af de mange trusler, som blev frigivet den dag. Udover traditionel beskyttelse af arbejdsstationer og servere er der oprettet over mobile malwaresignaturer til beskyttelse af intelligente mobile enheder mod disse trusler. Vind endpointet tilbage 1 Og tendensen fortsætter i 2010: I første kvartal af 2010 var der over 327 millioner forsøg på at inficere computere hos brugere over hele verden, hvilket er en stigning på 26,8 % i forhold til kvartalet før. I første kvartal af 2010 blev der desuden registreret over 119 millioner servere inficeret med malware. Af disse fandtes 27,57 % i USA, 22,59 % i Rusland og blot 12,84 % i Kina. Det samlede antal infektioner rettet mod huller i browsere og plugin samt pdf-visningsprogrammer voksede med 21,3 %, hvor knap halvdelen var rettet mod huller i Adobes programmer. En hvidbog udgivet af RSA for nylig om cyberkriminalitet afslører, at 88 % af virksomhederne på Fortune 500 har pc er inficeret med trojanere i deres miljøer. Ifølge Uri Rivner hos RSA er disse trojanere travlt beskæftiget med at flytte terabyte af virksomhedernes data til ubemærkede nedkastningszoner fordelt i Dark Cloud i cyberkriminalitetens infrastruktur. Det passer med de data, som blev rapporteret af CNET News i oktober 2009, som angav, at 63 % af mellemstore organisationer oplevede en stigning i antallet af cybertrusler i Ifølge denne artikel mener 71 % af mellemstore amerikanske virksomheder, at et alvorligt brud ville kunne betyde, at de måtte lukke og slukke. Denne chokerende afsløring tydeliggør fokus for cyberkriminaliteten i dag at tjene penge. Ifølge FBIs Internet Crime Complaint Center er rapporteringen af cyberkriminalitet steget med 22,3 % i 2009, men de rapporterede tab som følge af cyberkriminalitet er mere end fordoblet fra 265 millioner dollars til over 560 millioner dollars det samme år. Og disse tal repræsenterer kun de angreb, der er anmeldt. Eftersom langt størstedelen af angrebene ikke bliver anmeldt, er antallet af angreb og de økonomiske tab i virkeligheden langt højere. Udover mere ondskabsfulde angrebsmetoder, der medfører, at der stjæles flere penge pr. indtrængen, så har de cyberkriminelle ikke kun store virksomheder som mål. Små virksomheder, lokale myndigheder og uddannelsesinstitutioner angribes specifikt af cyberkriminelle, fordi de ofte halter bagud, når det gælder køb af sikkerhed og antivirusbeskyttelse. Mellemstore virksomheder i USA tabte i millioner dollars som følge af falske bankoverførsler. Selv Pentagon, som er en organisation, der investerer kraftigt i sikkerhed, blev offer for cyberkriminelle i 2009, hvilket medførte tab af terabyte af følsomme data, herunder data om den nye F35 Lighting II Joint Strike Fighter. Forsvarsministeriets mest følsomme data er gemt på computere, der ikke er koblet på internettet, men hackere fik adgang til disse ultrafølsomme data via endpoint-computere, der tilhørte tredjemandsleverandører, der var ansat til at designe og bygge kampflyene. 4

5 Hvorfor er endpointet et mål? Den voksende trussel fra malware er i dag fokuseret på ét mål - endpointet. Hvorfor? Hvorfor er cyberkriminelle blevet så interesserede i endpointet? Der er flere faktorer, som gør endpointet interessant for cyberkriminelle: Decentraliserede data. Dataene ligger ikke længere på mainframen. Virksomhedernes følsomme og fortrolige data oprettes, anvendes og gemmes løbende på den stationære computer, laptoppen og den intelligente mobile enhed. Adgang til disse enheder er ensbetydende med adgang til data, der har en potentielt høj økonomisk værdi. Nøglerne til kongeriget. Ved at lægge den rigtige trojaner på et endpointsystem får den cyberkriminelle adgang til både data og oplysninger om andre systemer i virksomheden - herunder online-bank og økonomisystemer. Millioner af dollars mistes hver dag som følge af falske overførsler fra virksomheders bankkonti ved brug af login-oplysninger, som stjæles af banktrojanere. Fuld kontrol. Dyb adgang på rodniveau på endpointet giver også cyberkriminelle adgang til alle de systemer og data, som slutbrugeren har adgang til. Den cyberkriminelle kan også gøre endpoint-computeren til en zombie, der er en del af et større botnet, hvor systemet bruges til at sprede malware til andre systemer. I sidste ende kan denne type adgang til endpointet give hackere mulighed for at læse indholdet i , IM-chat, internettrafik, enkelte tastetryk mm., hvilket giver mange muligheder for at udnytte endpointet. I dag er computerhackere ikke på jagt efter berømmelse. De søger adgang til endpointet, men forbliver skjult, så de kan stjæle data og penge, uden at brugeren opdager det. Der er flere faktorer, som gør endpointet til et let mål: Nem adgang. Efterhånden som netværkets perimeter er blevet mere løs, og slutbrugerne har fri adgang til internettet, så er endpointet blevet den nye perimeter og dermed også det nye mål for cyberkriminalitet. Mobile data. Virksomhedernes medarbejdere rejser dagligt verden rundt og opretter forbindelse til usikre netværk i lufthavne, på hoteller, hjemme og om bord på fly. Disse systemer ligger uden for virksomhedens perimeter og udgør en konstant trussel mod virksomhedens data, hvilket gør perimeteren endnu løsere og mere tilgængelig for cyberkriminalitet. Flere angrebsvektorer. Slutbrugere i dag bruger virksomhedens internet til både virksomhedens og private formål, hvilket giver den cyberkriminelle flere angrebsvektorer ind i endpointet. Virksomheders lovlige websteder bliver distributører af malware, og sociale medier er en legeplads for cyberkriminelle. Cyberkriminelle udnytter både personer og virksomheder, der deltager i sociale netværk på internettet for at holde kontakt med venner, familie, kunder, potentielle kunder og samarbejdspartnere. Personlig surf på internettet, datingsider, musiksider, videosider etc. er også vektorer, som cyberkriminelle bruger til at sprede malware til endpointet. Og så må vi ikke glemme den evige trussel, der er forbundet med . 5

6 Det ultimative mål er at lægge malware på endpointet. Igen ifølge RSA: Når først infektionen er udført, vil malwaren, som typisk er en trojaner, begynde at registrere al internetrelateret trafik, udføre keylogging, opfange samt adgangskoder gemt i browseren og meget mere. Trojaneren stopper ikke ved online-bankoplysninger og kreditkortdata: Den stjæler dine posteringer i sociale netværk, din lægejournal, din private chat, dine fortrolige breve og alt arbejdsrelateret indhold: oplysninger til interne systemer, sendt og modtaget , virksomhedens økonomiske resultater, følsomme kunderelaterede internet-formularer, du har udfyldt i CRM-systemer. Når en trojaner er installeret på et endpoint, kan den sprede sig i det skjulte og på mange måder blive særdeles profitabel. Det er ikke så mærkeligt, og det er ikke tilfældigt, at cyberkriminelle retter deres angreb mod endpointet. Uden den rigtige beskyttelse udgør virksomhedernes endpoint et let offer for angreb. 6

7 Hvordan angriber cyberkriminelle endpointet? Føler du dig sikker? Så kan du godt tro om. Perimetersikkerhed har vist sig at være uegnet til at beskytte de nyeste mål for cyberkriminalitet. Ifølge Uri Rivner hos RSA, så.. er slagmarken under forandring. Det er medarbejderne, ikke netværket, der er i frontlinjen nu. Lad os se på, hvordan cyberkriminelle angriber endpointet i dag. Tidligere var operativsystemet især Microsoft Windows et paradis for hackere. Efterhånden som operativsystemerne er blevet gradvist mere sikre, så er applikationer fra tredjemand på klientsiden på endpointet blevet en populær angrebsvektor for cyberkriminelle. Brugeren downloader programmer som WinZip, Realplayer, Quicktime, Adobe PDF og plugin til browsere (ActiveX-kontroller, videokodekser etc.) uden at tænke over, at disse programmer skal vedligeholdes. Disse udokumenterede og ustyrede programmer, som er fulde af huller, bliver sjældent repareret eller opdateret. It-afdelingerne ved som regel ikke, hvilke versioner af disse programmer, der kører i deres miljøer, og de ved slet ikke, hvilke patchniveauer, der er installeret for disse programmer. Ifølge statistik fra Secunia PSI er kun 2 % af Windows-computere opdateret med patch. Det er gennem disse huller, cyberkriminelle får adgang til virksomhedernes endpoints og bruger malware til at gennemføre deres forbryderiske planer. Cyberkriminelle retter deres angreb mod endpointet i form af malware ved hjælp af et stort antal vektorer: Behovet for kommunikation. I dag indeholder 8 ud af 10 skadelig eller uønsket indhold. Ifølge Gartner voksede truslen via til det seksdobbelte i Disse trusler omfatter inficerede vedhæftede filer, links til phishing-sider og omstilling til servere hos tredjemand, som downloader malware. Gode websteder med dårligt indhold. Over 1,73 milliarder brugere svarende til 25 % af verdens befolkning, besøger over 234 millioner websteder i dag. Alene i 2009 kom der 47 millioner nye websteder på internettet. Cyberkriminelle bruger den voldsomme stigning i surfing på internettet til at sprede malware til intetanende brugere. To teknikker, SQL Injections og Cross-Site Scripting, repræsenterer 80 % af alle de huller på internettet, der udnyttes. Cyberkriminelle udnytter huller på internettet og anvender disse angrebsmetoder til at hacke sig ind på godkendte websteder ejet af virksomheder, hvor de planter skjult JavaScript, som downloader malware, når brugerne går ind på webstedet. Dette kaldes en drive-by-download, og brugerne inficeres med malware ved blot at besøge godkendte websteder, der er inficeret af en tredjemandsserver. Malware spredes ikke længere kun via spille- og pornosider. 77 % af de websteder, som indeholder skadeligt indhold, er helt legitime websteder, der er blevet inficeret af cyberkriminelle. Bevarelse af kontakt. Sociale medier bliver stadig mere populære blandt både private og virksomheder. Behovet for at bevare kontakten til samarbejdspartnere, kunder, potentielle kunder, familie og venner har betydet, at virksomhederne har åbnet perimetersikkerheden for en meget usikker form for massekommunikation. Facebook, LinkedIn, Twitter og MySpace er de største sociale mediesites, som virksomhederne tillader deres medarbejdere at bruge hver dag til både personlige og arbejdsmæssige formål. 7

8 Cyberkriminelle retter deres angreb mod den hurtigt voksende brug af sociale medier for at tjene penge og sprede malware til den stationære computer og virksomhedens netværk. De sociale medier udnytter to almindelige menneskelige egenskaber: tillid og nysgerrighed. Tillidsfaktoren kommer i spil, da man inviterer de personer, man kender og stoler på. Derfor er det indhold, de sender, ok. Nysgerrigheden driver vores ønske om at klikke på ting. Den gennemsnitlige bruger klikker på stort set alt. Problemet med dette er, at vi som regel ikke ved, hvor vi bliver ført hen, når vi klikker, eller hvilken skade, der kan ske, når vi åbner en fil, en webside eller et program. Disse to faktorer tilsammen betyder, at sociale medier er særdeles farlige. Frygt, usikkerhed og tvivl. Scareware og ransomware er en stadig mere almindelig metode til at narre penge fra intetanende og uerfarne brugere. Under et besøg på et websted vises en popup-meddelelser, som fortæller brugeren, at de er inficeret med malware. I meddelelsen tilbydes de beskyttelse ved at downloade falsk sikkerhedssoftware, der koster fra 30 til 60 dollars. Brugeren lokkes med beskyttelse. I virkeligheden har du mistet dine penge, og den software, du har downloadet, er malware og ikke et program, der beskytter dig mod malware. Scareware-kriminelle tjener en ugeløn der er tre gange så høj som virksomhedens administrerende direktør tjener på en uge. 8

9 Beskyttelse af endpointet mod cyberkriminalitet Truslen fra malware er vokset eksponentielt, men budgettet for it-sikkerhed er ikke øget tilsvarende. Men endnu værre, forbruget på beskyttelse af endpointet er ikke øget proportionelt med den egentlige trussel. Traditionelt har it-afdelinger fokuseret deres udgifter til sikkerhed på perimeteren firewalls, IDS, IPS, spamfiltre og URL-filtre. Disse er absolut nødvendige og en vigtig del af en beskyttelsesstrategi med flere lag, men de er ikke effektive til beskyttelse af endpointet mod malwareangreb fra flere angrebsvektorer. URL-filtre forhindrer, at medarbejderne besøger farlige websteder, men de beskytter ikke brugerne mod malware, der distribueres via drive-by-downloads på godkendte websteder. Firewalls er konfigureret, så brugerne har ubegrænset adgang til internettet. Ironisk nok så betyder det, at cyberkriminelle har direkte adgang til computeren. Beskyttelse af endpointet har længe været anset for en handelsvare, hvor prisen er den ultimative faktor, når beslutningerne træffes. Nogle virksomheder bruger endog gratis malwareprogrammer. Desværre, så er den malware, som følger med programmerne, også gratis. Da it-afdelingerne fokuserer på at beskytte perimeteren, bliver der ikke brugt mange kræfter på beskyttelse af antivirusprogrammerne. Nogle it-chefer kan ikke se den store forskel på de forskellige antivirusprodukter. Andre mener, at al antivirussoftware er elendigt, så de vælger det mindste af flere onder. Disse synspunkter er forståelige set i lyset af de katastrofale erfaringer, nogle kunder har haft, men de er langt fra sandheden. Faktisk er der en enorm forskel på, hvordan antivirusprogrammer finder og fjerner malware fra endpointet, hvilket er bevist i adskillige uafhængige test. Det er tid til at ændre denne indstilling og fokusere på både registrering og reaktion ved endpointet. Flere faktorer skal overvejes, når man vurderer beskyttelsesløsninger til endpointet: Samlet registreringsresultat: Hvor effektiv er leverandøren, når det gælder at registrere både kendt og ukendt malware. Førstnævnte anvender signaturbaseret analyse, og registrering af sidstnævnte er baseret på heuristisk eller regelbaseret analyse. Leverandøren skal kunne registrere flest mulige malwaretyper: Trojanere, virus, rootkit mm. Høje scorer for én type registrering og lave scorer for en anden type medfører, at beskyttelsen bliver ineffektiv. Holistisk beskyttelse: Malware kan komme ind på et endpoint på flere måder, og alle kvalitetsleverandører af malwareprogrammer skal kunne foretage effektiv blokering af alle trusselsvektorer til endpointet. Leverandøren skal også kunne beskytte systemet uanset dets fysiske placering og skal nemt kunne foretage tilpasning til ændrede placeringer, så der kan leveres større sikkerhed ved brug uden for virksomhedens netværksperimeter. Personlige firewalls, id, spamfiltre, antivirus, anti-phishing, beskyttelse mod malware på internettet mm. bør betragtes som afgørende i forbindelse med den samlede sikkerhedsstrategi for endpointet. Ydelse: Beskyttelsen gavner ikke alverden, hvis den forhindrer brugeren i at udføre sit arbejde. Bloatware, som antivirusprogrammer ofte kaldes, anvender systemressourcer i en grad, så medarbejderen ikke længere kan bruge systemet, før programmet er færdig med at scanne. Det er især vigtigt at anvende beskyttelse, der stort set ikke påvirker medarbejdernes produktivitet. Kan man få både beskyttelse og ydelse på én gang? Ja! 9

10 Administration: Administrationskonsollen til malwareprogrammerne er en meget vigtig del af billedet - og købsbeslutningen. En besværlig og ressourcekrævende administrationskonsol, der ikke er intuitiv, gør det vanskeligt at administrere sikkerheden, og den samlede sikkerhedsløsning vil blive forringet. Administrationen skal være enkel og brugervenlig, men opdelt og stærk nok til, at risiciene reduceres overalt i endpointet. Og den skal navnlig kunne foretage hurtig anvendelse og vedligeholdelse af de mange tilfælde af sikkerhed ved endpointet. Support: Ingen har tid til at vente i 45 minutter eller længere på at få hjælp, når der er et problem - og det bør ikke være nødvendigt. Før du køber et antivirusprogram, bør du teste supportcentret for at sikre, at de reagerer hurtigt og effektivt. Hvor hurtigt tager de telefonen? Hvor effektiv er teknikeren til at løse dit problem? Support bør ikke være besværlig. Det bør være et aktiv. Pris: Der er en grund til, at vi nævner denne kategori til sidst. Alle antivirusprogrammer har i dag konkurrencedygtige priser. Men funktionerne er ikke altid særlig konkurrencedygtige. Prisen er vigtig, men kun hvis du har fundet den sikkerhedssoftware, der giver den rigtige beskyttelse, ydelse og administration. Beskyttelse af endpointet bør ikke betragtes som et varekøb. Med den rette omhu vil du opnå det højeste niveau af registrering og fjernelse af trusler ved dine endpoints. 10

11 Eksempel - Er dit system beskyttet? Stephan er administrator hos Jackson Public School i Mississippi, USA. Han troede, at han havde den rigtige beskyttelse til at holde malware ude af sit netværk. Stephan havde ansvar for brugere og havde investeret stort for at sikre, at alle var beskyttet. Da problemer med ydelsen tvang dem til at skifte til Kaspersky, opdagede de, hvor dårlig sikkerheden i virkeligheden var. Under installationen af Kaspersky opdagede it-teamet, at der var omfattende infektioner af netværket: Der blev fundet virusinstallationer i endpointsystemerne Der blev fundet 43 forskellige trojanere Der blev fundet 56 forskellige vira Der blev fundet inficerede objekter i hele netværket Malwaren havde formeret sig ukontrolleret! Deres aktuelle malwareprogrammer registrerede og fjernede ikke malware. Den blev først opdaget, da de installerede en premiummalwarepakke, Kaspersky Lab. Dette infektionsniveau var helt uacceptabelt set i forhold til den investering, organisationen havde foretage for at beskytte sig mod netop denne risiko. Besværet og omkostningerne i forbindelse med fjernelse af al malware i deres systemer stod på i flere uger, før alle enheder var renset. Du tror måske, at du er beskyttet, men ved du det med sikkerhed? Hvem har adgang til dine data, uden at du ved det? Hvem har adgang til dine endpoints via den perimetersikkerhed, du har installeret? Blokerer dine nuværende malwareprogrammer mod malware, og beskytter de dit endpoint? Det er relevante spørgsmål, der kræver gode svar i et moderne digitalt miljø, som er fyldt med trusler. Det er tid til at erklære de cyberkriminelle krig - og frontlinjen går ved endpointet! I 2. del af denne artikel ser vi nærmere på 10 måder, it-afdelingerne tillader cyberkriminelle at stjæle data og oplysninger via adgang til endpointet. Der kræves en grundlæggende holdningsændring i itverdenen for at sikre, at cyberkriminaliteten kan kvæles, så endpointet - og brugeren - beskyttes. Du kan downloade 2. del af Kampen mod cyberkriminalitet på 11

12 Det er tid til at erklære de cyberkriminelle krig og frontlinjen går ved endpointet! Kaspersky Lab Automatikvej Soeborg (866) smbsales@kaspersky.com f5aa 12