Nätets digitala detektiver går på offensiven

Det finns en skiljelinje mellan riktade attacker och “bruset av attacker”. Everdon Security arbetar med hantering av företagsspionage och därmed det förstnämnda - de riktade, avancerade attackerna där det står dokumenterade värden på spel. Emil Nordström är head of operations och medgrundare till Everdon Security, och de anställda har bakgrund från diverse olika branscher såsom kontraspionage, den privata säkerhetsindustrin, underrättelsebranschen samt poliskåren. Grundarna ansåg att det inte fanns bolag som kunde kombinera den fysiska säkerheten med it-säkerheten – glappet var för stort – vilket fortfarande är ett problem. Där kommer Everdon in. De har skapats för att lösa problematiken och anser sig ha bemanningen för att göra det.

– De riktade attackerna är i hög utsträckning fysiska i sin natur för att få access medan de använder IT för extraktion av data, säger Emil Nordström.

Det finns två relativt vanliga exempel på hur riktade attacker går till, menar Nordström. Det första är att man mutar, hotar, eller utpressar någon med access till lokalerna. Det kan vara en städare, elektriker, rörmokare eller dylikt. Man förser den personen med ett usb-minne med bugg eller en specialskriven trojan på - i syfte att få ut information digitalt från verksamheten.

– För att hantera ett sådant problem måste man använda både fysisk och digital säkerhet, vilket är en problematik i branschen för den är ofördelaktigt uppdelad. Fysisk säkerhet och digital säkerhet pratar för lite med varann.

Det andra inkluderar proximitetspasserkort, vilket är väldigt vanligt hos företag idag. Passerkorten är ett system som hanteras av fysisk säkerhet vilket man i det här fallet kan komma runt med en fysisk attack baserad på it. Man sätter upp ett fejkat affärsmöte med en person som har god access till lokalerna, ställer en portfölj nära den man möter och så gör man en presentation som drar ut på tiden. Portföljen innehåller en kortläsare som är kopplad till en sändarutrustning via en vanlig mobiltelefon eller dylikt. Nere i receptionen dyker ytterligare en person upp med en kortsimulator i handen som är kopplad till sändaren. Frågan ställs från portföljen till den man har mötet med på bolaget, varvid kortet svarar och informationen skickas till receptionen. Vips så har infiltratören i receptionen tillgång till hela kontoret.

– Här blir felet att passerkorsystemen ofta ligger under fysisk säkerhet och saknar teknik för intrångsdetektion vilket däremot är vanligt på IT-sidan. Den har ingen känsla för vart personen som jobbar där är och har ingen IDS-logik. Sen är det bara för brottslingen att introducera en trojan i en skrivare, få tillgång till alla viktiga dokument och inga brandväggar kan någonsin hjälpa en.

Hur ser en vanlig dag ut på Everdon Security?

– Det finns ingen vanlig dag, alla ser väldigt olika ut. Vi arbetar främst med tre saker. Vi hanterar motåtgärder när ett börsbolag blivit utsatta för industrispionage. Vi arbetar med detektivarbete, vilka har varit involverade? Vart har informationen tagit vägen? Och sist men inte minst arbetar vi med prevention - vi försöker förhindra att framtida attacker äger rum.

Förhindra kommande attacker gör Everdon genom strukturerad informationsplantering, som för en angripare ska se intressant ut. Dokumenten är konstruerade på ett sätt som gör att Everdon kan se om någon tar dem. Företaget kan också se om informationen i dokumenten får angriparen att agera på ett visst sätt. Det ger Emil Nordström och kompani ett tidigt varningstecken där de ser vem motparten är.

– Hela säkerhetsbranschen är idag ett försvarsspel, men det går inte att vinna på bara försvar. Det bästa man kan få till är 0-0, och det är ett av problemen med branschen så som den jobbar idag. Alla ligger alltid efter. Därför använder vi oss också av anfallsspel, det vill säga informationsplantering. Vi måste utnyttja fördelarna mot angriparna. De vet inte hur informationen de eftersöker ser ut, det är ju därför de söker den. Därmed kan de inte skilja på rätt och fel, och vi får ett informationsövertag.