Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Containrar - ransomwares värsta fiende

Att använda containrar i utvecklingssyfte blir allt populärare, men principen bakom kan också vara nyckeln till ett lyckat skydd för all it.

Text Miguel Guerrero Foto Adobe Stock 20 april 2017 säkerhet

ContainerSäkerhet_960x640.jpg

Malwareskaparna har länge haft ett försprång gentemot utvecklarna på säkerhetssidan som tvingats vara reaktiva och svara på varje attack istället för att vara proaktiva.

– Traditionellt har säkerhetsprogramvaror varit detekterande och någon har tvingats bli smittad för att man ska kunna upptäcka och skapa en metod för det nya hotet. Med containrar lyfter man bort risken från maskinen och skapar en låda där koden kan köras men inte skriva till systemet. Det innebär när man blir smittad så är det bara containern som infekteras, säger Anders Karlsson, säkerhetsexpert på Atea.

Än så länge har containerskyddet mestadels varit mjukvarubaserat men nu börjar det komma hårdvarumässiga lösningar. Fördelen med en mjukvarubaserad container är att den kan placeras på klienten vilket gör att skyddet finns var man än befinner sig geografiskt och digitalt. Än så länge bygger hårdvarulösningarna på att en särskild enhet placeras mellan brandväggen och klienten för att ge skyddet.

Olika system med likartat resultat

Just nu dominerar två system för containerskydd som även om de till synes verkar jobba på samma sätt har ett par fundamentala skillnader. Invincea, nyligen uppköpta av Sophos, har en lösning som ligger ovanpå operativsystemet och skyddar dig från alla skadliga sidor på nätet genom att kapsla in browsern i en container. Så fort du blivit smittad är det bara att döda containern och sätta igång en ny. Samma sak gäller pdf:er, office-dokument med mera.

– Invincea öppnar betrodda sajter i ett webbläsarfönster och allting annat i ett annat fönster. För användaren märks ingen större skillnad. Även om något tankas hem i bakgrunden och exekveras är det bara i containern det körs, säger Anders Karlsson.

Genom beteendeanalys görs en värdering om beteendet är normalt eller om något inte är som det ska. Beteendet färgkodas och visas på en skala så att man kan få en uppfattning om hur skadlig en åtgärd är.

En dold honungsfälla

För en hackare som bereder sig tillträde till systemet via exempelvis en trojan finns det i princip inga indikationer på att han eller hon endast befinner sig i en container.

– Det ser ut som om man har fullständiga rättigheter, men i själva verket skriver man bara i själva containern.

Skyddet gör det möjligt att köra gamla versioner av till exempel Java och Flash där man vet att det finns säkerhetshål men man inte kan byta allting på en gång.

– Eftersom det inte finns någon fara i att låta maskinen bli smittad behöver man inte stressa med att patcha utan man kan i lugn och ro testa patchen ordentligt innan man kör ut den skarpt.

Nackdelen med den här typen av lösning är förutom en viss prestandaförsämring att allting körs inom en enda stor container. En smittad hemsida kan alltså även smitta en wordfil sparad i containern. Dessutom försvinner allt inom containern när den rensas och stängs. Säkerhetsmässigt finns också en nackdel i att containern ligger ovanpå OS-lagret eftersom det innebär att en hackare som får systembehörighet även kan stänga av containern.

Ingen patentlösning för alla

Ett alternativ till Invincea är Bromium, ett företag som använder Intels VT-teknik för att skapa virtuella maskiner direkt i hårdvaran. Det ger ett bättre skydd även när hackare lyckas ta kontrollen över systemet.

– Till skillnad från Invincea där allt ligger ihop separerar Bromium containrarna. Varje flik är en egen container vilket gör att systemet påverkas mycket mindre. En fördel är att du enkelt till exempel kan köra .exe-filer för att testa en setup av något program som sedan bara körs i containern. Om det visar sig vara smittad programvara är det bara att döda containern. Nackdelen är självklart att det kräver den här typen av hårdvara och att det av prestandaskäl inte är anpassat för VDI-miljöer. Så det finns för- och nackdelar med båda typerna.

Det finns inga patentlösningar, men en bra containerlösning fångar upp 99 procent av all malware.

Anders Karlsson , säkerhetsexpert, Atea.

Nu ligger båda lösningarna på klienterna, men i framtiden tror Anders Karlsson att containerskyddet kommer att ligga på enheter i molnet.

– Då kommer man att köra allting där och det är bara en skärmbild som användaren ser eftersom ingenting exekveras i den egna maskinen. På så sätt får man inte prestandatappet. Idag finns till exempel Menlo som går åt Invinceahållet och Cyberinc som valt Bromiums väg, men de är relativt nya och har en bra bit kvar innan de är framme.

Anders Karlsson menar att även om det inte finns några patentlösningar är containrar ett mycket bra skydd i en tid när hoten ständigt skiftar i karaktär.

– Med en bra lösning fångar man upp 99 procent av all ransomware. Jämför det med kostnaden att återställa sin data. Med bra managering över containrarna är det enkelt för it-avdelningen att uppdatera mjukvaran och få en överblick över vilka burkar som drabbas mest och även vilka användare som drabbas mest.

Rekommenderad läsning

”Din mormor kan vara en hackare”

12 sep 2017 säkerhet

mormorhackingWEBB.jpg mormorhackingWEBB.jpg mormorhackingWEBB.jpg video

Ransomware och andra malware gör att säkerhet alltid är i fokus. Eric Howard, Cisco och Chung-wai Lee, Cisco Sverige, ger tips hur du skyddar dig och snabbast kommer tillbaka efter en attack.

Gandcrab 2.0 slår till

7 mar 2018 säkerhet

crab.jpg crab.jpg crab.jpg

Gisslanprogrammet Gandcrab har under den senaste månaden infekterat runt 53 000 datorer runt om i världen. Europol och Bitdefender tog fram en gratistjänst som skydd men nu slår hackarna tillbaka.

VGR säkrar med Cisco

31 jan 2018 säkerhet

sjuksköterska tittar imponderat på en sjukhusapparat.jpg sjuksköterska tittar imponderat på en sjukhusapparat.jpg sjuksköterska tittar imponderat på en sjukhusapparat.jpg video

Säkerhet för vården är livsviktig. För att trygga både dagens och framtidens it-miljö har VGR tecknat ett säkerhetsavtal med Cisco.

ComboJack tar dina kryptopengar

9 mar 2018 säkerhet

girl-sad-combojack-malware-960640.jpg girl-sad-combojack-malware-960640.jpg girl-sad-combojack-malware-960640.jpg

Den skadliga programvaran ComboJack lurar till sig kryptovaluta. Attackerna börjar med ett spammejl med en pdf-fil.

Kryptonappning sprider malware

13 feb 2018 säkerhet

monero-mynt.jpg monero-mynt.jpg monero-mynt.jpg

Mjukvaruprogram som tar över produktionen av en kryptovaluta har blivit den vanligaste formen av malware. Bara förra helgen drabbades över 4000 organisationer av en attack.

GRU hackade OS

27 feb 2018 säkerhet

Hannaöberg960640.jpg Hannaöberg960640.jpg Hannaöberg960640.jpg

Under OS i Pyeongchang hackade ryska spioner från GRU flera hundra datorer som användes av sydkoreanska myndigheter, hävdar amerikansk underrättelsetjänst.

Säkerhetsåret 2017

27 dec 2017 säkerhet

folk.jpg folk.jpg folk.jpg

Skandalen på Transportstyrelsen, allt mer GDPR-oro och ett exploderande antal ransomware-attacker - säkerhetsåret 2017 har varit intensivt. Och inget tyder på en avtrappning nästa år. Voister summerar 2017 och blickar framåt.

Attacker men inga rapporter

10 nov 2017 säkerhet

transportstyrelsen .jpg transportstyrelsen .jpg transportstyrelsen .jpg

Trots en myckenhet av ransomware och andra attacker så är det fortfarande få incidenter riktade mot myndigheter som rapporteras till MSB. Hittills i år har det rapporterats in 220 attacker mot totalt 244 myndigheter.

 

Malwaret Satori fortsätter hota

12 jan 2018 säkerhet

fint-hus-malware-satori.jpg fint-hus-malware-satori.jpg fint-hus-malware-satori.jpg

Det nya malwaret Satori upptäcktes i december efter att ha drabbat flera IoT-produkter för konsumenter. Nu har det framkommit att det egentligen finns tre olika varianter av viruset, vilket förutspås betyda att de kan bli ännu flera under 2018.