Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

Nominerad till
Publishingpriset 2017

En smartare it-nyhetssajt

Nominerad till
Publishingpriset 2017

Containrar - ransomwares värsta fiende

Att använda containrar i utvecklingssyfte blir allt populärare, men principen bakom kan också vara nyckeln till ett lyckat skydd för all it.

Text Miguel Guerrero Foto Adobe Stock 20 april 2017 säkerhet

Malwareskaparna har länge haft ett försprång gentemot utvecklarna på säkerhetssidan som tvingats vara reaktiva och svara på varje attack istället för att vara proaktiva.

– Traditionellt har säkerhetsprogramvaror varit detekterande och någon har tvingats bli smittad för att man ska kunna upptäcka och skapa en metod för det nya hotet. Med containrar lyfter man bort risken från maskinen och skapar en låda där koden kan köras men inte skriva till systemet. Det innebär när man blir smittad så är det bara containern som infekteras, säger Anders Karlsson, säkerhetsexpert på Atea.

Än så länge har containerskyddet mestadels varit mjukvarubaserat men nu börjar det komma hårdvarumässiga lösningar. Fördelen med en mjukvarubaserad container är att den kan placeras på klienten vilket gör att skyddet finns var man än befinner sig geografiskt och digitalt. Än så länge bygger hårdvarulösningarna på att en särskild enhet placeras mellan brandväggen och klienten för att ge skyddet.

Olika system med likartat resultat

Just nu dominerar två system för containerskydd som även om de till synes verkar jobba på samma sätt har ett par fundamentala skillnader. Invincea, nyligen uppköpta av Sophos, har en lösning som ligger ovanpå operativsystemet och skyddar dig från alla skadliga sidor på nätet genom att kapsla in browsern i en container. Så fort du blivit smittad är det bara att döda containern och sätta igång en ny. Samma sak gäller pdf:er, office-dokument med mera.

– Invincea öppnar betrodda sajter i ett webbläsarfönster och allting annat i ett annat fönster. För användaren märks ingen större skillnad. Även om något tankas hem i bakgrunden och exekveras är det bara i containern det körs, säger Anders Karlsson.

Genom beteendeanalys görs en värdering om beteendet är normalt eller om något inte är som det ska. Beteendet färgkodas och visas på en skala så att man kan få en uppfattning om hur skadlig en åtgärd är.

En dold honungsfälla

För en hackare som bereder sig tillträde till systemet via exempelvis en trojan finns det i princip inga indikationer på att han eller hon endast befinner sig i en container.

– Det ser ut som om man har fullständiga rättigheter, men i själva verket skriver man bara i själva containern.

Skyddet gör det möjligt att köra gamla versioner av till exempel Java och Flash där man vet att det finns säkerhetshål men man inte kan byta allting på en gång.

– Eftersom det inte finns någon fara i att låta maskinen bli smittad behöver man inte stressa med att patcha utan man kan i lugn och ro testa patchen ordentligt innan man kör ut den skarpt.

Nackdelen med den här typen av lösning är förutom en viss prestandaförsämring att allting körs inom en enda stor container. En smittad hemsida kan alltså även smitta en wordfil sparad i containern. Dessutom försvinner allt inom containern när den rensas och stängs. Säkerhetsmässigt finns också en nackdel i att containern ligger ovanpå OS-lagret eftersom det innebär att en hackare som får systembehörighet även kan stänga av containern.

Ingen patentlösning för alla

Ett alternativ till Invincea är Bromium, ett företag som använder Intels VT-teknik för att skapa virtuella maskiner direkt i hårdvaran. Det ger ett bättre skydd även när hackare lyckas ta kontrollen över systemet.

– Till skillnad från Invincea där allt ligger ihop separerar Bromium containrarna. Varje flik är en egen container vilket gör att systemet påverkas mycket mindre. En fördel är att du enkelt till exempel kan köra .exe-filer för att testa en setup av något program som sedan bara körs i containern. Om det visar sig vara smittad programvara är det bara att döda containern. Nackdelen är självklart att det kräver den här typen av hårdvara och att det av prestandaskäl inte är anpassat för VDI-miljöer. Så det finns för- och nackdelar med båda typerna.

Det finns inga patentlösningar, men en bra containerlösning fångar upp 99 procent av all malware.

Anders Karlsson , säkerhetsexpert, Atea.

Nu ligger båda lösningarna på klienterna, men i framtiden tror Anders Karlsson att containerskyddet kommer att ligga på enheter i molnet.

– Då kommer man att köra allting där och det är bara en skärmbild som användaren ser eftersom ingenting exekveras i den egna maskinen. På så sätt får man inte prestandatappet. Idag finns till exempel Menlo som går åt Invinceahållet och Cyberinc som valt Bromiums väg, men de är relativt nya och har en bra bit kvar innan de är framme.

Anders Karlsson menar att även om det inte finns några patentlösningar är containrar ett mycket bra skydd i en tid när hoten ständigt skiftar i karaktär.

– Med en bra lösning fångar man upp 99 procent av all ransomware. Jämför det med kostnaden att återställa sin data. Med bra managering över containrarna är det enkelt för it-avdelningen att uppdatera mjukvaran och få en överblick över vilka burkar som drabbas mest och även vilka användare som drabbas mest.

Rekommenderad läsning

”Din mormor kan vara en hackare”

12 sep 2017 säkerhet

Ransomware och andra malware gör att säkerhet alltid är i fokus. Eric Howard, Cisco och Chung-wai Lee, Cisco Sverige, ger tips hur du skyddar dig och snabbast kommer tillbaka efter en attack.

Se upp för nytt ransomware

31 maj 2016 säkerhet

Just nu huserar en våg av ransomware. Allt fler luras av ett falskt mail från Telia som i själva verket är ett virus. Så här skyddar du dig. 

Ingen säkerhet utan branschstandard

3 jun 2016 säkerhet

Branschen måste gå ihop och jobba efter standarder, annars försvåras säkerhetsarbetet för kunderna. Det är budskapet från Christoffer Callender, SE manager för Norden och Baltikum på Intel Security.

Utbildning ger resultat mot ransomware

6 okt 2016 säkerhet

Ransomware och andra hot botas bäst med utbildning. Efter att Boliden införde korta lektioner agerar medarbetarna snabbt och rätt vid attacker.

Skydda dig mot digitala bedrägerier

12 dec 2016 Säkerhet

Id-kapningar ökar med cirka 15 procent i Sverige per år och alltifrån vd-bedrägerier, phishing och ransomware blir vanligare. Mest dramatiska utvecklingen finns dock kring köp med andra personers kreditkortsuppgifter - som ökar med 50-60 procent.
– Ha ditt kort spärrat mot internetköp och handla på sidor som erbjuder 3D-Secure, tipsar Jan Olsson, förundersökningsledare på Nationell bedrägericentrum på Polisen.

Nu sprids Spora och ransomworms

31 jan 2017 säkerhet

Så skyddar du dig mot det nya ransomwaret Spora och ransomworms. 2017 års attacker mot it-säkerhet blir allt mer komplexa och allt svårare att försvara sig mot. 

Cisco: Se upp för spam och höga kostnader

1 feb 2017 säkerhet

Ciscos årliga säkerhetsrapport har kommit och i år innehåller den mycket nytt. Bland annat kom det fram att 20 procent av företagen som blivit utsatta för intrång tappat kunder på grund av detta och 30 procent har förlorat intäkter.

Gratis hjälp mot ransomware

23 mar 2017 säkerhet

Finns det en framtid utan ransomware? Det hoppas Intel Security som tillsammans med samarbetspartners erbjuder gratis hjälp till drabbade i initiativet No more ransom.