Ferguson om framtidens hot

– Under 2019 ser vi hur hoten fortsätter att utvecklas. Hot som har varit stora i tidigare, som ransomware, sjunker betydligt både i antal som släpps ut och i omfattningen som de upptäcks. Det tyder på att färre brottslingar sysslar med den här typen av verksamhet. Men det som däremot ökar är mer riktade och effektiva attacker mot organisationer, och där tar min i viss mån fortfarande hjälp av ransomware, säger Rik Ferguson, Vice President för Security Research på Trend Micro.

– Ett sådant är exempel är attacken på Norsk Hydro. Sådana attacker kallas ibland för fileless, fillösa, attacker. Ofta har den som attackerar undersökt sitt mål noggrant, och själva attacken kanske börjar med ett phishingmejl för att få tag i referenser och andra uppgifter. Väl inne börjar man utöka sina förmåner genom en fillös teknik som bland annat går ut på att tanka in script som är svåra att upptäcka. Dessa kan i sin tur starta skadliga verktyg, där ransomware kan vara ett sådant verktyg, även om det inte användes i fallet med Norsk Hydro. På så sätt använder man den befintliga mjukvaran och företagets verktyg, och försöker komma runt traditionella säkerhetsåtgärder. Vi måste därför börja titta mer på beteendet bakom de som utför attackerna, än vad vi har gjort historiskt.

Hur ser framtidens skydd ut?

– Framtidens skydd kommer att behöva innehålla delar från förr, utöver den nya teknik som utvecklas. Bara för att en ny teknik utvecklas betyder inte det att allt det gamla, goda arbetet ska kastas ut. Det finns naturligtvis fortfarande användning för exempelvis blacklisting, som är ett billigt och snabbt sätt att blockera kända och misstänkta ip-adresser, webbplatser, filer eller vad det än må vara. Däremot måste framtidens säkerhetslösningar anpassas till nya typer av tekniska innovationer och man måste tänka över hur man ska säkra upp exempelvis en containermiljö, en molntjänst, eller ett devops-arbetsflöde.

– Samtidigt måste man hålla sig uppdaterad på nya sorters attacker, där en fillös attack är en sådan typ. Hur skyddar man sig bäst mot en attack som inte skriver in något på ens diskar, till exempel. Vi bör fokusera på att skapa nya skyddslager, där vi behåller gammalt och tillför nytt. Det finns ingen silverkula här utan olika lösningar måste samarbeta, och där målet måste vara att de säkerhetslösningar som tar mest datorkraft att utföra, ska göras på så lite data som möjligt.

Hur skyddar vi IoT?

– IoT är ett bra exempel eftersom många av de som bygger IoT, eller de som bygger äldre saker som nu ska vara del i en uppkopplad infrastruktur, sällan har säkerhet på sin radar. När det handlar om nya prylar handlar det om att vara först på marknaden och ibland skapa nya marknader, och vara redo att fånga kunder. Säkerhet ses ofta som ett hinder och därför byggs ofta dessa saker med lite eller ingen hänsyn till säkerhet, och då handlar det om alltifrån autentisering och kryptering till om koden är testad för sårbarheter. När det handlar om äldre saker är de inte designade med säkerhet i åtanke från första början eftersom de inte var menade för en uppkopplad omgivning.

– Av den anledningen kokas mycket av det vi måste göra ner till regleringar och lagstiftning. Ta exemplet med laddningsbara batterier. Om de inte når upp till visa säkerhetsbestämmelser får man inte sälja dem. Vi behöver något liknande när det kommer till säkerheteten för våra uppkopplade saker, och inom EU håller man på att arbeta fram en sådan reglering i detta nu.

– Vi kommer fortfarande att ha ett arv av uppkopplade enheter som inte har genomgått den här typen av kontroller och som kommer finnas kvar i hem och på företag i flera år framöver, och därför behöver detta så småningom också behöva ses över, men det minsta vi kan göra är att se till att nya saker som introduceras, och saker som säljs, ska möta de minimikrav som tas fram. De flesta av oss vet inte ens vilka frågor som ska ställas när det handlar om att köpa en uppkopplad tvättmaskin, till exempel. Inte minst därför behövs dessa regleringar.

Från vilka länder kommer de största hoten?

– Det finns många länder som är grunden för vissa hot. Vissa delar är mer sant historiskt än nu, som exempelvis att Brasilien historiskt varit en hemvist för banking malware, i Kina har mycket av malware för Android-telefoner utvecklats, och både Ryssland och Ukraina är ökända för sina cyberattacker. Men det finns nätbrottslingar överallt. De drar nytta av verktyg som må ha en specifik hemvist i länderna vi pratar om här, men de korsbefruktas och utvecklas överallt i världen.

– Faktum är att det största problemet med att åtala brottslighet på nätet är tillskrivning, det vill säga svårigheten att bevisa vems fingrar som rörde sig på vilket tangentbord, men också att definiera vilket brott som begåtts, och inom gränsen för vilket land. Därför krävs det mycket samarbete länder emellan, och vi ser en del lyckade åtal, så det går.

– Självklart finns det också cyberattacker med mer direkta nationella anknytningar. Många attacker tillskrivs exempelvis Ryssland eller Nordkorea när det kommer till attacker mot nationer. Bekymret är att många av hackarna som sysslar med detta, gör det förment för sig själva av nationalistiska skäl, och då kan staten ta avstånd från det. Putin har exempelvis pratat om patriotiska ryssar som ligger bakom tidigare attacker, och kan på så sätt själv ta avstånd från det.

Hur ser du på den närmaste framtidens säkerhetsverktyg?

– Maskininlärning är ett sådant verktyg som redan har använts ett tag och som vi ser kommer att fortsätta att användas, på alla fronter om det så handlar om att upptäcka vd-mejl eller farliga filer. I framtiden kommer vi att se mer förfinad teknik på säkerhetslösningar vi redan ser idag. Den närmaste tiden handlar det om lösningar i industrin, som 5G, edge computing, containrar, IoT med mera. Där behöver industrin tänka hur deras säkerhet fungerar i dessa miljöer. Hur företag som Norsk Hydro, som i grund och botten tillverkar aluminium, kan se till att hela verksamheten genomsyras av säkerhet, till exempel.