Colonial Pipeline-attacken och samhällets sårbarhet

– Det finns anledning att tro att det började med phishing-mail, vilket i sig inte skulle vara någon överraskning. Men det är fortfarande väldigt mycket som är oklart kring händelseförloppet, säger Etay Maor, professorsadjunkt vid Boston College och senior director för cybersäkerhetsstrategi på säkerhetsföretaget Cato Networks.

Colonial Pipeline och attacken 

Den 7 maj utlöste cyberattacknätverket Darkside en ransomware-attack mot amerikanska Colonial Pipeline. Det ledde till att bolaget fick stänga av sin tillförsel av oljeprodukter för hela amerikanska västkusten, vilket bland annat innefattar två stora rörledningar på totalt över 800 mil, som kan frakta tre miljoner oljefat om dagen till städer och stater från Texas till New York.

Attacken ledde till att priset på bensin sköt i höjden och flera bensinmackar stod tomma. Efter att bolaget betalat en lösensumma om drygt fyra miljoner dollar, något som inte var helt okontroversiellt eftersom det i vissa fall kan vara olagligt enligt amerikansk lag, kunde systemen startas upp och rörledningarna börja tas i bruk igen.

Myten om cyberattacker

Till att börja med menar Etay Maor att attacken mot Colonial Pipeline belyser ett vanligt missförstånd kring cyberattacker. En vanlig devis inom it-säkerhetsbranschen är att den som attackerar bara behöver ha rätt en gång, medan den som försvarar måste ha rätt flera gånger om. Men Etay Maor menar att detta är ett väldigt förenklat och till och med felaktigt påstående.

– Ofta beskrivs det som att en ransomware-attack är en händelse, men detta förvirrar och bidrar till ett stort missförstånd. Ransomware-momentet är i själva verket den sista stöten i attacken, det vill säga kryptering av materialet och kravet på lösensumman, säger han.

De som attackerar är ibland inne i systemet i flera månader. Det börjar med spaningsarbete, som sedan går över till den första åtkomsten och verkställande. Det finns ett dussin sådana taktiker och för varje taktik finns ett antal olika metoder som de kan utföras på, där olika hacker-grupper har olika tillvägagångssätt.

– Med andra ord finns det många ställen på vägen som en attack hade kunnat förhindras, men ofta skiljer sig säkerhetslösningar åt genom att de fokuserar på en känslig punkt i kedjan, och sedan är det upp till en stackars analytiker som ska hålla koll på allt och sitta med flera skärmar och bevaka vad som händer. Och detta vet hackarna om. Jag brukar beskriva det som att vi de senaste tio åren har öst på med mer säkerhets-fett när det vi behöver är muskler, säger Etay Maor.

OT- och it-utmaningen

En annan aspekt av Colonial Pipeline-attacken är att den exemplifierar en av de största utmaningarna som finns inom it-säkerhetsområdet, nämligen säkerhet för de system som kallas OT, operational technology.

Enligt Etay Maor finns det tre skäl till att OT-system kan vara extra sårbara.

För det första är mycket av den OT-utrusning som fortfarande används skapad och designad innan det fanns någon tanke att den skulle anslutas till internet, och är därför till sin natur inte utrustad för att stå emot angrepp.

För det andra är många av dessa system svåra att patcha och att hålla uppdaterade, ibland av rent verksamhetskritiska skäl.

– Jag besökte ett sjukhus en gång som fortfarande använde Windows NT från 90-talet för vissa maskiner. Jag tyckte först att det var märkligt och att de behövde uppdateras så snart som möjligt, men när personalen sa till mig att visst, gör du det, men du ska veta att det finns liv som hänger på att de fungerar, förstod jag genast utmaningen, säger Etay Maor.

Den tredje utmaningen handlar om att OT-system överhuvudtaget inte monitoreras och säkerställs i lika stor utsträckning som traditionell it. Etay Maor menar kan detta delvis bero på att det är svårt att hitta säkerhetskompetens för den här typen av system.

SASE är framtiden

I en ny rapport beskriver Cato Networks hur dagens nya hybrida arbetsplats och alla molntjänster ställer helt andra krav på it-säkerheten. Till exempel visar det sig att av 200 miljarder olika trafikflöden på 850 bolag, kommer mer av trafiken från Tiktok än från Gmail, Spotify eller Linkedin.

Enligt Etay Maor behöver det inte vara ett fel i sig, utan sätter snarare fingret på hur mycket av trafiken som flödar in och ut från nätverk som kan vara svår att kontrollera. Samtidigt kopplas fler och fler IoT-enheter upp till näten, och ny OT-utrusning som har bättre förutsättningar att integreras med annan it.

Därför menar han att det inte är fler säkerhetsfunktioner vi behöver, utan en heltäckande arkitektur som SASE, secure access service edge, som ger rätt tillgång till rätt enhet och användare.

– Det jag tycker är det fina med SASE att det inte handlar om integrationer mellan olika lösningar. Det är snarare ett mer nätverksintegrerat tillvägagångssätt där allt är konvergerat från dag ett och tillhandahålls på ett bättre sätt och inte i olika silos. Sättet där vi kopplar upp oss med VPN är verkligen inte byggt för hur det ser ut idag.