IT-sikkerhetsekspertene i Sans Institute har publisert årets utgave av den berømte oversikten Top-20 Internet Security Risks.
Det presiseres at denne oversikten konsentrerer seg om nye mønstre som ekspertene merker seg, og at dette ikke må misforstås dit hen at man ikke lenger behøver å bry seg om gamle sårbarheter.
Tvert imot: Sans skriver at de «gamle» sårbarhetene fortsatt angripes kontinuerlig av automatiserte verktøy. En datamaskin som koples til nettet vil oppleve sitt første angrep innen fem minutter, og den vil bare være i stand til å forsvare seg dersom den på forhånd er riktig konfigurert.
Per i dag er minst ti millioner datamaskiner kompromittert. Sans konstaterer at kyberkriminelle har lykkes i å finne motmidler mot forsvarsverk som bedrifter og offentlig forvaltning har brukt mange år på å få på plass. Ved målrettede angrep mot utvalgte brukergrupper – gjerne ledere og stresset IT-personell – og ved å angripe særlig skreddersydde webapplikasjoner, greier de å omgå brannmurer, antivirus og til og med snokvarslere.
Hovedtrekkene i Sans’ nye risikovurdering kan sammenfattes slik:
Kritiske sårbarheter i webapplikasjoner
Dette gjelder særlig applikasjoner som selskaper utvikler på egen hånd. Hull i webapplikasjoner gjør det mulig å forgifte tjenester, kopiere data som forvaltes av tjenesten, og kompromittere datamaskiner som er koplet til nettstedet. Grunnen til at svært mange webapplikasjoner har alvorlige sårbarheter, er først og fremst at de færreste utviklere er tilstrekkelig skolert til å skrive sikre webapplikasjoner, og at de færreste organisasjoner har kvalitetssikrede utviklingsprosesser med en tilstrekkelig prioritering av sikkerhet.
Forskningssjef Alan Paller i Sans sier at mange utviklere skriver og legger ut webapplikasjoner uten noen gang å ha dokumentert at de er i stand til å framstille sikre applikasjoner, selv når programmene de lager gir eksterne brukere tilgang til interne databaser med følsom informasjon.
Paller sier at kritiske sårbarheter vil dukke opp i annenhver webapplikasjon framover, med mindre organisasjoner begynner å følge strammere retningslinjer, for eksempel dem som er nedfelt i dokumentet Essential Skills for Secure Programmers (pdf).
Sans viser til Webroot, en spesialist på vern mot spionvare, som konstaterer at tallet på nettsteder som er smittet av spionvare er økt med 183 prosent siden januar. En undersøkelse gjort av Webroot i september i år blant små og mellomstore bedrifter, avdekket at over 47 prosent har tapt omsetning som følge av spionvare. Det viser at selv uten spektakulære sikkerhetsbrudd, er det en sammenheng mellom sikkerhetsarbeid og bunnlinje.
Godtroende, stressede og imøtekommende brukere, særlig ledere, IT-folk og andre med privilegert aksess
Sans skriver at de har en rekke eksempler på hvordan slike folk har latt seg lure av nye og målrettede metoder for phishing, eller blitt infisert av kompromitterte nettsteder med tjenester rettet mot svært avgrensede målgrupper. Poenget er nettopp at angrep mot privilegerte brukere er det mest lønnsomme for hackere med klare kriminelle mål.
Sikkerhetsopplæring alene er ikke nok til å møte denne risikoen, mener Sans. De anbefaler organisasjoner å bruke nye metoder, for eksempel med ujevne mellomrom å sende ut e-post som etterlikner målrettet phishing, og stille til ansvar alle dem som lar seg lure. Et annet forslag er at man etablerer nye ordninger for å overvåke og analysere trafikken i nettverket. Et tredje er å revurdere tildelinger av rettigheter, særlig i forhold til hva slags klienter man har anledning til å disponere, og bruken av mobile lagringsenheter og ukrypterte bærbare PC-er.
Kritiske sårbarheter i både PC-programvare og servertjenester
Dette er et kjent problem som Sans mener har vokst det siste året. De siterer en oversikt utarbeidet av Qualys – en spesialist på sårbarhetsanalyser av bedrifters IT-systemer – som viser at det i 2007 er oppdaget nesten fire ganger så mange kritiske hull i Microsoft Office som i 2006, nærmere bestemt 23 mot 6. Verst ute er Excel, der det er avdekket 13 alvorlige sårbarheter i 2007, mot 1 i 2006.
Sans peker på at det også er blitt avdekket kritiske sårbarheter i en rekke populære nettlesere, e-postklienter og mediespillere.
Kriminelle hackere bruker også store ressurser på å avdekke sårbarheter i servertjenester. Det har de lykkes med, ikke bare i Windows, men også i Unix og Mac. Andre systemer der det er påvist alvorlige hull er sikkerhetskopiering, antivirus, drift, databaser og servere for tale over IP.
Nødvendige mottiltak her er å håndheve regler for sikkerhet og oppdatering av alle applikasjoner.
Sans framhever spesielt misbruk av verktøy som lynmeldere og peer-to-peer-ordninger. De mener at man bør vurdere å forby slike helt, eller i det minste sørge for at de kontrolleres strengt.
Sans viser til to gratis verktøy som kan brukes for å vurdere hvor godt et IT-system er utrustet i forhold til det oppdaterte trusselbildet.
Qualys har denne tjenesten: Top 20 Scan.
AppliCure har et verktøy som spesielt avdekker forsøk på å utnytte hull i de to mest utbredte webserverne, Apache og Microsoft IIS: dotDefender Monitor.
Les også:
- [22.11.2007] Utviklertest skal gi sikrere programvare
- [13.06.2007] Spamjegere slått ut av zombie-nett
- [27.03.2007] Utviklere kan sertifisere seg innen sikkerhet