Ransomware, eller løsepengevirus på godt norsk, lager stadig trøbbel for både norske og internasjonale virksomheter. Kan vi løse noen disse utfordringene med stordata-verktøy?
Løsepengevirus har vært kjent en del år, men dukker med stadighet opp. Det er flere konkrete tilfeller i Norge hvor løsepengevirus har gjort stor skade, og med et raskt Google-søk kan du finne nyheter fra nesten hvilken som helst sektor, fra både store og små selskaper. Hvorfor er denne skadevaren så vanskelig å oppdage og stoppe?
Tradisjonelt oppdages skadevare som løsepengevirus ved hjelp av såkalte signaturer. Fra gammelt av var en signatur en spesifikk kode som gjenkjente en type skadevare. Ditt antivirus-program har oppdaterte lister med slike signaturer som brukes til å gjenkjenne skadevare. Denne formen for overvåkning har utfordringer, fordi ditt antivirus aldri vil kunne ha en perfekt liste over alle tenkelige signaturer, og vil heller ikke ha signaturer på ny skadevare som aldri før er blitt registrert.
Når vi snakker om moderne sikkerhetssystemer brukes «signatur» som en fellesbetegnelse for både klassiske signaturer og mer avansert gjenkjennelse. Sikkerhetssystemer i dag ser på mønstre og avvik for å detektere indikasjoner på skadevare, slik at vi også kan stoppe mer slue angrep. Likevel kan slike sikkerhetssystemer ofte bare oppdage anomalier innenfor sitt domene. Det finnes sikkerhetssystemer for skyplattformer, nettverk, servere og mer, men smart nok skadevare kan til og med navigere seg rundt disse. Vi trenger et totalbilde. Finnes det en måte å tette dette sikkerhetshullet?
Om vi til enhver tid visste hva som var normal oppførsel i våre systemer, så kan vi også oppdage unormal oppførsel. Ved å se på totalbildet kan vi oppdage skadevare basert på oppførsel på tvers av våre systemer. Det er her stordata kommer inn i bildet, også kjent som «big data». Med stordata kan vi bygge på eksisterende antivirus-løsninger og moderne sikkerhetssystemer, og ta skadevare-deteksjon til et nytt nivå.
Med detaljerte logger fra serverne, nettverk, skyplattform og andre supplerende sikkerhetssystemer gir dette et godt grunnlag for videre risikoanalyse, og kan gi oss et oversiktsbilde over «alt» som foregår. Med den rette logikken satt opp på stordata-verktøyet, kan det alarmeres for prosesser som starter opp fra uvanlige lokasjoner, fra uvanlige brukere, med uvanlig kode, på uvanlige tidspunkt, eller med kombinasjoner av disse faktorene. Vi kan også følge brukere, systemer og prosesser over lang tid, og se avvik basert på historisk data, kanskje med flere års grunnlag.
Det kan også kobles på videre logikk fra alarmene som automatisk isolerer servere fra nettet, låser brukerkontoer, eller gjør andre forebyggende tiltak. Automasjon gir minimal responstid på hendelser, som kan være kritisk under et utbrudd av løsepengevirus og annen skadevare. Det avlaster også sikkerhetsanalytikerne, som kan fokusere på oppgavene som trenger deres ekspertise, og kan bruke mindre verdifull tid på rutinearbeid som kan automatiseres.
Med dagens trusselbilde og stadig ny og avansert skadevare, trengs det likedan avanserte verktøy for deteksjon og begrensning av trusler. Det trengs verktøy som kan avdekke det tidligere usette, ved å se på oppførsel og avvik i det store bildet, og kunne gjøre avansert analyse på tvers av systemer. Stordata gir oss disse kapabilitetene. Er det på tide å ta sikkerheten til neste nivå?