CIS kontrollpunkt 8 – Skydd mot sabotageprogram

Publicerad den april 4, 2019

Sådana programvaror kallas på engelska, och i gängse fackspråk malware (malicious software), på svenska kan man också kalla dem skadeprogram eller helt enkelt skadlig programvara. De kan innehålla virus, maskar, trojanska hästar (trojaner), logiska bomber och annat. Här finns en lista över olika sådana program som kan infektera datorer.

Attack

Utvecklingen av malware har gått snabbt under åren och dess syften har varit många, men har aldrig varig av godo för den som blivit utsatt.

Syften har varierat mellan allt från att se hur snabbt man kan nå många system (Mellisa 1999) till att målmedvetet sabotera specifika driftsystem i kärnkraftverk (Stuxnet 2009).

Över tid har dessa program blivit mer och mer avancerade och vi kan med mycket stor säkerhet säga att det nu inte längre rör sig om hackerkids i någon källare utan statligt drivna organisationer med ett taktiskt perspektiv.

Den skadliga kod som vi måste oroa oss för idag rör sig snabbt och ändrar sig snabbt. Det tar sig fram genom knutpunkter i olika digitala förklädnader, som mailbilagor, webbsidor och molntjänster. Nya typer av malware är dessutom designade för att ta sig förbi säkerhetsskydd genom att attackera och oskadliggöra dem.

Försvar

En snabb och effektiv fiende kräver ett ännu snabbare och effektivare försvar. Ett sådant försvar måste vara automatiserat, uppdateras snabbt, och samverka med ett stort antal processer i systemet. Försvarsenheterna måste sprida ut sig till alla tänkbara attackpunkter, för att kunna upptäcka och oskadliggöra de fientliga angreppen. Med hjälp av administrativa säkerhetsverktyg kan man kontrollera att allt försvar är aktivt i ett system.

Övervakning

De nya automatiska säkerhetsverktygen kontrollerar antivirus, antispyware, och andra system för att upptäcka intrång, som IDS (Intrusion Detection System). Sådana säkerhetsverktyg kan också kontrollera att systemet har de senaste malware definitionerna installerade.

Logga händelser

Det räcker inte att bara blockera skadliga applikationer. Man måste också spara informationen om vad som hänt i systemet. Det betyder att loggningsfunktioner måste vara aktiverade. Händelserna måste analyseras så att man kan förstå dem och undvika dem i fortsättningen.

En ständig kamp

Malware är ett särskilt hot, eftersom de fientliga aktörerna hela tiden utvecklar sina metoder och samtidigt försöker gömma sig för att undgå upptäckt. Det pågår en ständig kapplöpning mellan angripare och försvarare, och datasäkerhetsexperter ställs inför stora utmaningar.

Det behöver inte alltid vara skadligt

Ett av de första boot-sektor virus som skapades som skickades ut i det ”vilda” var Elk Cloner viruset.[1] Det hade inget elakt syfte i sig utan skrev endast en liten textrad på skärmen var 50:e gång datorn hade startats upp.

Elk Cloner: The program with a personality
It will get on all your disks
It will infiltrate your chips
Yes, it’s Cloner!
It will stick to you like glue
It will modify RAM too
Send in the Cloner!

För en introduktion till CSC, läs vår sammanfattande artikel.

CIS kontrollpunkt 9 – Nätverkets portar, protokoll och tjänster

 

[1] sv.wikipedia.org/wiki/Elk_Cloner


Skrivet av

Jan Karlsson, Head of Operation and Services

+46 (0) 706 38 22 24

jan.karlsson@securestatecyber.com