Rapport avslöjar säkerhetsbristerna företag ofta försummar

24 sep 2013
Virus News

Det tar i genomsnitt 8-5 – 10 veckor för företag att åtgärda en sårbarhet i IT-systemet, vilket är gott om tid för angripare att skaffa sig tillgång till företagsnätverket.

En ny rapport visar att många organisationer utsätter sig för onödiga risker genom att inte snabbare åtgärda säkerhetshål i sina IT-system. Studien omfattar även ett experiment i vilket fyra av sex svenska statliga organisationer gick med på att använda ett USB-minne från en främmande person.

Rapporten, skriven av säkerhetsexperter på företagen Kaspersky Lab och Outpost24, visar att även osofistikerade attacker mot företagsnätverk kan lyckas utan att angripare behöver använda sig av dyra nolldagssårbarheter (det vill säga säkerhetsluckor som precis har upptäckts i populära datorprogram, exempelvis Java) – även om just denna sorts attacker ökar i antal.

Istället utnyttjar cyberbrottslingar ofta sårbarheter som har funnits länge men som offren fortfarande inte har åtgärdat, trots att det finns uppdateringar tillgängliga som kan laga säkerhetshålen. Detta är inte förvånande: i genomsnitt tar det 60-70 dagar för ett företag att åtgärda en sårbarhet, vilket är mer än tillräckligt med tid för att angripare ska kunna skaffa sig tillgång till företagsnätverket. Studien visar dessutom att angriparna inte behöver hacka IT-systemet – utan snarare de medarbetare som hanterar systemet.

En vanlig målsättning är att alla kritiska IT-hot bör åtgärdas inom tre månader. Men 77 procent av de sårbarheter som har passerat denna tidsgräns kvarstår efter ett helt år. Kaspersky Lab och Outpost24 har samlat in data om sårbarheter som sträcker sig tillbaka till 2010 och upptäckt att det finns system som har lämnats sårbara ända sedan dess. Sårbarheterna, som fortfarande inte har åtgärdats, betraktas som kritiska eftersom de är enkla att utnyttja och skadan från en attack skulle få stora konsekvenser. Det finns till och med företagssystem som inte har uppdaterats på tio år, trots att företagen anlitar säkerhetsföretag för att hjälpa dem kring säkerhetsfrågor.

Experiment på stan

Efter att ha samlat in data med hjälp av Outpost24, har David Jacoby på Kaspersky Lab testat organisationers säkerhet genom så kallad social engineering, det vill säga försök att kringgå företagets säkerhet utan tekniska verktyg – utan istället genom att försöka lura människor att till exempel avslöja känslig information eller installera ett skadligt program. Davids mål var att undersöka hur enkelt det vore att använda ett USB-minne på en organisations dator utan befogenhet. Iklädd kostym besökte David receptionerna hos ett antal statliga organisationer, hotell och privatföretag och bad att få skriva ut ett dokument från USB-minnet. Hans ursäkt var att han var på väg till ett brådskande möte någon helt annanstans.

Ställena som David besökte omfattar tre hotell inom olika kedjor, sex statliga organisationer och två större privatföretag. Urvalet gjordes eftersom statliga organ ofta sitter på känslig information om medborgare, större privatföretag sannolikt har nätverksanslutningar till andra företag och större hotell ofta har gäster som politiker, diplomater och näringslivschefer.

Endast ett av hotellen lät David använda USB-minnet på deras dator, medan de övriga två hotellen vägrade. Även privatföretagen sa nej. Fyra av de sex statliga organisationerna ville dock hjälpa David att skriva ut dokumentet från hans USB-minne. Hos två av dessa var datorns USB-port inaktiverad – istället bad de David att skicka dem dokumentet med epost, något som skulle kunna ha utnyttjats för attacker genom PDF-program.

”Viktigt att utbilda sina medarbetare”

– Det som är mest överraskande hos studien är att hotellen och privatföretagen hade ett bättre säkerhetstänkande än de statliga organisationerna, säger David Jacoby, säkerhetsforskare på Kaspersky Lab. Baserat på resultaten tycker jag det är rimligt att påstå att vi har ett stort problem. Det gäller alla länder eftersom företeelsen att det tar lång tid för användare att åtgärda upptäckta svagheter förekommer överallt. Slutsatserna från mitt experiment med USB-minnet är en varningsklocka för alla företag och organisationer som letar efter skräddarsydda säkerhetslösningar mot morgondagens hot – det är minst lika viktigt att utbilda sina medarbetare kring dessa frågor.

– Många företag slänger bort resurser på att skydda sig mot möjliga framtida hot, eftersom de misslyckas med att skydda sig mot de hot som redan existerar, säger Martin Jartelius, säkerhetschef på Outpost24. Företag måste inse att det är fullt möjligt för angripare att skaffa kontroll över de flesta delarna av en organisation, till och med utan nya sorters attacker eller metoder. Det kan ske genom att utnyttja bristande säkerhetsrutiner, felkonfigurerade säkerhetsenheter eller personal utan tillräcklig säkerhetsutbildning. Därför är det viktigt att vi ändrar vår inställning till säkerhet – istället för enskilda verktyg bör man se det som integrerade lösningar i företagets affärsprocesser.

Hela rapporten går att läsa här.



Copyright © 1997 - 2014 Kaspersky Lab

Med ensamrätt. Branschledande antivirusskydd.