Etisk hacking er vigtigere nu end nogensinde før

Dit IT-system har formodentlig mindst en ukendt bagdør, som står åben for hackere. Hvordan finder du den bedst, inden det er for sent? Bed hackerne om selv at finde den.

I gamle westernfilm var det som regel farven på hatten, der afgjorde om en karakter var god eller ond; hvid hat til heltene og sort hat til skurkene. I dag føres den tradition videre i hvert fald i overført betydning i cyber space svar på det vilde vesten; de afkroge af internettet, hvor lovens lange arm famler i blinde. Det er her, vi finder de såkaldte black hat og white hat hackers – hackere som bruger deres ekspertise på enten at angribe eller at hjælpe virksomheder, som har sikkerhedshuller i deres IT-systemer.

David Jacoby har dårlige nyheder til dig

Hvis du tror, at netop din virksomhed ikke hører til dem, så har David Jacoby, Senior Security Researcher hos Kaspersky, dårlige nyheder til dig. Ifølge ham er man aldrig 100 procent beskyttet mod fremmed indtrængen. Målet er derfor i stedet at identificere og forebygge angrebsvinklerne, inden andre gør det. David fortæller, at man enten kan ansætte sikkerhedskonsulenter, uddanne sit eget personale, så de kan udføre tests – eller henvende sig til hackere. For eksempel er 200 studerende fra KTH i Stockholm i øjeblikket ved at uddanne sig til såkaldte etiske hackere.

Der findes også et såkaldt bug bounty-program, hvor eksterne white hat-hackere belønnes, hvis det lykkes for dem at finde huller i et system. En metode som såvel Apple som Spotify og det amerikanske luftvåben stoler på.

– Der er meget klare regler for, hvad man som hacker må gøre, og hvad man ikke må gøre. Hvilke systemer man må teste, og hvad man må gøre på de systemer. Disse tjenester plejer også at foregå på separate netværk, så selvom nogen får adgang til testmiljøet, så ligger der ingen følsomme data eller adgang til virksomhedens netværk, siger David Jacoby.

Som at gå til tandlægen

Hvor dyr processen bliver, kan afhænge af, hvor omfattende den er, og hvilken profil opgavestilleren har. For et par år siden udlovede Google for eksempel 112.500 dollar til den person, der kunne afsløre en alvorlig sikkerhedsbrist i deres Pixel-enheder. Men det kan lade sig gøre at holde omkostningerne nede ved at læse på lektien i forvejen og faktisk tænke sin sikkerhed ordentligt igennem, inden man beder nogen andre om at prikke hul på den.

– Man kan sammenligne det med at gå til tandlægen. Hvis du aldrig børster tænderne, så kan et eneste tandlægebesøg koste spidsen af en jetjager, men hvis du har passet godt på dine tænder, så koster det måske ikke så meget.

Det mest populære dække for hackere

Bug bounty-konkurrencer kan arrangeres via platforme, der allerede eksisterer med netop dette formål for øje. For eksempel har sitet HackerOne et netværk bestående af hundredtusindevis af eksperter, der kan teste dine systemer. (Det er også netop denne tjeneste, det amerikanske forsvar foretrækker at benytte sig af). Størstedelen af disse eksperter er selvlærte white hat-hackere – og en stor del af dem fortæller også, at de nogle gange har opdaget sikkerhedshuller, som de ikke har advaret den ramte virksomhed mod, fordi de manglede kanaler, som de kunne rapportere dette igennem.

Den mest populære brist at lukke for er XSS, cross site scripting, som blandt andet gør det muligt for ondsindede hackere at indføre skadelig kode eller stjæle beskyttede oplysninger fra en internet-side. Men selv om bug bounty-programmet er en betydeligt bedre metode end bare at krydse fingre, advarer David Jacoby mod, at sikkerhedsarbejdet pr. definition aldrig er afsluttet.

Men även om bug bounty-program är en betydligt bättre metod än att bara hålla tummarna, varnar David Jacoby för att säkerhetsarbetet per definition aldrig är avslutat.

– Det findes ingen virksomheder, som er helt sikre. Du kan sammenligne det med hvad som helst. Findes der et hus eller en bygning, som er 100 procent sikret imod indtrængen eller brand? Det findes simpelthen ikke. Ikke engang en bunker er helt sikker.

Skyen er mere sikker end mange tror

Sikkerhedskonsulent Linus Kvarnhammar drev tidligere virksomheden Syneptic, som hjælper virksomheder med etisk hacking. Han oplever, at behovet for etisk hacking er konstant stigende, men også at sikkerheden ved for eksempel cloud-tjenester faktisk er bedre, end mange tror.

– Behovet stiger hele tiden. Truslerne bliver flere og flere, fordi de IT-kriminelle tiltrækkes af de steder, hvor informationer og penge samles. Men samtidig med at sikkerhedsrisiciene skal tages med største alvor, så findes der faktisk store fordele ved skyen. Visse cloud-løsninger giver en god oversigt og aktiverer en alarm, hvis noget uforudset skulle indtræffe i tjenesten, siger han.

Kom i gang med skalerbar sikkerhed i din cloud-løsning

Læs mere

Det findes ingen virksomheder, som er helt sikre. Du kan sammenligne det med hvad som helst. Findes der et hus eller en bygning, som er 100 procent sikret imod indtrængen eller brand? Det findes simpelthen ikke. Ikke engang en bunker er helt sikker.

David Jacoby, Senior Security Researcher hos Kaspersky

17 juni 2020