IT-sikkerhed

Tjenesten, som beskytter mod skadelig kode vha AI

Nettruslerne bliver stadig mere sofistikerede og organiserede. Hvordan skal virksomhederne beskytte sig? Den proaktive sikkerhedstjeneste Umbrella fra Cisco opdager og identificerer malware.

I indbakken findes en troværdigt udformet mail fra en velrenommeret virksomhed med et link til vigtige informationer. Uvidende om konsekvenserne klikker modtageren på linket, og malwaren spreder sig straks på computeren og andre tilsluttede enheder. Alle filer er blevet krypterede. Der kræves en løsesum, overført i digital valuta, for at få adgang til dem igen.

Umbrella kan se historiske sammenhænge og dermed opdage mistænksomme domænenavne.

Situationen beskriver et ransomware-angreb, en af de mest almindelige angrebsformer på nettet, som kan ramme både virksomheder og privatpersoner. Angrebene kan i værste fald føre til, at vigtige informationer forbliver utilgængelige, f.eks. forretningskritiske kundedatabaser. En anden nært beslægtet metode er såkaldt phishing. Præcis som med ransomware handler det om at sende falske mails for at komme i besiddelse af private oplysninger såsom kreditkortnummer og adgangskode til internetbanken. Ofte angives mailen at komme fra bankens supportafdeling, som informerer om, at der er opstået problemer med kundens konto. Martin Kivi, IT-sikkerhedsekspert hos Commsec, som siden 2015 indgår i Dustin Group, fortæller, at trusselsbilledet på nettet er blevet mere kompliceret.

– Det bliver stadig sværere at ­opdage, om computeren er blevet inficeret af malware, eftersom afsenderne krypterer deres trafik og går under radaren, siger han.

Mere mobilitet stiller større krav

En anden udvikling, som stiller stadigt højere krav til cybersikkerhedsarbejdet, er den stigende mobilitet hos brugerne. I dag arbejder vi ikke kun på virksomhedens netværk på kontoret, men også på caféer, i lufthavnslounger og ­derhjemme. Samtidig skifter man hyppigere teknik – det ene øjeblik surfer man på den bærbare computer, og i næste øjeblik bruger man sin smartphone. Mobiliteten øger risikoen for cyberangreb og for, at malwaren spreder sig til andre enheder i netværket.

– Øget mobilitet og vanskeligheden ved at opdage malwaren, når ­angriberne ændrer deres angrebsform, gør sikkerhedsarbejdet hos virksomhederne mere komplekst, siger Martin Kivi.

Krav til nye rutiner for håndtering af personlige oplysninger

Den 25. maj 2018 træder EU’s nye databeskyttelsesforordning, General Data Protection Regulation (GDPR), i kraft. Den omfatter alle organisationer og virksomheder, der håndterer personlige oplysninger om medarbejdere og kunder. Forordningen stiller krav til nye rutiner og processer for håndteringen af informationer, og selskaber, som ikke følger direktivet, kan idømmes bøde. ­Lovgivningen gør også IT-sikkerhedsarbejdet mere avanceret.

– Forestil dig, at en bruger i en virksomhed begynder at anvende en cloud-tjeneste, som ikke er godkendt af IT-afdelingen, til at gemme kundedata. I så fald opfyldes kravet om håndtering af data ikke, og virksomheden kan komme til at betale skadeserstatning. Sådanne scenarier kan opstå, siger Martin Kivi.

Sikkerhedstjenesten Umbrella minimerer risiciene

Hvordan kan man så minimere ­risici for at blive udsat for angreb i en digital verden med øget mobilitet, stadigt mere sofistikerede angrebsformer og nye databeskyttelseskrav? Martin Kivi fortæller om den cloud-baserede sikkerhedstjeneste Umbrella fra det amerikanske telekommunikationsselskab Cisco, som Commsec er certificeret forhandler af. Umbrella opererer inden for domænenavnssystemet, en slags database bestående af IP-adresser og domænenavne. DNS-systemet gør det muligt at skrive enkle ­domænenavne, f.eks. www.dustin.dk, ind i browseren i stedet for de talbaserede IP-adresser.

Umbrella dækker 90-100 milliarder domæneforespørgsler hver dag og kan hjælpe virksomhederne med at blokere trafik til sider med malware. Hvis en bruger klikker på et link med malware, forhindrer Umbrella adgang til siden og eliminerer truslen. Hvordan? ­Umbrella bygger på kunstig intelligens og gennem­fører såkaldte rygtebaserede analyser af IP-adresser og domænenavne. Hvis et selskab har blokeret adgangen til visse domænenavne tilknyttet en specifik IP-adresse, kan Umbrella identificere, om IP-adressen skaber nye domænenavne for nye angreb, og sørge for, at netop disse blokeres i virksomhedens netværk.

– Det er, som når politiet ­kortlægger, hvad en person har gjort tidligere. Umbrella kan se historiske sammenhænge og dermed opdage mistænksomme domænenavne, som kan være skadelige, siger Chung-Wai Lee, produktspecialist inden for IT-sikkerhed hos Cisco.

Umbrella forudsiger kommende angreb

Umbrella udfører også adfærdsbaserede analyser. Med et nyt domænenavn knyttet til en ny IP-adresse er det svært at foretage en rygtebaseret analyse ud fra tidligere historik og sammenhænge. I stedet kan Umbrella se på den aktuelle trafik. Mange besøg over kort tid kan tyde på, at adressen bruges til et angreb, og at mange klikker på det skadelige link.

– Sikkerhedstjenesten Umbrella er unik, fordi den ikke blot blokerer kendte skadelige domæner, men også proaktivt forudser kommende angreb fra nye domæner, siger Chung-Wai Lee.

Eftersom Umbrella opererer inden for DNS-systemet, fungerer teknikken, selv når virksomhedens medarbejdere befinder sig uden for kontorets netværk og kobler sig op mod trådløse netværk.

– Umbrella findes integreret i enheden og fungerer som beskyttelse, så snart brugeren vil besøge et domænenavn. Dette betyder, at man aldrig behøver at tænke på beskyttelse, når man surfer i en lufthavn eller i en hotellobby, siger Chung-Wai Lee.

Brugeren behøver ikke at være urolig for, at surfhastigheden påvirkes. Umbrellas inspektion går via DNS-lageret og ­sender kun en lille datamængde til DNS-serveren, som svarer, om domænenavnet er ”godt” eller ”dårligt”. Indsatsen sker hurtigt, til forskel fra en proxyløsning, hvor al ­trafik (billeder, videoer, websider) sendes til proxy­serveren til inspektion.

Ved installation af Umbrella er det enklest og hurtigst at ændre DNS-server for selskabets computere. Hvis man har en enkelt bredbåndsrouter, kan man indstille, at den skal dele Umbrellas ­DNS-server i stedet for internetoperatørens. Har man et avanceret IT-miljø med f.eks. Active Directory (AD), kan man skifte til Umbrellas DNS-server som ”forwarder” og direkte beskytte hele organisationen. Begge fremgangsmåder tager højst nogle minutter.

Dette er Commsec

Communication & Security i Mälardalen AB (Commsec) blev grundlagt i 2004 og er en rådgivnings- og uddannelsesvirksomhed inden for datakommunikation og sikkerhedsløsninger. Commsec er siden oktober 2015 en del af Dustin Group.

Tekst: Tomas Nilsson
Foto: Getty Images

Sidst opdateret: 1 juli 2022

Tags