Glöm inte bort den mest basala formen av it-hygien

2023-02-24
I januaris krönika lyfte vi det faktum att organisationerna behöver förbereda sig på nya cyberhot bortom ransomware- och överbelastningsattacker. Den skrevs utifrån det faktum att flera organisationer under kort tid drabbades av tillgänglighetrelaterade attacker, samtidigt som vi ville visa på en oroande rörelse mot attacker som slår mot riktighet och konfidentialitet. Det vi kanske missade i den krönikan var just frånvaron av den mest basala formen av it-hygien.

 

Flera av dem som drabbats hittills gör det på grund av gammal osupporterad och ouppdaterad mjukvara exponeras mot internet. Det är klart att en organisation med den riskaptiten drabbas och får stort medieutrymme. Dock inte av den bakomliggande orsaken, utan det faktum att de är drabbade av cyberattacker. Visst är det synd om alla de organisationer som drabbas, men med hög riskaptit kommer verkligheten snabbt i kapp. Förhoppningsvis sker det inte alltför oväntat.

De sista veckorna har nya ”överbelastningsattacker” gäckat många organisationer. Det är viktigt att säga att flera av fallen inte är klassisk överbelastningsattack (DDoS) av organisationernas internet-förbindelse(r). Det är lätt att få den uppfattningen om man följer medierapporteringen. Sanningen är att ”överbelastningen” i flera fall varit så pass låg att de DDoS-skydd organisationerna införskaffat inte ens ser ”överbelastningen”.

Detta är inget nytt fenomen. Tidigt lärde sig nog många hur man kör en syn-attack som innebär att i ett lagom tempo utföra tillräckligt många påbörjade handskakningar inom ramen för TCP så att motparten, som tålmodigt försöker besvara alla förfrågningar, till slut ger upp och slutar svara. Det fenomenet kan lösas med en rad olika tekniska åtgärder som bland annat dokumenterats i RFC4987 från 2007. Trots ett perspektiv på över 15 år är det lätt att se en rad paralleller till det som nu sker.

Kanske är vi förblindande av artificiell intelligens, kvantdatorer och sakernas internet, eftersom dagens verklighet vittnar om att det mest basala verkar ha fallit i glömska.

Denna gång stressar angriparna i huvudsak de exponerade webbservrarna. Här finns det en rad tekniska tillvägagångssätt att skydda sig där skydden dessutom behöver finnas i varje lager i protokollstacken för att tillsammans bidra till att minska den oönskade lasten på den exponerande servern. I flera av de aktuella fallen har det varit öppna DNS-servers som fungerat som förstärkare av attacken. Kännedom om dem gör det ganska enkelt att blockera den oönskade trafiken.

Det är inte föga förvånande att dessa attacker tillsammans med en rad andra attacker också möjliggörs tack vare att det finns stater som gärna upplåter ”mat och husrum” till dessa illasinnade grupperingar, så länge det går i linje med den egentliga hotaktörens intressen. Något som har varit en realitet under lång tid och kommer fortsatt att så vara.

För att inte bli nästa offer gäller det att ha rent framför sin egen dörr. Antingen för försvåra att er organisation utsätts för elakheter, eller för att ni inte ska bli ett verktyg för att attackera andra organisationer. Förhoppningsvis är det inte den sårbara och osupporterade mjukvaran som är utmaningen längre, utan förmågan för de exponerade komponenterna att inte låta sig luras. För det krävs basal it-hygien, som har varit en självklarhet under alla år, och en väl inövad incidenthanteringsförmåga att ta till när det väl händer vilket förövrigt också är krav som följer av artikel 23.2 i NIS2.

Läs januaris krönika HÄR