Cyberangriperne blir stadig mer sofistikerte ved at de angriper skytjenester og bruker kryptering for å unngå å bli oppdaget. Dette gjør de i stand til å skjule at de har kontroll over viktige systemer. For å håndtere dette vil nå IT-sikkerhetsbransjen rette ytterligere fokus mot å utvikle systemer basert på kunstig intelligens og maskinlæring, skriver Cisco i sin årlige sikkerhetsrapport.

Stor sikkerhetsrisiko

Administrerende direktør for Cisco Norge, Sven Thaulow, mener det er viktig å passe på at utviklingen av sikkerhetssystemer skjer i takt med utviklingen av teknologiske nyvinninger.

– Samtidig som utviklingen av tjenester som sensorteknologi og skytjenester stadig blir bedre og mer sofistikert, må vi være klare over sikkerhetsrisikoen dette innebærer. Nye tjenester betyr nye måter for angriperne å finne en vei inn i systemene på. Tar man i bruk ny teknologi og tingenes internett i for stor grad før man vet at man har et sikkerhetssystem som kan oppdage og stoppe angrepene, kan man sette seg selv og bedriften i stor fare, sier Thaulow.

Bruken av kryptert data gjør at det har blitt vanskeligere å skille mellom godartet og ondsinnet kryptert trafikk ved overvåkning for å identifisere potensielle trusler – hele 50 prosent av all trafikk på nettet gjøres nå kryptert. Cisco har observert en tredobling i bruken av kryptert nettverkstrafikk for å sende skadelig programvare over en periode på 12 måneder.

Maskinlæring er nøkkelen

Thaulow mener svaret for å få bukt med problemet ligger i maskinlæring, og ferske tall i rapporten viser at sikkerhetsansvarlige i bedriftene har relativt stor tro på bruken av slik teknologi. 39 prosent av de undersøkte organisasjonene og bedriftene stoler på automatisering av nettverk, 35 prosent på maskinlæring og 32 prosent stoler på kunstig intelligens.

– Bruk av maskinlæring kan forbedre nettverkenes sikkerhets- og forsvarsmekanismer, og over tid «lære» automatisk å oppdage uvanlige mønstre i kryptert nettrafikk, sky- og IoT-miljøer. 3 600 av sikkerhetslederne som ble intervjuet i forbindelse med årets rapport understreket at de så fort som mulig ønsker i enda større grad å utnytte de enorme mulighetene som ligger i maskinlæring for nettverkssikkerhet, men at de er frustrerte over påliteligheten til slike systemer i dag. Maskinlæring og kunstig intelligens må først lære seg hva som er «normal aktivitet» i et nettverk for å kunne monitorere og gi riktige tilbakemeldinger, sier Thaulow.

Konserndirektør for sikkerhet og tillit i Cisco, John N. Stewart, understreker viktigheten av at man fortsetter å utvikle sikkerhetsløsninger.

– Siste års utvikling innen skadelig programvare viser at angriperne har blitt bedre på å utnytte sikkerhetshull. Det blir derfor enda viktigere enn tidligere at sikkerhetseksperter og ansvarlige foretar strategiske sikkerhetsforbedringer, teknologiinvesteringer og implementerer beste praksis for å redusere eksponeringen mot sikkerhetstrusler, sier Stewart.

Andre viktige punkter fra Cisco’s årlige Cybersecurity rapport 2018:

Sikkerhetsbrudd forårsaker stor økonomisk skade:

• Mer enn halvparten av alle angrepene resulterte i økonomiske skader for over 500 000 USD for blant tap av inntekter og kunder.

Verdikjede-angrep øker i omfang og kompleksitet

• Et verdikjede-angrep skjer ved at angriperen går gjennom en tredjepart i nettverket som kan ha tilgang til forskjellige systemer og data i nettverket. Slike angrep kan påvirke driften av nettverket i stor skala for måneder frem i tid – noen ganger år.
• Sikkerhetsansvarlige må være klare over den potensielle risken de tar ved å bruke programvare eller maskinvare fra tredjepartsleverandører som ikke har en forsvarlig sikkerhetsstruktur.
• Nyetya og Ccleaner er to eksempler på slike angrep fra 2017.
• Sikkerhetsansvarlige bør foreta en gjennomgang av sine tredjepartsløsninger for å redusere risikoen for slike angrep.

Nettverkene blir mer komplekse og mulighetene for sikkerhetsbrudd øker

• Det implementeres en stadig mer kompleks blanding av produkter fra en rekke ulike leverandører for å beskytte mot sikkerhetsbrudd. Dette kan ha store negative innvirkninger på nettverket og organisasjonens evne til å forsvare seg mot angrep.
• I 2017 fortale 25 prosent av de spurte sikkerhetsansvarlige at de bruker produkter fra 11 til 20 forskjellige leverandører, opp fra 18 prosent året før.
• Sikkerhetsansvarlige oppga at 32 prosent av sikkerhetsbruddene påvirket mer enn halvparten av deres systemer. I 2016 var det kun 15 prosent som oppga det samme.

Bruken av skytjenester øker – angriperne utnytter mangelen på avanserte sikkerhetsløsninger

• I årets rapport oppga 27 prosent av sikkerhetsansvarlige at de bruker private skytjenester utenfor sitt eget datasenter. Til sammenligning oppga 20 prosent det samme i 2016.
• Blant disse oppga 57 prosent at de bruker skytjenester som vert for sine nettverk på grunn av bedre sikkerhet. 48 prosent oppga skaleringsmulighetene som årsak til at de bruker skytjenester, mens 46 prosent svarte at det var på grunn av brukervennligheten.
• Selv om skytjenester kan tilby bedre datasikkerhet, kan angripere utnytte det faktum at de sikkerhetsansvarlige for skytjenestene ikke klarer å holde tritt med det økende volumet og utvidelsen i bruken av skytjenster. Kombinasjonen av «best practice», avanserte sikkerhetssystemer som maskinlæring, samt sikkerhetsplattformer for skyer kan hjelpe til med å beskytte disse løsningene.

Det økende volumet innen skadelig programvare har påvirkning på TD

• Cisco sin median for måling mellom sikkerhetsbruddet og oppdagelse, «time to detection» (TTD), er ca 4.6 timer for perioden mellom november 2016 og oktober 2017. I 2015 var denne medianen på 39 timer, og 14 timer i oktober 2016. I siste halvdel samme år var den på seks timer.
• Bruken av skybasert sikkerhetsteknologi har vært en viktig faktor for Cisco for å holde TTD-medianen på et lavt nivå. Jo raskere TTD, jo raskere kan man løse problemet.