Cyberkriminella tvingas ta till allt större kreativitet i spridandet av skadlig kod, samtidigt som användarna fortsatt är den gemensamma nämnaren när nya sårbarheter utnyttjas. Med en kombination av zero trust och virtualisering kan skadlig kod stoppas innan systemet ens har upptäckt att den existerar.
HP Wolf Securitys kvartalsvisa ”Threat Insights Report” baseras på data från verkliga attacker upptäckta via HPs säkerhetssystem och ger därmed en unik insikt i hotbilder och trender under den aktuella tidsperioden. Den senaste rapporten visar bland annat att genvägsfiler har börjat ersätta makron i Office som distributionskanal för skadlig kod – en utveckling som tillkommit efter att makron börjat blockeras som standard i programmet. Genom att angriparna placerade LNK-filer i zip-arkiv och skickade dessa som e-postbilagor ökade risken att den skadliga koden passerade företagets e-postscanner.
– Detta är en helt makrofri kodexekveringsteknik som kan vara mycket effektiv. Angriparna är ofta rätt kreativa, vi har till exempel sett att det skickas ut fejkade vip-biljetter inför stora event där malware planteras på användarens dator så fort de öppnar bilagan, säger Robin Jönsson, HP Solutions Sales Nordic.
Läs HP Wolf Security Threat Insights Report
Nya metoder, samma svaga länk
Under det senaste kvartalet utnyttjades också en nyupptäckt nolldagssårbarhet i diagnosverktyget MSDT som döptes till Follina. Sårbarheten gjorde det möjligt att köra skadlig kod i drabbade system via externa länkar i Word-dokument.
– Cyberbrottsligheten utvecklas ständigt men den vanligaste attacken är fortfarande riktad mot endpointen, förklarar Robin Jönsson. Angriparna riktar in sig på den svagaste länken och det är ofta vi människor som är enklast att bryta sig förbi. Vi öppnar bilagor och klickar på länkar vi inte borde. Gemensamt för många tekniker är att användaren behöver ”luras” på något plan, men Follina involverade väldigt lite interaktion från de som utsattes.
Så kallade nolldagssårbarheter, zero day vulnerabilites, är ett samlingsnamn på säkerhetshål som ännu är okända och därmed öppna för angripare att utnyttja. Efter att de upptäckts behöver mjukvarutillverkaren i regel veckor eller månader för att uppdatera koden och släppa en patch, vilket ger angripare ett fönster där de kan agera relativt ostört. Microsoft lyckades patcha Follina på endast 63 dagar vilket är snabbt agerat med tanke på att den genomsnittliga tiden för att uppdatera är 97 dagar.
– Traditionella skydd är ganska bra på att upptäcka skadlig kod, men utmaningen är just att skyddet måste veta vad den ska upptäcka. Nolldagssårbarheter är okända innan de identifieras och skydden vet därmed inte vad de ska filtrera bort. Det räcker med att bara någon procent slinker igenom för att orsaka stor skada i ett företag, säger Robin Jönsson.
Unik lösning
HP Wolf Security bygger istället på att alla vanliga bilagor – som exempelvis Microsoft Office och Adobe – öppnas i en säker, virtualiserad miljö, helt frånkopplad från användarens operativsystem. Detta sker oavsett om systemet tror att filen är skadlig eller inte. Eventuell skadlig kod isoleras och hindras på så sätt från att sprida sig utan att användarnas produktivitet påverkas. Samtidigt loggas statistik så att it-avdelningen får den feedback och information som behövs för att vidta åtgärder.
– Kombinationen av zero trust och virtualisering gör att systemet inte behöver upptäcka skadlig kod för att stoppa den. Det är en unik lösning, och ger ett effektivt skydd mot de hot vi nu ser öka, avslutar Robin Jönsson.
