Dette lærte RSA av angrepet

Dette lærte RSA av angrepet

Selskapets sikkerhetssjef forteller om hvordan RSA ble angrepet og hvordan du kan unngå det samme.

LONDON/OSLO: Eddie Schwartz ble ansatt i RSA etter det pinlige sikkerhetsbruddet selskapet ble utsatt for i vår. Han ble overrasket over de ansattes engasjement da han begynte i sin nye jobb.

- Jeg la merke til at folk var høyt motivert. De var sint på angriperne og kalre for å gjøre nye og annerledes ting internt som også kunne ende opp med å bli nye produkter, sier han.

Angrepet mot RSA førte til en melding fra den EMC-eide sikkerhetsgiganten om at deres tonivå-autentiseringsløsning ble svekket. Securid brukes av 25.000 selskaper verden rundt, i alt fra pc-er og minnepinner, til mobiltelefoner og ulike passordkalkulatorer.

Sikkerhetsbruddet skjedde ved at en ansatt innenfor brannmuren åpnet et uheldig vedlegg. Angrepsformen omtales gjerne som ”Advanced Persistent Threat”, og er heit blant skurkene for tiden. Det er den samme angrepsformen Google ble utsatt for for rundt et år siden.

Men ekstra pinlig er det jo når et sikkerhetsselskap går fem på og opplever sikkerhetsbrudd.

Ansatte på hugget

Rett etter bruddet kjøpte RSA selskapet Scharwtz til da hadde vært administrerende direktør i, Netwitness, et selskap som hjalp til i etterforskningen av sikkerhetsbruddet. Scharwz hevder det ikke var på grunn av angrepet selskapet ble kjøpt opp, de to selskapene hadde samarbeidet i tre års tid.

Rett etterpå ble Schartz altså tibudt jobb som sikkerhetssjef.

- Jeg måtte tenke på jobbtilbudet en dag eller to, delvis for å diskutere vilkår og høre hva de forventet. Selv ønsket jeg å skape nye ting, ser Schwartz.

At de ansatte var såpass ivrige etter bruddet, heller en nedbrutt, gjorde dette mulig for den nyansatte Schwartz.

- Som sikkerhetssjef hender det du må ta noen kamper for å få det som du vil, men i RSA kom det i stedet andre ansatte til meg og spurte hvordan de kunne hjelpe, sier han.

Menneskets svakhet

RSA har selvfølgelig tipp topp brannmur og sikring. Men når alt kom til stykket var det en enkeltbruker som knakk deres sikkerhet. Schwartz tror det er viktig for bedrifter å prioritere hva som skal beskyttes.

- Du kan ikke beskytte alt like bra. Det gjelder å vurdere hva som er viktigst i verdi, sier han basert på erfaringene med bruddet.

- Du bør ha en liste over inventar og hva slags teknologi du har. Folk flest vet at de har filer på hovedserveren, men det ligger ofte kopier på bærbare maskiner og sikkerhetskopikasetter. Man må basert på inventarlisten vurdere om det er for mange kopier rundt om. Og prioritere hva som er viktigst. Av 100 filer, hvilke er de viktigste 20? Det ideelle hadde vært å beskytte alle, men de fleste selskaper kan ikke bruke hele overskuddet sitt på å beskytte alt.

- Det beste angrepet er nok angrepet som ikke oppdages. Hvordan skal man håndtere denne utfordringen?

- Et av de største problemene er at du ikke kan endre oppførsel, og selv om du kan endre oppførsel, kan du ikke hindre folk i å gjøre tabber. Så man må kompensere på andre måter. Vi kan ikke stoppe alle angrep, så vi må bli bedre på å oppdage dem. Forhindring har vært i fokus, mens det burde være mer oppmerksomhet rundt å oppdage angrep, sier Schwartz.

- Hvis de beste angrepene er usynlige, må vi finne ut hvordan vi som industri kan lære menneskene å oppdage dem. Lære dem hvordan man ser etter trøbbel.

Det gjelder å se på hvor lang tid angrep tar å avdekke, mener Schwartz.

- Risikovinduet må stenges enda mer. Tiden det tar å oppdage et angrep må kortes ned. Både for oss og våre kunder.

Branntest

Han mener en god måte å få folk til å få opp øynene kan være en slags brannøvelse. Rett og slett en test der de ansatte muligens går fem på, og i så fall får anledning til å lære hva som gikk galt.

- Man kan gjennomføre et nettfiskeangrep som de ikke vet om, og så invitere dem og andre i testen til et møte. Der kan du forklare hva som har skjedd, at angrepet ga deg tilgang til fortrolige dokumenter, og at konsekvensene av et reelt angrep potensielt kunne vært at bedriften gikk konkurs og at den enkelte ansatte mistet jobben, sier sikkerhetssjefen.

- Forklare dem konsekvensene og ringvirkningene det får for livet deres. Da blir alt mer realistisk, utdyper han.

Det kan kanskje høres radikalt ut å gjennomføre en test, men man lærer jo av sine feil, sies det. Og det er denne teknikken Schwartz foreslår. Han mener på ingen måte folk som går fem på en slik test skal sparkes, fordi folk som har blitt brent har erfaringen til å ikke få brannsår igjen.

Les også sikkerhetsekspert av annen mening:

- Noen ganger er brukeren dum, det er bedre å true med sparken

- Du kan godt forklare et problem til folk, men før de opplever det blir det ikke det samme, forklarer Schartz.

Kjenn fienden

Dagens trend er målrettede angrep. Schwartz forventer at vi i minst et par år til vil fortsette å se at angrep rettes mot strategiske mål. Økonomiske og militære mål. Angrep på steder som har verdier i form av intellektuelt eierskap.

- Slike angrep har foregått en stund, men nå våkner vi. Vi vil også se flere angrep mot mobile plattformer, for eksempel via problematiske bindinger mellom 3G, 4G og Wifi. Angrep i skyen – jeg tror ikke det finnes noen som forstår nettskysikkerhet ennå. Likevel stresser alle mot skyen, sier han.

- Mange leverandører sier de driver med nettskysikkerhet, men jeg mener vi har en lang vei å gå. Selv om det vil komme en god løsning til slutt.

- Mon tro om det hadde vært bedre å gå tilbake til det gode gamle analoge arkivskavet med nøkkellås?

- Tja, spioner pleide jo å bryte seg inn og stjele der også. Alt som er farlig i den analoge verden vil overføres til nettverden.

Han mener du må kjenne din fiende.

- Du må se forbi hackere, viruser og trojanere. Hvem er bakmennene? Er de kriminelle? Er det nasjoner? Netterrorister? Innsidere? Hva er motivasjonen deres? Og hva er sannsynligheten for at de lykkes? Å stille disse spørsmålene vil hjelpe deg planlegge forsvaret ditt, sier Schartz.

- Er det skurker har de for eksempel mindre ressurser enn nasjoner vil ha. Om du forsvarer deg godt, vil skurkene til slutt gi opp fordi de ikke har råd til å angripe lenger.

Les om: