Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Sårbarheter i MQTT- och CoAP-protokoll

|

Forskare från Trend Micro har upptäckt sårbarheter i MQTT och CoAP-protokoll. Det handlar om hundratals felkonfigurerade MQTT-, och CoAP-tjänster vilka kan läcka känslig information. 

Teckna din prenumeration på Aktuell Säkerhet här

Trend Micro skriver att många användare är omedvetna om sårbarheterna vilket innebär att dessa protokoll blir utmärkta måltavlor för hackare som vill åt känslig användardata, järrstyra offers uppkopplade enheter, eller utföra riktade attacker mot nya offer.

Läs rapporten The Fragility of Industrial IoT’s Data Backbone: Security and Privacy Issues in MQTT and CoAP Protocols här.

Stor IT-attack mot hotellkedja

|

Under fredagen meddelade den amerikanska hotellkedjan Marriott att information från deras bokningssystem har varit tillgänglig i fyra års tid. Man befarar att det det kan ha drabbat 500 miljoner gäster, rapporterar CNN. 

Teckna din prenumeration på Aktuell Säkerhet här

Det rör sig om en historiskt stor läcka i programmet Starwood – ett program som även används av Shreaton, Westin och W Hotels. Hackarna har fått tillgång till information som namn, telefonnummer, e-post, passuppgifter och i vissa fall betalkortsuppgifter. Eftersom att flertalet av de gäster som kan ha drabbats är EU-medborgare kan läckan leda till stora GDPR-böter.

Hotelljätten finns i 129 länder och har meddelat att man kommer ta kontakt med de hotellgäster som drabbats. Händelsen är polisanmäld och kommer att utredas av åklagarmyndigheten i New York.

IT-säkerhet på agendan när Di gästade Berns

|

IT-säkerhet var rubriken på den konferensdag på Berns som Dagens industri anordnade för branschen den 20/11. Programmet bestod bland annat av talare som MSB:s generaldirektör Dan Eliasson, IT-säkerhetsforskare på FOI Mikael Wedlin och informationssäkerhetsexpert på Junglemap, Robert Willborg. 

Teckna din prenumeration på Aktuell Säkerhet här

Dan Eliasson, generaldirektör MSB

Det var Dan Eliasson som fick inledningstala i Berns stora sal under Di:s IT-säkerhetskonferens. Under rubriken Nya säkerhetsutmaningar i en förändrad värld – varifrån kommer hoten och hur skyddar vi oss? höll han ett uppskattat anförande som många av de andra talarna skulle plocka trådar från i sina egna dragningar.

Tidigare i år fick Aktuell Säkerhet en intervju med Dan Eliasson: läs här:  

Niclas Nyström från DigiPlex, en av partnerna till konferensen, var uppbjuden på scen för att diskutera Datacenter – vikten av fysisk säkerhet i framtidens it-infrastruktur. Klicka här för att läsa om hur DigiPlex anläggning i Upplands Väsby använder värmeavfall för att värma upp 10 000 lägenheter (engelska).

Peter Gustavsson från Transportstyrelsen, Matilda Tidlund från Telia och Cecilia Laurén från FRA deltog i en paneldiskussion om hur en stark säkerhetskultur kan skapas i en organisation.

– Säkerhet ska vara en del av lösningen, inte en del av problemet, sade bland annat Matilda Tidlund. Peter Gustavsson kom med en hel del insikter om hur arbetet på Transportstyrelsen förändrats sedan skandalen 2017. I Aktuell Säkerhet nummer 4 gjorde vi en stor intervju med Jens Johanson på Transportstyrelsen om vad som hände i kölvattnet efter IT-skandalen.

Robert Willborg från Junglemap, en annan partner till konferensen, höll sitt anförande om informationssäkerhet i vilket han underströk vikten av att som företag börja tänka kring en ny triad.

– Generationen som kommer efter oss definierar inte säkerhet så som vi gör det. Vi måste därför börja med att hitta en samsyn för att sedan ta fram en gemensam awareness-struktur som funkar för alla.

Robert Willborg har även skrivit en krönika om hackares A, B och C speciellt för Aktuell Säkerhet. Den krönikan hittas här. 

Håll även utkik i Aktuell Säkerhet nummer 7 2018 som kommer ut fredag den 23/11. I det skriver Robert Willborg om NIS-direktivet.

 

Tyskt IT-säkerhetsföretag etablerar sig i Sverige

|

Link11 heter det tyska IT-säkerhetsföretag som nu etablerar sig i Sverige. Bolaget, som inriktat sig på skydd mot DDoS-attacker i molnet, skriver i ett pressmeddelande att de nu tillsätter Jesper Permerud som ny försäljningschef i Norden och Baltikum.

Teckna din prenumeration på Aktuell Säkerhet här

Link11 har en egenutvecklad, molnbaserad säkerhetslösning för DDoS-attacker som ärhelt automatiserad och som med hjälp av AI och maskininlärning kan identifiera skadlig trafik. Jesper Permerud har över 15 års erfarenhet inom försäljning, marknadsföring och affärsutveckling för IT- och telekomrelaterade produkter och tjänster. Jesper kommer senast från nätverksföretaget CenturyLink.

– Jesper har djup kunskap och lång erfarenhet från vår bransch och förstår den nordiska säkerhetsmarknaden mycket väl.  Han kommer att kunna identifiera rätt kundgrupp och partners och kommer därmed att snabbt kunna etablera företaget i regionen och driva vår tillväxt på marknaden, säger Marc Wilczek, vd för Link11.
– Link11:s innovativa lösningar adresserar det växande problemen med komplexa, omfattande överbelastningsattacker så kallade DDoS- attacker. Jag tror att det finns ett stort behov av Link11:s lösningar, och ser fram emot att leda företagets försäljningsarbete i hela regionen, säger Jesper Permerud.

Hallå där Espen Gylterud, IT-säkerhetsarkitekt på Plantagen

|

Ni har precis flyttat från en centraliserad IT-drift till molnet, vilka har varit de främsta utmaningarna? 

– En av de största utmaningarna med flytten har varit att konsulterna som arbetar med traditionella säkerhetslösningar nödvändigtvis inte har kompetensen kring säkerhet i molnet, och vise versa. Just därför har min roll gått ut på att föra samman experterna från de olika ”sidorna” för att få dem att kommunicera och lösa problem tillsammans. Dock skulle jag vilja poängtera att fördelarna självklart väger tyngre och applikationerna, prestandan, tillgängligheten och driften vi får i Amazons moln är betydligt bättre än de vi hade i det egna datacentret.

Varför räcker inte traditionella säkerhetslösningar när det kommer till molnet?

– Många säkerhetslösningar för molnet är inte så utvecklade, utan ligger ungefär där on-premise-lösningarna var för några år sedan. Eftersom hoten mot molninfrastrukturer ökar ville vi ha en modern säkerhetslösning och samma säkerhetsnivå on-premise som i molnet. Det kunde vi få med CloudGuard (Iaas) från Check Point.

Vad har du för råd till företag gällande tänket kring säkerhet och val av molntjänster?

– Mitt främsta råd är att du som kund måste sätta säkerhetsnivån. Du måste börja i rätt ände med strategi och policys. Det gör det enklare att hitta rätt säkerhetsleverantör. En av fördelarna med exempelvis Amazon är ju självklart att det går att rulla ut lösningarna snabbt, men ansvaret för att leverantörerna lever upp till din säkerhetsnivå ligger på dig. Du kan inte kompromissa bort säkerheten, utan måste anpassa säkerhetslösningen för att passa din verksamhet. Trots GDPR skulle jag vilja påstå att det fortfarande finns olika definitioner på säkerhet och ingen riktig samsyn, och just därför måste du ha din strategi och policy kring säkerhet klar för att möta kraven och stå emot de ökade hoten. Denna grundförståelse för IT-säkerhet idag har varit en mycket lärorik resa för oss på Plantagen det senaste året.

Trend Micros lösning stoppar cyberhot automatiskt

|

Trend Micro meddelar i ett pressmeddelande att de utökar sitt skydd inom klientsäkerhet och lanserar Trend Micro Apex One. Lösningen söker automatiskt upp nya cyberhot, stoppar dem, och rapporterar samtidigt relevant säkerhetsinformation till företagets IT-avdelning.

Teckna din prenumeration på Aktuell Säkerhet här

Johan Jarl, sälkerhetsexpert på Trend Micro

– För att klara sig i dagens cyberlandskap krävs det flera lagers skydd, något som alltid har utgjort fundamentet i vår säkerhetsstrategi. Apex One är, med sina multipla funktioner, ett utmärkt exempel på detta och kommer att ge IT-avdelningarna den trygghet de behöver för att göra sitt jobb på bästa sätt, förklarar Johan Jarl, säkerhetsexpert på Trend Micro i Sverige.

Dessa är de tre nyckelegenskaperna i Trend Micro Apex Ones heltäckande klientskydd:

  • Automatisk sökning och hantering av hot:

Apex One bygger på XGen – en samling detekteringstekniker som aktiverar rätt typ av skydd mot respektive hot – och innefattar både branschledande patchning från Trend Micros rapporteringsprogram Zero Day Initiative, samt en rad moderna tekniker för sökning och blockering av avancerade hot.

  • Insikter om nya hotbilder:

Förutom en ökad möjlighet till sökning och hantering av hot (EDR) så har Apex One även möjlighet att sammankopplas med Trend Micros tillvalstjänst för övervakning (MDR), som ger företagens IT-avdelningar information och varningar om nya hot.

  • Flera branschledande skydd i ett:

Apex One ger en rad branschledande skydd, såsom EDR, inom en och samma lösning. Detta förenklar vardagen för IT-avdelningarna och täpper igen eventuella säkerhetsluckor.

 

 

Ny bok om IT-säkerhet

|

Boken ”Bli säker” är skriven av Karl-Emil Nikka och förklarar hur vi, på ett lättbegripligt vis, löser dagens IT-säkerhetsutmaningar. Målsättningen är att läsarna ska lära sig hur de skyddar sina digitala privatliv och blir till riskmedvetna medarbetare på dagens arbetsplatser.

Teckna din prenumeration på Aktuell Säkerhet här

– För att vi ska kunna bli säkra måste vi först bli medvetna om hur angriparna arbetar och vilka säkerhetsrisker vi utsätts för, förklarar Karl Emil Nikka.

Boken behandlar allt från säkerhetskopiering och lösenordshantering till säkra webbvanor och identifiering av nätfiske. Det gör boken lämplig för både privatpersoner som vill bli säkra och företag som vill utbilda sina anställda. Karl Emil Nikka ser gärna att företagen satsar mer på denna typ av internutbildning.

– Inget företag är säkert utan att ha säkra medarbetare. Ingen medarbetare kan bli säker utan att få rätt kunskaper. Idag råder det bevisligen en stor kunskapsbrist då skräpmejl fortfarande utgör företagens största infektionsrisk, fortsätter han.

Den går även igenom hur attackförsök avslöjas, hur datorer ska konfigureras och hur inloggningsuppgifter bör hanteras. Dessutom slår den hål på långlivade myter om bland annat lösenord.

– Vi måste modernisera vårt sätt att logga in. Vi måste definitivt sluta med trams såsom krav på periodiska lösen­ordsbyten eller lösenord med blandade teckentyper, avslutar Karl Emil Nikka.

IT-ansvariga tror säkerhet ingår i molntjänster

|

Företag som köper publika molntjänster missuppfattar vem som ansvarar för säkerheten i tjänsterna. Nära en tredjedel tror att skyddet för deras data och applikationer ingår i tjänsten, vilket sällan är fallet. Detta enligt en undersökning genomförd av Palo Alto Networks.

Teckna din prenumeration på Aktuell Säkerhet här

Undersökningen visar bland annat:

  • En stor majoritet (83 procent) av säkerhetsansvariga känner ett stort förtroende för sin molntjänstleverantörs förmåga att skydda infrastrukturen.
  • Samtidigt är det bara hälften (51 procent) som känner till att de också har ett eget ansvar för säkerheten.

Undersökningen genomfördes för Palo Alto Networks av Vanson Bourne. Resultaten baserar sig på svar från 500 IT-ansvariga med ansvar för säkerheten i verksamheter med mellan 500 och 5 000 anställda i Sverige, Frankrike, Italien, Storbritannien, Tyskland, Förenade Arabemiraten och Saudiarabien.

Samtidigt som många är osäkra på säkerhetsansvaret är det många som använder flera olika publika molntjänster. De flesta svarar att de har åtminstone två molnleverantörer och 44 procent svarar att de har tre eller fler. Mer än hälften (52 procent) medger att deras verksamheter inte har granskat säkerhetskraven tillräckligt när de valt en molnleverantör.

– Vår undersökning visar att säkerhetsansvariga har stort förtroende för molntjänsterna men inte vet vilket ansvar de själva har för säkerheten för sina egna data och applikationer. Säkerhetsteam kan inte anta att säkerheten som ingår i publika molntjänster ger ett fullständigt skydd. Idag uppger bara lite fler än en av tio att de kan ha samma säkerhetspolicy över hela IT-miljön, inklusive flera olika molntjänster. Detta är en situation som måste bli bättre, säger Greg Day, CSO för EMEA för Palo Alto Networks.

Dataintegritet och säkerhet största teknikbekymret

|

Insight Intelligent Technology Index är en undersökning i vilken IT-chefer från nio europeiska länder, däribland Sverige, deltar. Årets upplaga visar att hela 97 procent av svenska IT-chefer ser dataintegritet och säkerhet som den allra största teknikutmaningen, en siffra som är betydligt högre än i övriga Europa där (57 procent).

Teckna din prenumeration på Aktuell Säkerhet här

Det är också här de ser behovet av de största investeringarna under de närmaste åren och sju av tio säger att de kämpar för att klara alla åtaganden. Förutom säkerhet är det framförallt investeringar i molnet och på mobilitet som behövs, enligt de svenska IT-proffsen.

Säkerhet och integritet har alltid varit i fokus för IT-avdelningarna, men GDPR har intensifierat arbetet. Brister i dataintegritet kan innebära att kunder tappar förtroendet för företaget och varumärket skadas. De kulturella och teknologiska utvecklingarna har kastat in IT i ett tillstånd av förändring med större roller och ansvar.

– Företagen är medvetna om hur viktig teknologin är för affärsstrategin. Den påverkar allt från att göra personalstyrkan mer produktiv och uppkopplad, till att få större marknadsandelar och lojalare kunder. Insights Intelligent Technology-index visar hur konkurrerande behov av IT förhindrar möjligheten att planera och vara innovativ”, säger Susanna Reppling, ansvarig för Insight Nordics.

Ladda ner och läs hela rapporten här.

”IT Security is important in the same way that cleaning office toilets is necessary”

|

Greg Ferro is Co-Founder of Packet Pushers Interactive LLC. An emerging media company covering the technology market from the perspective of an enterprise customer. We had a chat with him about the IT security landscape and it’s challenges.

What is Packet Pushers?

Packet Pushers is podcasts for IT Infrastructure professionals who want know more and make the most of your time in the car or on a plane. Our hosts are real engineers, talk nerdy and get the discussion into technology and not marketing. We’ve been doing it for ten years, we must be doing something right.

Today we have a 7 podcast channels focussed on data networking and cloud markets. Check us out on Apple Podcasts, Spotify or your favourite podcatcher by seraching for Packet Pushers.

You’ve said that IT security is overrated , can you develop on that?

Security is about protecting items of value to us. For example, we live in houses to keep the weather out and provide protection from bad actors. We make conscious balancing decisions to reduce the security of houses by adding doors and windows  because we value simple access, a nice view and fresh air.

Houses with valuable goods or people with high risk professions will spend money to improve door locks, windows and may even go so far to install cameras and alarms. How much you spend on security varies according to your need.

IT Security protects business operations at a cost. Its doesn’t add value by improving profits or sales so we want to cost to be low as possible. IT Security is important in the same way that cleaning office toilets is necessary but not important.

Companies Don’t Fail Over IT Security

Surviving failure is normal for businesses. A bad project, product failures, board infighting, or management scandals are everyday events but companies don’t fail. Security isn’t important compared to these issues.

When we look at IT Security events over the last decade, how many companies were forced out of business ? Did they suffer long term loss of value ? Facebook has had a string of data breaches. Equifax, Heartland Payment Systems, British Airways are major companies with huge security failures and zero impact.

Consider the Equifax hack in particular:

A trusted technology company to manage sensitive personal data for credit checking. The organisation should have world class security functions.
A key technology infrastructure for consumer financial transactions
A series of security failures in 2016-2017 across multiple systems in many countries.
Was breached using well known, public vulnerability in their core business application. Equifax knew about this for nine months.
IT security process shown to be laughably poor following audits
Poor response to security incident with false statements, exaggerated claims, and even insider trading

While a few people lost their jobs, some with handsome packages,  Equifax has suffered zero financial or business impact. They continue to operate credit services for profit.

If the business impact of IT security failure is so low, then we must focus on reducing the absolute cost. Here are some guidelines:

  • It must be cheap because the cost of failure is low.
  • It must be easy to manage like cleaning toilets
  • IT Security people need to understand they have limited value or importance and be realistic.
  • It must not impede the core business function and cause lost profits, lost productivity or lost opportunity. Security comes last because no profit means no need for security.
  • Companies must prepare for security failures as they do for any other failure (and maybe that means no preparation at all!).
Simon Crumplin from Secrutiny said when you interviewed him that security needs more people and operations, not products. What is your opinion?

We need more people and less products. Why ? You need people to use the available  tools and deliver business value. A threat intelligence feed performing inspection on an application firewall delivers no value unless it has ongoing configuration and analysis by an operator. As the apps change or new threats emerge it is the customers responsibility to observe and respond. Vendors and services are unable to deliver this customisation.

Companies like Secrutiny are showing companies that less products and more people focussed on common security tasks get better results. Simple activities such as patching.

Headcount Reduction Problems

We have seen a boom market for security products over the last five years. Venture capital has pumped hundreds of millions into enterprise security startups now desperate to generate a return. Many are choosing to feed the executive fear cycle following the Snowden era five years ago. Security sales teams are well-trained to sell fear and uncertainty e.g. upgrade to application firewalls for protection with new tools to detect attacks, replace your intrusion detection with cloud-based threat intelligence services.

Of course the question “Are you secure? ” is an infinite selling opportunity that buyers cannot handle. Why ? Here are just two reasons.

Reducing Headcount. Its the current fashion to reduce IT headcount to fund new purchases. IT budgets are not getting bigger so vendors have built products that “replace head count” and you can use the funds to buy more products. Of course, the IT team no longer has the time or skill to operate them to make the company secure.

Lack of competency. As headcount reduces, I see a  colony collapse in technology competency. A small team often lacks the diversity and bandwidth to share, support and encourage each other. And the work commonly devolves into firefighting and job hopping instead of fulfilling creative and successful work.

Not only security

Understaffing and poor training is not unique to security, it applies to all areas of Enterprise IT. Companies talk a great deal about ‘digital transformation’ and ‘online first’ while failing to invest in the people that create the change. is business as usual.

IT Security is no more or less critical to the business than any other area. At the same time, these functions need head count to deliver the solution just like cleaning the toilets. Its unavoidable.

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29