• HP_1140x300_ASW.jpg
  • SSF_Dec_ny.jpg
  • 1140x300_2021_229.jpg
  • Hem
  • Tidigare Nummer
  • Annonsera
  • Om oss/Kontakt
  • Säkerhetsmarknaden
  • Prenumerera
  • SAB

Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

  • Paradow_ASW2002_NY.gif
  • NY_header_SSF_ASW2011.gif

”Världshistoriens största IT-säkerhetsbrist – hittills”

2018-01-09 | Linda Kante

Hårdvarubristerna Spectre och Meltdown gör nästan alla moderna datorer sårbara – framför allt molnsystem. Detta är ett paradigmskifte, där en tidigare välkänd men inte fullt utforskad typ av säkerhetsbrist nu i sin fulländade form ger angriparen närmast övernaturliga krafter, menar IT-säkerhetsexperten Krister Hedfors, konsultchef och ansvarig för penetrationstester hos Sentor.

Krister Hedfors

En grupp säkerhetsexperter från bland annat Google har skapat ett modernt mästerverk i grenen ”side channel attacks”. Genom att kombinera exakt kännedom om moderna processorers optimeringsmetoder med väldigt precisa tidsavläsningar har man lyckats utveckla något som kan liknas vid en form av högteknologisk kristallkula – möjligheten att läsa skyddat minne från andra program eller andra virtuella maskiner som delar samma processor.

Teckna din prenumeration av Aktuell Säkerhet här

Sårbarheterna har existerat i över ett decennium och berör merparten av alla moderna datorer. Territoriet är dock så pass tekniskt utmanande att vi först nu kan dra dessa generella slutsatser om brister som visat sig väsentliga i flera tidigare uppmärksammade men mer avgränsade sammanhang.

#2. Annonser

  • Jobba_Sakert_Banner_Liten_Byta_Ut.gif

– Räkna med att detta blir startskottet för en lång rad ytterligare säkerhetsbrister i processorer, drivrutiner och andra program framöver, säger Krister Hedfors.

Sårbarheterna har störst påverkan på molnleverantörer, eftersom de tillhandahåller delad infrastruktur mellan olika kunder. Om en sårbar applikation körs, eller om en illvillig användare utnyttjar dessa brister, kan dessa potentiellt användas för att stjäla information från andra kunder i molnmiljön. I många fall kan detta ge angriparen full kontroll över hela systemet, menar Krister:

– Det finns högt kvalificerade angripare, främst statssponsrade aktörer, som ligger ett par steg före den offentliga debatten. Ett hundratal utvecklare fick i hemlighet kännedom om dessa brister för ungefär ett halvår sedan, för att kunna utveckla patchar. Samtidigt ligger marknadsvärdet inom den digitala vapenindustrin för program som utnyttjar dessa brister på 30 miljoner SEK och uppåt. Typiska köpare är säkerhetstjänster med trebokstavsförkortningar. Kanske har bristerna redan utnyttjats för att hoppa runt bland olika molnleverantörer.

Expertens tips på förebyggande åtgärder

Även om du har system i delade molnmiljöer kan du vidta åtgärder för att höja din egen informationssäkerhet. Här är Krister tips på förebyggande insatser:

Ta ansvar för att skydda dina outsourcade tillgångar 

Outsourcing och molntjänster i synnerhet är attraktiva då dessa i många fall erbjuder en problemfri drift. Men att lämna ifrån sig data och i vissa fall sin kärnverksamhet till en externpart innebär inte nödvändigtvis att din data är säker. Därför är det upp till dig att säkerställa att dina outsourcade tillgångar är skyddade i den utsträckning som du bedömer vara nödvändig. Bör din data exempelvis hanteras på en separat instans i molnet, alternativt flera separata instanser? Spectre och Meltdown har tydligt påvisat riskerna med molninfrastruktur, även internt driftad sådan.

Upprätthåll en beredskapsplan

En beredskapsplan underlättar hanteringen av en allvarlig säkerhetsbrist som riskerar att ha påverkan på fortsatt verksamhetsutövande. D els genom att begränsa skadeverkan men även genom att utgöra en handlingsplan för att minimera fortsatt påverkan på verksamheten . En sådan plan bör ta höjd för allvarliga säkerhetsbrister i de fall dessa riskerar att påverka upprätthållandet av verksamheten negativt. En beredskapsplan är även aktuell i de fall då delar, alternativt hela IT-miljön är outsourcad till en molnleverantör.

Aktivt arbeta med processer för att analysera samt hantera risker

Genom att regelbundet analysera risker relaterade till sina tillgångar samt hur de förhåller sig till omvärlden, kan man nå insikt kring vilken riskbild som existerar. Den insikten skapar möjlighet att på ett strukturerat och prioriterat vis, hantera risker. Genom att ha en etablerad struktur för att hantera risker samt sina tillgångar (exempelvis enligt ISO 27001) har man ett försprång vid omvälvande sårbarheter som Spectre och Meltdown.

RELATERADE POSTER

  • Ännu ingen lösning på Intels två säkerhetshålÄnnu ingen lösning på Intels två säkerhetshål
  • Nytt säkerhetshål hos Intel-processorerNytt säkerhetshål hos Intel-processorer
  • Svenska IT-ansvariga har dåligt självförtroendeSvenska IT-ansvariga har dåligt självförtroende
  • ”Mobilerna blir mer utsatta under 2021””Mobilerna blir mer utsatta under 2021”

Arkiverad under: Nyheter Taggad som: #cybersäkerhet, #intel, #meltdown, #sentor, #spectre

Är du verkligen säker i hemmets trygga vrå?

2020-12-21 Reklamsamarbete

Många av oss arbetar hemma och troligtvis är hemmakontoret här för att stanna. Kanske inte fullt ut men som ett gott komplement till det traditionella kontoret. Men att arbeta hemifrån ställer höga … Läs mer

Många små och medelstora företag förbiser molnets fallgropar

2021-01-18 Debatt

Potentialen i molntjänster är verkligen stor för små och medelstora företag, men de måste också se upp för fallgroparna – särskilt kring många molnlösningars brist på säkerhetskopiering. Det finns … Läs mer

Ny standard för lokala varningssystem vid naturolyckor

2021-01-18 Nyheter

Oförutsedda händelser och yttre påverkningar kopplade till naturolyckor ställer höga krav på säkerhet och hantering av samhället, individer och organisationer. Nu finns en ny ISO-standard för … Läs mer

Vattenkraft och Confidence skriver avtal

2021-01-18 Nyheter

Vattenfall tilldelar Confidence ett ramavtal avseende teknisk säkerhet och brandskydd. Ramavtalet omfattar tjänstesegmentet installation av brand- och säkerhetstekniska system på Vattenfalls … Läs mer

En podd om och för Sveriges säkerhetschefer

2021-01-18 Nyheter

I dag går den nya podden Sveriges säkerhetschefer – en podcast helt fokuserad på rollen som säkerhetschef och arbetet på säkerhetsavdelningen – live. – Vi vill med podden Sveriges … Läs mer

Hallå där…

2021-01-15 Nyheter

…Teodor Bohman, tillsammans med Hugo Bendelin har du startat ett företag som tar fram krislådor. Du gick ut trean på gymnasiet 2020 och din kollega har ett år kvar. Hur kom ni på idén? – Jag … Läs mer

Kaspersky tillsätter ny Nordenchef

2021-01-15 Personalnyheter

Kaspersky har utnämnt Mark Beunk till Nordenchef samt chef över Benelux-länderna. Han kommer framöver att ansvara för den dagliga verksamheten i Sverige, Norge, Danmark, Finland, Island, Belgien, … Läs mer

Ny Vice President R&D på Advenica

2021-01-15 Personalnyheter

Advenica rekryterar Patrik Åkesson som ny Vice President R&D. Patrik Åkesson kommer vara ansvarig för att utveckla bolagets befintliga system och processer, bidra till nya lösningar och ha en … Läs mer

E-legitimering med biometri lanseras

2021-01-14 Nyheter

Freja eID skriver i ett pressmeddelande att man i sin testmiljö snart lanserar en funktion som gör det möjligt att legitimera sig elektroniskt med användarens biometri som verifieringsmetod istället … Läs mer

Amido och iLOQ tecknar samarbetsavtal

2021-01-14 Nyheter

Amido och iLOQ Sverige AB har tecknat ett långsiktigt samarbetsavtal för gemensamma marknadsaktiviteter och teknologisamverkan. iLOQ är ett passersystemsbolag som levererar batterifria lås … Läs mer

Svenska företag behöver enhetliga EU-regler för digital handel

2021-01-13 Debatt

Svenska företag, svensk innovation och svensk entreprenörsanda når stora framgångar, inte minst i Europa. Svenska techbolag och e-handelsföretag är ofta internationellt verksamma från dag ett. Ett … Läs mer

Axis i samarbete med Ingram Micro

2021-01-13 Nyheter

Ingram Micro har tecknat avtal med Axis Communications om distribution av Axis nätverksprodukter i Finland och Sverige. – Vi är glada över att samarbeta med Ingram Micro, vars kompetens och … Läs mer

Svenska IT-ansvariga har dåligt självförtroende

2021-01-13 Nyheter

En global undersökning visar att nära tre av tio svenska IT-ansvariga känner att de ligger långt efter i säkerhetsarbetet. På frågan om hur uppdaterade de är när det gäller att möta cyberhot svarar 29 … Läs mer

Hon tar över vd-posten på SRS Security

2021-01-12 Personalnyheter

Louise Ringström-Grandinson tar över vd-posten hos SRS Security, ett helägt dotterbolag till Scandinavian Risk Solutions. Louise har en magisterexamen från Handelshögskolan i Stockholm och en … Läs mer

Presto förvärvar Cupola

2021-01-12 Nyheter

Presto Brandsäkerhet tillkännager i ett pressmeddelande att de  förvärvar Cupola, ett brandsäkerhetsbolag med verksamhet över hela Sverige. – Vi är väldigt glada att få välkomna Cupola och alla … Läs mer

RCO förvärvar bolag inom digitala lås

2021-01-12 Nyheter

RCO Security AB förvärvar en majoritet av Easy Access AS, en leverantör av biometriska och digitala lås- och säkerhetslösningar. Konsumentmarknaden för digitala lås har vuxit kraftigt de … Läs mer

Många små och medelstora företag förbiser molnets fallgropar

Det finns många bra skäl för mindre företag att använda molntjänster. Man slipper exempelvis att använda fysiska servrar för applikationer, databaser, lagring, e-post och mycket mer. Samtidigt är det också enkelt och flexibelt att kunna skruva upp och ner användningen och lagringen av data och därmed bättre kunna förutse kostnaderna för IT-driften. Men vår erfarenhet visar att många företag ofta förbiser såväl backup som cybersäkerhet då de hoppar på molntåget, det skriver Scott Gower, Nordenchef på Datto.

Läs hela debattartikeln

Läs tidningen online

Prenumerationserbjudande!!

MEST LÄSTA I VECKAN

Advertisement

  • Prosero_Enterprise_Banner-E_334x216px_ASW2012.gif
  • 64167_E_FUN_1a_pod.jpg

Tweets av @ASakerhet

Tweets av @ASakerhet
Följ @ASakerhet

Twitter: #Aktuellsäkerhet, #säkerhet, #säkpol, #svpol, #cyberattacks, #infosec, #IT #terror, #security, #Säkerhetsgalan19

>Tweets om #Aktuellsäkerhet OR #säkerhet OR #svpol OR #cyberattacks OR #infosec OR #IT OR #terror OR #security OR #Säkerhetsgalan17

Annonser

  • securitymanager.jpg
  • sig-sec-an-as.jpg
  • AS_baksida-58x35mm-e1580898284291.jpg
  • Nexus-logo-140x100pxl.jpg
  • Dafo-Brand-med-devis.jpg
  • axis-web_cert_140x100_sv_1501.gif
  • MiniFinder_Annons_Aktuellsakerhet_140x100.jpg
  • annons-banner-Aktuellsakerhet-2018.png
  • Hedengren_ASW1708.jpg
  • EKFELTlogga.jpg
  • larmassistans_banner.jpg
  • SALTO_inspired_access_ASW1901.jpg

Advertisement

  • Feronia_banner_334x216.jpg

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29

© 2021 · Perssons Forlag | Om personuppgifter och Cookies

Genom att surfa vidare på vår hemsida och använda våra tjänster så godkänner du att vi samlar in data om dina besök. Vår integritetspolicy förklarar vilka data vi samlar in, varför vi samlar in den och vad den används till. Avsätt gärna lite tid för att läsa igenom policyn. I vår integritetspolicy hittar du även alternativ för att hantera och skydda dina uppgifter och din sekretess. Ok, jag förstår. Avvisa Läs mer!
Läs mer

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Nödvändigt
Alltid aktiverad

Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.

Ej nödvändigt

Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.