IT-säkerhet

Tjänsten som skyddar dig från skadlig kod – med hjälp av AI

Näthoten blir alltmer sofistikerade och organiserade. Hur ska företagen skydda sig? Proaktiva säkerhets-tjänsten Umbrella från Cisco upptäcker och identifierar skadlig kod.

I inkorgen finns ett trovärdigt designat mejl från ett välrenommerat företag, med en länk för viktig information. Omedveten om konsekvenserna klickar mottagaren på länken och skadlig kod sprider sig genast på datorn och andra anslutna enheter. Alla filer har blivit krypterade. Det krävs en lösensumma, överförd i digital valuta, för att få tillgång till dem igen.

Det är som när poliser kartlägger vad en person gjort tidigare. Umbrella kan se historiska samband och upptäcka misstänkta domännamn.

Situationen beskriver en ransomware-attack, ett av de vanligaste angreppssätten på nätet som kan drabba både företag och privatpersoner. Attackerna kan i värsta fall leda till att viktig information förblir otillgänglig, till exempel affärskritiska kunddatabaser. En annan närbesläktad metod är så kallad phishing. Precis som med ransomware handlar det om att skicka falskmejl för att komma åt privat information som kontokortsnummer och lösenord till internetbanken. Ofta uppges mejlen komma från bankens supportavdelning som informerar om att det uppstått problem med kundens konto. Martin Kivi, IT-säkerhetsexpert på Commsec som sedan 2015 ingår i Dustin Group, berättar att hotbilden på nätet har blivit mer komplicerad.

– Det blir allt svårare att upptäcka om datorn har blivit infekterad av skadlig kod eftersom avsändarna krypterar sin trafik och går under radarn, säger han.

Ökad mobilitet ställer högre krav

En annan utveckling som ställer allt högre krav på cybersäkerhetsarbetet är den ökande mobiliteten hos användarna. I dag arbetar vi inte enbart i företagets nätverk på kontoret, utan även på kaféer, i flygplatslounger och hemmet. Samtidigt skiftar man teknik oftare – ena stunden surfar man på laptopen för att i nästa ögonblick använda sin smartmobil. Mobiliteten ökar risken för en cyberattack och att den skadliga koden sprider sig till andra enheter i nätverket.

– Ökad mobilitet och svårigheten att upptäcka skadlig kod när attackerarna förändrar sina angreppssätt, gör säkerhetsarbetet hos företagen mer komplext, säger Martin Kivi.

Krav på nya rutiner för hantering av personlig information

Den 25 maj 2018 träder EU:s nya dataskyddsförordning General Data Protection Regulation (GDPR) i kraft. Den innefattar alla organisationer och företag som hanterar personlig information om anställda och kunder. Förordningen ställer krav på nya rutiner och processer för hanteringen av informationen och bolag som inte följer direktiven kan bötfällas. Lagstiftningen gör också IT-säkerhetsarbetet mer avancerat.

– Tänk att en användare på ett företag börjar använda en molntjänst, som inte är sanktionerad av IT-avdelningen, för att spara kunddata. Då uppfylls inte kravet på hantering av data och företaget kan drabbas av vite. Sådana scenarion kan uppstå, säger Martin Kivi.

Säkerhetstjänsten Umbrella minimerar riskerna

Hur kan man då minimera riskerna för att utsättas för attacker i en digital värld med ökad mobilitet, alltmer förfinade angreppssätt och nya dataskyddskrav? Martin Kivi berättar om den molnbaserade säkerhetstjänsten Umbrella från amerikanska telekommunikationsbolaget Cisco, som Commsec är certifierad återförsäljare av. Umbrella opererar inom domännamnssystemet, en slags databas bestående av IP-adresser och domännamn. DNS-systemet gör det möjligt att skriva in enkla domännamn, till exempel www.dustin.se, i webbläsaren i stället för de sifferbaserade IP-adresserna.

Umbrella täcker 90–100 miljarder domänförfrågningar varje dag och kan hjälpa företag att blockera trafik till sidor med skadlig kod. Om en användare klickar på en länk med skadlig kod, hindrar Umbrella åtkomsten till sidan och undanröjer hotet. Hur? Umbrella bygger på artificiell intelligens och genomför så kallade ryktesbaserade analyser av IP-adresser och domännamn. Om ett bolag har blockerat åtkomsten till vissa domännamn kopplade till en specifik IP-adress kan Umbrella identifiera om IP-adressen skapar nya domännamn för nya attacker och se till att även dessa blockeras i företagets nätverk.

– Det är som när poliserna kartlägger vad en person har gjort tidigare. Umbrella kan se historiska samband och därmed upptäcka misstänkta domännamn som kan vara skadliga, säger Chung-Wai Lee, produktspecialist inom IT-säkerhet på Cisco.

Umbrella förutspår kommande attacker

Umbrella utför också beteendebaserade analyser. Med ett nytt domännamn kopplad till en ny IP-adress är det svårt att göra en ryktesbaserad analys utifrån tidigare historik och samband. I stället kan Umbrella titta på den aktuella trafiken. Många besök under en kort tid kan tyda på att adressen används för en attack och att många klickar på den skadliga länken.

– Säkerhetstjänsten Umbrella är unik därför att den inte bara blockerar kända skadliga domäner utan också proaktivt förutspår kommande attacker från nya domäner, säger Chung-Wai Lee.

Eftersom Umbrella opererar inom DNS-systemet fungerar tekniken även när företagets anställda befinner sig utanför kontorets nätverk och kopplar upp sig mot trådlöst nät.

– Umbrella finns integrerad i enheten och fungerar som skydd så fort användaren vill besöka ett domännamn. Det innebär att man aldrig behöver tänka på skyddet när man surfar på en flygplats eller i en hotellobby, säger Chung-Wai Lee.

Användaren behöver inte vara orolig för att surfhastigheten påverkas. Umbrellas inspektion går via DNS-lagret och skickar endast en liten datamängd till DNS-servern som svarar om domännamnet är ”bra” eller ”dåligt”. Insatsen går snabbt, till skillnad från en proxylösning där all trafik skickas (bilder, videor, webbsidor) till proxyservern för inspektion.

Vid installation av Umbrella är det enklast och snabbast att byta DNS-server på bolagets datorer. Har man en enkel bredbandsdelare kan man ställa in att den ska dela Umbrellas DNS-server i stället för internetroperatörens. Har man en avancerad IT-miljö med till exempel ett Active Directory (AD), kan man byta till Umbrellas DNS-server som ”forwarder” och direkt skydda hela organisationen. Båda tillvägagångssätten tar högst några minuter.

Detta är Commsec

Communication & Security i Mälardalen AB (Commsec) grundades 2004 och är ett konsult- och utbildningsföretag inom datakommunikation och säkerhetslösningar. Commsec ingår sedan oktober 2015 i Dustin Group.

Text: Tomas Nilsson
Foto: Getty Images