Så går en nätverksattack till

Tre vanliga tillvägagångssätt

Sårbarheter i nätverk – ofta på grund av gammal och ouppdaterad mjukvara – kan få enorma konsekvenser. Men hur går de egentligen till? Cisco Talos berättar om de vanligaste sätten att kringgå nätverksskydd, och hur man snabbt kan göra sig mindre sårbar.

Även om det stora flertalet av cyberattacker idag inleds med att man angriper en individ genom nätfiske eller annan social ingenjörskonst, blir inte nätverksskyddet mindre viktigt – för hur stark säkerhet nätverket har är ofta avgörande för hur mycket skada ett intrång kan göra.

Cisco Talos, Ciscos organisation för cyberhotsforskning och analys, hanterar dagligen ett enormt antal cyberattacker och säkerhetsincidenter över hela världen. Nu har man summerat de vanligaste angreppsteknikerna.

De flesta attackerna utförs mot åldrande nätverksinfrastruktur, enheter som sedan länge passerat bäst före-datum och/eller har kritiska, opatchade sårbarheter inbyggda. Många av de gamla enheterna utvecklades inte med säkerhet i fokus, eftersom nätverksinfrastrukturen historiskt inte betraktats som en del av cybersäkerhetsekosystemet. Även om detta förändrats blir den föråldrade utrustningen svaga länkar i säkerhetskedjan. Dels är det svårare att övervaka vilka som försöker få tillgång till nätverket, och dels ger det angriparen frihet att hitta de sämst bevakade svagheterna.

”Man kan tänka på det som en inbrottstjuv som tar sig in i huset via vattenledningsrören. De använder inte de förväntade metoderna, att bryta upp en dörr eller slå sönder ett fönster, utan en ovanlig väg, som ingen någonsin hade förväntat sig skulle användas. Deras mål är att stanna på insidan oupptäckta, medan de tar sig tid att hitta de dyrbaraste värdesakerna”, skriver Hazel Burton, informationsredaktör på Cisco Talos, i ett blogginlägg.

När man väl tagit sig in i systemet genom en sårbarhet finns det en mängd möjliga tillvägagångssätt för att ta sig djupare in i nätverksinfrastrukturen och skapa bakdörrar. Ett av de vanligaste sätten är att antingen manipulera enhetens befintliga firmware – den fasta programvara som styr själva enhetens system. Ett första steg kan till exempel vara att stänga av registreringen av ändringar, och sedan stänga av enhetens skyddsfunktioner för att oupptäckt kunna ladda upp andra skadeprogram.

Ett annat sätt är att ersätta enhetens befintliga firmware med en annan version, exempelvis en ännu äldre utgåva som har säkerhetshål som den senaste versionen saknar.

Det tredje sättet som sticker ut i de incidenter som Talos granskar är att sabotera olika säkerhetsverktyg. Vanliga exempel är att en angripare manipiulerar eller raderar listor för tillgångshantering och loggning, eller lägga in falska användarkonton med utökade rättigheter.

Cisco är medgrundare till initiativet Network Resilience Coalition och deltar aktivt i samarbetet tillsammans med många av världens största IT-företag. Det gemensamma målet är att öka medvetenheten om nätverkshot och förbättra skyddet hos näringsliv och offentlig sektor genom rådgivning och rekommendationer, både till tillverkare och kunder.

Bland de råd som initiativet förmedlade i sin första rapport, som släpptes i januari 2024, finns att tillverkare ska ge tydliga direktiv om hur länge en produkts livslängd varar och hur länge säkerhetsuppdateringar är tillgängliga, samt att släppa säkerhetspatchar separat och inte i kombination med andra uppdateringar.

Kunder uppmanas bland annat att utöka övervakningen av äldre produkter och löpande kontrollera att produkten är konfigurerad på det sätt tillverkaren rekommenderar.

2024-03-18 - Industritorget