Zero-day-attack – när du inte hinner skydda dig

Detta är en kortversion av scenariot. Det finns i sin helhet på våra informationssäkerhetssidor.

Antagonistens perspektiv

Angriparen, som tillhör en organiserad grupp, upptäcker en okänd sårbarhet i en programvara som används för att hantera mobila betalningar. Sårbarheten gör det möjligt att få tillgång till servrar och höja åtkomsträttigheter i systemet. När detta testas framgångsrikt börjar antagonistgruppen planera sin attack på Bolaget AB, en betaltjänstleverantör. De genomför angreppet diskret och utan att väcka uppmärksamhet, först genom att säkerställa åtkomst till servrarna och sedan genom att hämta känsliga kunduppgifter, som personnummer och bankkontonummer. Detta hämtas först i små mängder för att undvika upptäckt. Under tiden så försöker angriparen ska nya vägar in i systemet för att kunna ha fortsatt access om deras attack skulle upptäckas.

När intrånget upptäcks så börjar angriparen ladda ner allt den kan komma över. Man börjar även attackera fler organisationer innan sårbarheten åtgärdas. Angriparen kontaktar organisationen och hotar med att offentlighetgöra all data om organisationen inte betalar en lösensumma. Även efter att en eventuell lösensumma har betalats ut så säljer man informationen på ”Darknet”.

Bolagets perspektiv

För Bolaget AB börjar allt som en vanlig arbetsdag. Företaget hanterar tusentals transaktioner varje minut och har ett dedikerat säkerhetsteam för att skydda sina system och data. Trots de omfattande säkerhetsåtgärderna, sker intrånget utan några omedelbara larm. Först märker man enbart ovanlig aktivitet i en databas, man misstänker först att det är ett konfigurationsfel. När mönstret blir tydligare inser säkerhetsteamet att det är ett allvarligt intrång, men skadorna är svåra att identifiera på grund av attackens skickliga utförande.

Efter att ha påbörjat incidenthantering och vidtagit åtgärder för att isolera de drabbade systemen, inser Bolaget att känslig kundinformation har blivit exponerad. Företaget rapporterar om attacken till Integritetsskyddsmyndigheten (IMY) och andra relevanta myndigheter och informerar sina kunder om vad som inträffat. De kommande dygnen fortsätter utredningen och det blir tydligt att attacken var en zero-day-incident, där en okänd sårbarhet utnyttjades. Tillsammans med mjukvaruleverantören implementeras en säkerhetsuppdatering i systemen som åtgärdar sårbarheten. Detta är ett mycket tidskrävande arbete.

När bolaget har fått ett grepp om situationen genomförs en noggrann utvärdering man beslutar att ytterligare förbättra det säkerhetsarbetet. Bland annat beslutas att investera i nya säkerhetslösningar och övningar för att simulera zero-day-attacker, vilket blir en del av företagets långsiktiga strategi för att hantera liknande hot framöver.

Slutsats

Denna historia belyser de allvarliga riskerna med zero-day-attacker, där angripare utnyttjar okända säkerhetshål för att få tillgång till känslig information och orsaka skada. För företag är det avgörande att ha starka säkerhetsåtgärder på plats och vara beredda på att snabbt hantera och åtgärda incidenter för att skydda sina kunders data och sitt rykte.

På vår webbplats finns mer information om hur ni kan bedriva ett effektivt informationssäkerhetsarbete.

Andreas Majunie
It- och informationssäkerhetsspecialist