Security

Den 12 januari upptäckte Microsoft att hackare, närmare bestämt den ryska statsstödda gruppen som går under namnen Midnight Blizzard, Cozy Bear och Nobelium, tagit sig in i företagets mejlsystem. Bland kontona som hackarna tagit sig in i fanns flera som tillhörde höga chefer.

Nu har Microsoft gått ut med mer information om incidenten och dess efterspel, bland annat säger företaget nu att hackarna kommit över viss källkod och nått interna system.

”Under de senaste veckorna har vi sett bevis för att Midnight Blizzard använder information som ursprungligen exfiltrerats från våra e-postsystem för att få, eller försöka få, obehörig åtkomst. Detta har inkluderat tillgång till några av företagets källkodsarkiv och interna system. Hittills har vi inte funnit några bevis för att Microsoft-hostade kundinriktade system har äventyrats”, skriver Microsoft i ett blogginlägg.

Microsoft beskriver attacken som fortfarande pågående, eftersom hackarna använder hemlig information de kommit över för att fortsätta sina angrepp. 

Företaget skriver också att man vidtagit en rad åtgärder efter angreppet och att det hela fortsätter att utredas.

”Vi har ökat våra investeringar i säkerhet, vår samordning och mobilisering över företagsgränserna, och har förbättrat vår förmåga att försvara oss själva och säkra och härda vår miljö mot detta avancerade ihållande hot. Vi har och kommer att fortsätta att införa ytterligare förbättrade säkerhetskontroller, detektioner och övervakning”, skriver Microsoft. 

”Våra aktiva utredningar av Midnight Blizzards aktiviteter pågår och resultaten av våra utredningar kommer att fortsätta att utvecklas. Vi är fortsatt fast beslutna att dela med oss av det vi lär oss”, avslutar företaget.

Sydkoreas underrättelsetjänst National Intelligence Service, NIS, meddelar att en nordkoreansk hackargrupp ska gjort intrång hos åtminstone två olika chipptillverkare i Sydkorea, rapporterar Reuters.

Hackarna ska genomfört intrången i februari 2024 och december 2023 och stulit produktdesigner samt ritningar och fotografier över företagens anläggningar. Enligt Sydkoreas underrättelsetjänst ska de båda företagen varit kända mål för nordkoreanska hackare sedan 2023.

Hackarnas syfte med intrången misstänks vara att komma runt mot sanktionerna mot Nordkorea för att landet på sikt ska kunna utveckla egna halvledare. Dessa skulle bland annat kunna användas till landets vapenprogram.

Nordkoreas regering har historiskt sett förnekat all involvering i cyberattacker.

Polisen i Düsseldorf har slagit till mot Crimemarket, en plattform där 180 000 tyskspråkiga användare säljer och köper illegala varor och tjänster.

I samband med tillslaget kunde polisen lägga vantarna på en stor mängd datorer, mobiltelefoner, droger och 600 000 euro i kontanter, rapporterar Bleeping Computer.

Hittills har sex av personerna bakom Crimemarket gripits, men det kan bli tal om fler gripanden under den närmsta tiden.

Trots att tillslaget gjordes förra veckan har det varit möjligt att publicera nya inlägg på plattformen under ytterligare några dagar. På så sätt har polisen lyckats samla in information som gör det möjligt att identifiera några av användarna.

Ännu finns inga tecken på att känsliga personuppgifter som exempelvis patientdata ska ha läckt vid den attack som Sophiahemmet utsattes för natten till tisdagen. Sjukhuset stängde då snabbt av sina datorer och gick över till sina beredskapsrutiner. Och nu visar analysen att det handlar om utpressningsvirus, ransomware, uppger Sophiahemmet i ett pressmeddelande. 

För att inte skada andra system i region Stockholm stängdes sjukhusets system av från regionens system under natten till onsdagen och regionen har också ställt sina it-säkerhetsexperter till förfogande och man arbetar nu för att kunna ansluta vårdgivarna till relevanta system igen. 

Sophiahemmet har anlitat ett externt it-säkerhetsföretag för att utreda skadan. Sjukhuset har polisanmält händelsen och den ska också ha anmälts till Integritetsskyddsmyndigheten. Dessutom planeras en anmälan till l Inspektionen för vård och omsorg, IVO. 

Efter två års arbete har det amerikanska National Institute of Standards and Technology (NIST) publicerat 2.0-versionen av sitt välanvända och omtalade ramverk för cybersäkerhet (CSF), som bygger vidare på det utkast till 2.0-version som publicerades i september. CSF 2.0 har flyttat fokus från skydd av kritisk infrastruktur, som sjukhus och kraftverk, till alla organisationer inom alla sektorer. 

Den tidigare titeln på ramverket, ”Framework for Improving Critical Infrastructure Cybersecurity”, har övergetts till förmån för “NIST Cybersecurity Framework (CSF) 2.0” för att markera denna förändring.

I jämförelse med de två tidigare versionerna av CSF, originalversionen från 2015 och 1.1-versionen från 2018, är 2.0-versionen mindre av en statisk resurs och mer av en korg med resurser som vägleder implementeringen av ramverket. 

– CSF har varit ett viktigt verktyg för många organisationer och hjälpt dem att förutse och hantera hot mot cybersäkerheten, säger NIST-cheffen Laurie E. Locascio.

– CSF 2.0, som bygger på tidigare versioner, handlar inte bara om ett dokument. Det handlar om en uppsättning resurser som kan anpassas och användas individuellt eller i kombination över tid i takt med att en organisations cybersäkerhetsbehov förändras och dess kapacitet utvecklas.

Den nya Govern-funktionen är den viktigaste förändringen

Den viktigaste strukturella förändringen i CSF är tillägget av en sjätte funktion, Govern, kring vilken de tidigare fem funktionerna Identify, Protect, Detect, Respond och Recover kretsar. Govern-funktionen syftar till att hjälpa organisationer att införliva hanteringen av cybersäkerhetsrisker i bredare riskhanteringsprogram genom att presentera ”resultat”, eller önskade tillstånd, för att informera om vad en organisation kan göra för att uppnå och prioritera resultaten av de andra fem funktionerna.

Målet med att skapa en ny Govern-kategori är att lyfta alla aktiviteter för hantering av cybersäkerhetsrisker till C-suite- och styrelsenivå i organisationer. 

– Det stora fokuset i 2.0 är att lyfta styrning till en funktion, säger Padraic O’Reilly, grundare och innovationschef på Cybersaint.

– Jag tror att det finns en förståelse nu, och det är ganska vanligt inom cybersäkerhet, att om styrningen inte är aktivt involverad så snurrar man bara på hjulen.

Leverantörskedjan spelar en mer framträdande roll

CSF 2.0 införlivar och utvidgar också resultaten för riskhantering i leveranskedjan i CSF 1.1 och grupperar de flesta av dessa under Govern-funktionen. 

Enligt ramverket 2.0 är riskhantering i leveranskedjan (SCRM) avgörande för organisationer med tanke på ”de komplexa och sammankopplade relationerna i detta ekosystem. SCRM för cybersäkerhet (C-SCRM) är en systematisk process för att hantera exponering för cybersäkerhetsrisker i hela leveranskedjan och utveckla lämpliga responsstrategier, policyer, processer och förfaranden. Underkategorierna i CSF:s C-SCRM-kategori [GV.SC] ger en koppling mellan resultat som enbart fokuserar på cybersäkerhet och de som fokuserar på C-SCRM.”

Att inkludera riskhantering av leveranskedjan i Govern-funktionen är bara ett steg i rätt riktning för att ta itu med en av de svåraste frågorna inom cybersäkerhet. 

– Leverantörskedjan är en enda röra, säger O’Reilly. 

– Det är en enda röra, och det är en enda röra eftersom det är komplext. Jag tror att en del av leveranskedjan hamnar under styrning eftersom mer behöver göras för att hantera den uppifrån. För just nu har du vissa metoder som är halvbra, men som bara fångar upp kanske hälften av problemet.

Förbättrad integration med andra resurser

Den nya versionen innehåller också uppdaterade informativa referenser, eller befintliga standarder, riktlinjer och ramverk, som hjälper till att konkretisera de tekniska detaljer och steg som CSF innehåller för att ge ytterligare insikt i hur organisationer kan implementera de 106 underkategorierna som är grupperade under 23 kategorier, som i sin tur är organiserade under de viktigaste funktionerna.

För att förbättra de potentiella svårigheterna med att införa CSF har NIST i version 2.0 infört en serie snabbstartsguider om flera ämnen, bland annat hur man skapar CSF-profiler och nivåer och, i synnerhet, hur man börjar hantera säkerhetsrisker i leveranskedjan och skapar gemenskapsprofiler för att låta grupper som delar ett gemensamt intresse beskriva samförståndssynpunkter.

För att ge ännu mer praktisk vägledning om hur ramverket ska implementeras innehåller CSF 2.0 även implementeringsexempel. Dessa implementeringsexempel representerar NIST:s försök att formulera de passivt skrivna resultaten till mer aktiva steg som organisationer kan ta för att implementera ramverket.

Sedan ramverkets tillkomst har NIST varit noga med att inte föreskriva några särskilda steg som organisationer bör ta, med tanke på att varje organisation har unika tekniska och resursmässiga konfigurationer. Istället har NIST hänvisat till resultat, som vissa hävdar ger föga praktisk vägledning om vilka specifika åtgärder organisationer bör vidta.

I CSF 2.0 ingår förbättrad integration med andra allmänt använda NIST-resurser som handlar om riskhantering i företag, ERM, och riskhanteringsprogram för IKT. 

NIST säger att man kommer att fortsätta att bygga upp och tillhandahålla ytterligare resurser för att hjälpa organisationer att implementera CSF. Alla resurser görs tillgängliga för allmänheten på NIST CSF:s webbplats.

Vita husets avdelning för den nationella cybersäkerhetsdirektören, ONCD, uppmanar nu teknikföretag att byta till minnessäkra programmeringsspråk som Rust för att förbättra sin mjukvarusäkerhet, rapporterar Bleeping Computer.

“I över 35 år har samma typ av sårbarhet plågat det digitala ekosystemet. Utmaningen att eliminera hela kategorier av mjukvarusårbarheter är ett brådskande och komplext problem. Framöver behövs nya tillvägagångssätt för att förebygga den här risken”, skriver ONCD och fortsätter.

“Det mest effektiva sättet att minska säkerhetsbrister kopplade till minnet är att säkra en av cyberrymdens byggstenar: programmeringsspråket. Genom att använda minnessäkra programmeringsspråk kan de flesta säkerhetsproblem kopplade till minnet elimineras.”

Säkerhetsproblem kopplade till minnet uppstår vanligen på grund av fel i koden och innebär att minnet används på ett osäkert sätt. Detta skulle kunna utnyttjas av en angripare för att få otillåten tillgång till data eller för att köra skadlig kod med privilegier på ett offers system.

Ännu bara februari och här i Sverige har nyhetsflödet fyllts av cyberattacker. Och utvecklingen drivs på av sådant som  generativ AI, osäkert beteende hos anställda, tredjepartsrisker, kontinuerlig exponering för hot, bristande kommunikation i styrelserummet och identitetsbaserade säkerhetsmetoder enligt en ny rapport från Gartner. 

Analysföretaget pekar ut följande sex trender som extra viktiga under 2024. 

Generativ AI

Utvecklingen av generativ AI går oerhört snabbt och enligt Gartner gäller det att få till ett ”proaktivt samarbete med affärsintressenter för att stödja grunden för en etisk, trygg och säker användning av denna omvälvande teknik”.

Gartneranalytikern Richard Addiscott framhåller att det det finns gott hopp om tekniken på lång sikt. 

– Men just nu är det mer troligt att vi kommer att drabbas av prompt fatigue än av tvåsiffrig produktivitetstillväxt. Saker och ting kommer att förbättras, så uppmuntra experiment och hantera förväntningar, särskilt utanför säkerhetsteamet, säger han. 

Resultatdrivna mått

Styrelse och ledning kan se de problem som cybersäkerhetsincidenter orsakar. Så hur ska de då kunna lita till cybersäkerhetsstrategierna?  Där är resultatdrivna mått, ODM, en metod för att tydligare kunna se hur investeringarna kopplar till skyddsnivå. 

Program för säkerhetsbeteende 

Metoden är avgörande för att skapa en investeringsstrategi enligt Gartner – som också anser att det ska kombineras med ett enkelt språk så att även personer utanför it-avdelningen förstår vad man pratar om. 

Medarbetarnas beteende hamnar allt mer i fokus och Gartner spår att 50 procent av ciso:erna på stora företag 2027 kommer att ha infört metoder för så kallad människocentrerad säkerhetsdesign. 

Organisationer som använder program för säkerhetsbeteende och säkerhetskultur, SBCP, har upplevt att medarbetarna bättre tar till sig säkerhetskontroller, att osäkert beteende minskar och att snabbhet och smidighet ökar enligt Richard Addiscott. 

– Det leder också till en mer effektiv användning av cybersäkerhetsresurser eftersom medarbetarna blir kompetenta att fatta självständiga beslut om cyberrisker.

Riskhantering  hos tredje part

Det handlar inte bara om säkerheten internt – man kan också drabbas via tredje part. För att minska risken rekommenderar Gartner att säkerhetsansvariga förbättrar riskhanteringen av tredjepartstjänster och ser till att skapa ömsesidigt fördelaktiga relationer med viktiga externa partners

– Börja med att stärka beredskapsplanerna för de tredjepartsuppdrag som utgör den högsta cybersäkerhetsrisken, säger Richard Addiscott.

Han rekommenderar att man tar fram en specifik incidentplan för tredje part, genomför skrivbordsövningar och skapar en offboarding-strategi som till exempel innebär att åtkomst återkallas och data förstörs.

Program för kontinuerlig hantering av hot 

Continuous Threat Exposure Management, CTEM, är en metod för att kontinuerligt utvärdera hur exponerade och tillgängliga och möjliga att exploatera olika digitala och fysiska tillgångar är. 

Organisationer som använder Continuous Threat Exposure Management, CTEM, för att  prioritera sina säkerhetsinvesteringar kommer att minska intrången med två tredjedelar fram till 2026, enligt Gartners beräkningar. 

Identitetsbaserad säkerhet

Identitetsbaserad säkerhetsstrategi,  Identity and Access Management, har börjat ta fokus från mer traditionell nätverkssäkerhet. Men enligt Gartner måste metoderna utvecklas så att inte fokuset på grundläggande hygien minskar. 

Gartners rekommendation till säkerhetsansvariga är att stärka identitetsstrukturen och  utnyttja detektering och hantering av identitetshot för att se till att IAM-kapaciteten stöder hela det övergripande säkerhetsprogrammet.