Er angreb er det bedste cyberforsvar?

Skal man parere og aflede angreb i cyberspace, eller skal virksomhederne slå visiret ned og gå til mod­angreb på hackerne? Diskussionen er heftig i cybersikkerhedsbranchen.

Foto: STEVE MARCUS. Black Hat er en sammenkomst for folk i cybersikkerheds-branchen, som for nylig blev afholdt i Las Vegas.
Læs mere
Fold sammen

Hvis nogen skyder efter dig, er kaliberen det sidste, du burde bekymre dig om,« siger George Kurtz, der er chef for det unge tech-selskab CrowdStrike.

Vi sidder ved et cafébord på konferencen Black Hat – en sammenkomst for folk i cybersikkerheds-branchen, som for nylig blev afholdt i Las Vegas. George Kurtz er ved at udbrede sig om den helt grundlæggende fejl, som mange virksomheder begår i omgangen med indbrud i cyberspace.

De fleste af dem, siger han, bruger alt for meget tid på at finde ud af, hvad der har ramt dem, og alt for lidt tid på at overveje angribernes motiver samt måder at sikre sig bedre på i fremtiden.

CrowdStrike er en højrøstet fortaler for de aktivt-forsvar-teknologier, der lige for tiden får stor omtale i branchen. Fortalerne mener, at de, der anser firewalls, antivirus-programmer og andre former for sikkerhedssoftware som tilstrækkelig sikring, fører sig selv bag lyset. I stedet bør virksomhederne antage, at deres systemer allerede er blevet gennembrudt, og føre kampen over i hackernes lejr. De anbefaler for eksempel, at virksomhederne planter falske informatio­ner på deres systemer, så datatyve føres på afveje, og opretter såkaldte honningkrukke-servere, der opfanger informationer om de uvelkomne gæster.

Selvtægt

Der er ganske vist bekymringer om, at den type aktivt forsvar kan opmuntre virksomhederne til at gå endnu videre og så at sige »hacke igen« mod deres plageånder, selv om mange lande har love, der forbyder den slags. I en undersøgelse af sidste års 181 delegerede på Black Hat konferencen svarede lidt over en tredjedel, at de allerede havde givet sig af med en eller anden form for gengældelse over for hackere.

Men den slags bekymringer over selvtægt i cyberspace har dog ikke afskrækket investorerne fra at sætte penge i tech-firmaer, der betragter aktivt forsvar som en mulighed for at tjene penge.

Sporings-program

Tag for eksempel Endgame, et hemmelighedsfuldt selskab, der anvender teknologi, som egentlig er udviklet til efterretningsverdenen. I marts hentede selskabet 130 millioner kroner i ny kapital og fik Kenneth Minihan, tidligere direktør i USAs Nationale Sikkerhedstjeneste (NSA) ind i bestyrelsen.

Endgame har angiveligt udviklet et program ved navn Bonesaw, der kan opspore, hvilken type software der anvendes af apparater, som er koblet op på internettet. Den type oplysninger kan anvendes defensivt af selskaber, der ønsker at finde frem til svaghederne ved deres egne installationer, men de kan også anvendes til at finde svaghederne på andres konfigurationer.

Ligesom mange andre IT-selskaber anvender firmaer, som gør det i aktivt forsvar, både cloud computing og big data. CrowdStrike har for eksempel udviklet en service oppe i skyen, som kan indhente efterretninger om online-trusler og sammenholde dem med analyser fra sit eget forskningsarkiv.

CrowdStrike tager fra 140.000 og op mod en million kroner for sin service.

På Black Hat konferencen fremviste nogle af folkene fra Endgame et system kaldet BinaryPig, som lynhurtigt kan bearbejde en enorm mængde data med henblik på at identificere og forstå hackerne ved at søge efter mønstre i de vira eller malware, de anvender til at trænge ind på andres systemer.

Andre selskaber koncentrerer sig om teknologi, der hurtigt opsporer og uskadeliggør den software, hackerne benytter sig af for at komme ind på hjemmesider og tilegne sig informationer.

John Strand, der er ekspert i teknikkerne bag aktivt forsvar på SANS Institute, siger, at hensigten med alle disse tiltag er at øge omkostningerne for hackerne i håbet om, at det vil afholde dem fra at forsøge indbrud igen. Det er ikke tanken at skabe totalt kaos i fjendens servere. »Vi gør det i syre, ikke i dødbringende gift,« siger han.

Frygt for våbenkapløb

Men nogle strammere i branchen argumenterer for, at virksomhederne bør have ret til at gå direkte efter de pågældende servere. Andre stemmer i branchen advarer om, at hvis man først lader private firmaer hacke sig vej ind i andres servere, selv om det så også skulle være for at beskytte sin egen ejendom, så kan det være et skråplan.

»Det er en tåbelig strategi på den måde at øge indsatserne, når man ikke engang ved, hvem det er, man angriber,« siger Jeffrey Carr fra konsulentfirmaet Taia Global. Hvis hackerne føler sig provokeret, siger han, kan de vælge at slå endnu hårdere til, og dermed er en uheldig spiral sat i gang.

Køb adgang til månedens Berlingske Business Magasin i PDF-format her