... ... SaaS Security Blogg

SaaS Security Blogg

rss

SaaS Security Blogg

"There are known knowns. These are things we know that we know. There are known unknowns. That is to say, there are things that we know we don't know. But there are also unknown unknowns. There are things we don't know we don't know." Donald Rumsfeld


500 million Marriot Hotell kundedata stjålet over 4 år

Hotellkjeden Marriott sitt Starwood reservasjonssystem  har blitt tappet over  4 år. der hackere har stjålet 500 millioner gjestedata inkludert navn, betalingskort, passnummer og annen PII data. Nå kan selskapet forvente seg en heftig GDPR bot.

Foruten kredittkortinformasjon har hackerne også fått tilgang til data som bolig- og epostdresser, samt telefon- og passnumre til gjester som har booket opphold på hotellene fra 2014 og fram til 10. september i år.

– Dette har rammet opptil 500 millioner gjester som har gjort reservasjoner for opphold på Starwoods hoteller, opplyser kjeden.

En gransking tidligere i høst har avdekket at hackere hadde kopiert og kryptert opplysninger som rundt 327 millioner gjester oppga da de booket hotellrom, men omfanget kan vise seg å være større enn dette.

Statsadvokaten i New York har innledet etterforskning av saken, blir det opplyst fredag.

Mariott Starwood er verdens største hotellkjede og består i dag av rundt 6.500 hoteller med 1,2 millioner rom i 127 land. Sheraton, Westin, Le Meridien, St. Regis, Four Points og W Hotels er alle eid av Mariott Starwood, som har rundt 180.000 ansatte.

– Vi beklager dypt at dette har skjedd. Vi har ikke levd opp til det våre gjester fortjener og det vi forventer av oss selv, sier hotellkjedens direktør Arne Sorenson.

Verdien av Mariott-aksjen falt med 6 prosent da Wall Street åpnet fredag.

Svak sikkerhet
I en uttalelse som digi.no har mottatt fra Ilia Kolochenko, CEO sikkerhetsselskapet High-Tech Bridge, omtaler han hendelsen som ett av de større datainnbruddene relatert til usikre webapplikasjoner. Han mener at mange store selskaper har utdaterte, kunderettede appliaksjoner og dessuten unnlater å utføre kontinuerlig sikkerhetsovervåkning og inkrementell testing. 

– Det prøver ulike sikkerhetsløsninger uten noen konsistent og sammenhengende strategi for applikasjonssikkerheten. En slik tilnærming vil nødvendigvis feile en dag, mener Kolochenko.

Kan få store, økonomiske konsekvenser
Han mener at de rettslike konsekvensene for Marriott og datterselskapene kan bli enorme, både ved at tilsynsmyndighetene i mange land vil kunne gi selskapene store bøter, og ved at det vil kunne komme både individuelle søksmål og massesøksmål fra berørte kunder. 
Enza Iannopollo, i analyseselskapet Forrester, uttaler: "The Marriott breach has the potential to trigger the first hefty GDPR fine. The ingredients are all here: the volume of personal data exfiltrated, more than 500 million customers, the sensitivity of the data, potentially including customers' passport details, name, address, and even encryption keys, and the length of the breach which started in 2014"

Samtidig kommer antydes det at ved å kryptere data omgår angriperen selskapets sikkerhet og DLP systemer. Å ha et sikkerhetssystem som ser på adferd i stedet for å prøve å inspisere data ville ha gitt en mulighet for til å håndtere en slik trussel. SaaS Security anbefaler SECEON aiSIEM.

Les mer på SC Magazine UK

Britisk riksadvokat mener visse dataangrep må sidestilles med væpnede angrep

Storbritannias riksadvokat mener at dataangrep mot kritisk infrastruktur bør sidestilles med væpnede angrep i internasjonal rett.

Riksadvokat Jeremy Wright begrunner dette med at noen former for dataangrep, for eksempel mot kontrolltårn på flyplasser, kan være like dødelige som et bombeangrep.

Dermed mener han at dataangrep også bør kunne utløse retten til selvforsvar, slik væpnede angrep mot et land gjør.

I en tale onsdag framholdt Wright at land også bør kunne gjengjelde dataangrep som har som mål å manipulere og endre valgresultater i fredstid. Han tok til orde for at gjengjeldelsen må være «nødvendig og passende», og at det også skal kunne brukes makt.

I februar anklaget Storbritannia Russland for å stå bak et dataangrep som i fjor rammet selskaper over hele Europa.

Tidligere har Nord-Korea blitt anklaget for et dataangrep som rammet britisk helsevesen og en rekke andre organisasjoner og selskaper over hele verden i 2017.

Les mer på The Telegraph UK

Alt du trenger å vite om ransomware

Ransomware eller utpresservirus som det kalles på Norsk, er for tiden et av de største sikkerhetsproblemene. Utpresservirus er en type malware/virus som krypterer filer på en PC eller over nettverk/Internett. Ofrene kan deretter bare få tilgang til sine filer hvis de betaler løsepenger til de kriminelle som står bak. En ransomware angrep starter som regel med en falsk e-post der mottaker lar seg lure til å åpne et farlig vedlegg eller klikke på en farlig link.

 

De falske epostene kan gjerne se ut som faktura, purringer, gode tilbud, melding om pakke, bonus, jobbtilbud, bankutskrift, melding om passord resetting av facebook/google mm, falske kjøpskvitteringer, melding om misbruk av nettbank/kredittkort osv.

(Artikkelen fortsetter under bildet).

 

 

Absolutt alle virksomheter i alle størrelser kan bli rammet av Ransomware, men mindre virksomheter er mest utsatt siden de har dårligere nettsikkerhet enn andre og mange lever i den tro at de ikke kan bli angrepet gjør dem faktisk mer sårbar.

Ransomware angrep økte med formidable 748 % i 2016 og forventes å øke like kraftig i årene som kommer. Hovedårsakene til dette er at de kriminelle som står bak tjener mer penger på dette enn de noen gang har gjort på andre typer svindel. I tillegg ble Ransomware-as-a-Service avdekket i 2016 der absolutt «alle», uten tekniske kunnskaper, kan sende Ransomware og der utvikleren igjen tar sin andel av pengene som kommer inn.

Dette er en type angrep som for den kriminelle er lett å utføre, virker godt og effektivt, krever minimal investering og det er meget liten sjanse for å bli tatt.

Dersom organisasjonene ikke hadde valgt å gi etter for utpresserne og ikke utbetalt løsepenger hadde vi ikke hatt denne type angrep, men virksomhetene er så avhengig av sine data og systemer at man velger enkleste vei for å komme tilbake til det normale.

 

Typisk må virksomheter betaler løsepenger etter størrelsen. Småbedrifter må typisk betale 2000-15.000 Kr. Større virksomheter må regne med 30.000-50.000 Kr. Det er kjent at sykehus og universiteter har måtte betale 100.000-150.000 Kr. Utpresserbeløpene er stigende. Utbredelsen av den digitale valutaen Bitcoin har gjort det enklere for de kriminelle å utveksle betalinger der de ikke risikerer å avdekke sin identitet.
I tillegg til å måtte betale utpresseren må virksomheten normalt regne med 3-5 dagers nedetid på berørte systemer. I tillegg vil du sannsynligvis være markert som «lett offer» og påregne nye angrep og du dermed må regne med kostnader i bedre sikkerhetssystemer.

 

De vanligste utpresservirusene er Locky (Word Makro) og Cryptowall.  De som står bak endrer hele tiden koden og utvikler nye funksjoner for å unngå å bli stoppet av virksomhetens sikkerhetssystemer. Cerber er en annen type som bla. benyttes i Ransomware-as-a-Service der de kriminelle tar 40 % andel til seg selv av utpresserbeløpet og den som står bak angrepet får 60 % selv.

Ransomware er umulig å overse når du har først har fått den. Like alvorlig er det at samme metode for angrep brukes for å skjule andre typer angrep, der mange virksomheter faktisk ikke er klar over at de er angrepet. Det kan være kode som blir installer på virksomhetens systemer i det skulte som gir angriper en kanal inn til intern informasjon, overvåking, videre spredning og angrep, kopiering av sensitive data mm. Dette er også fremkommet i undersøkelser i 2015 av Næringslivets sikkerhetsråd der det fremkom at halvparten av store Norske virksomheter var hacket og men bare 5 % viste om det.

 

Ingen sikkerhetssystemer kan stoppe 100 % av Ransomware. Tradisjonelle sikkerhetssystemer som bare kan gjenkjenne kjente elementer, koder, signaturer og avsender, gir dårligst sikkerhet. Systemer som benytter sandbox på linker og vedlegg gir høyeste sikkerhet. Angrepen rettes mot virksomheten svake punkt som er de ansatte selv, gjerne ressurspersoner med utvidet tilgang til systemene. Ofte gjøres undersøkelser på forhånd om angrepsmålets interesser, jobb og hobby., som lett finnes på sosiale medier, web, LinkedIn mm. Deretter kommer gjerne et svært målrettet angrep på e-post med «interessant» informasjon. Virksomhetens HR-avdeling kan også være ekstra utsatt siden de normalt mottar jobbsøknader og andre henvendelser fra ukjente personer som ofte har vedlegg inkludert.

 

Utviklingen av Ransomware vil bare fortsette. Nå angripes også Mac, Smarttelefoner og IoT. Og det nye er at hele maskinen krypteres – ikke bare mapper.

Det er viktig med oppdaterte sikkerhetssystemer som også innehar sandbox funksjoner. Opplæring av ansatte. Deaktivering av f.eks makroer i Word der det er mulig, gode backupfunksjoner der backup lagres offline, forsiktig bruk av PC i åpne og fremmede trådløs-soner osv.
 

Se video hvordan Proofpoint URL-Defense stopper Ransomware «Stopp Ransomware..» og Proofpoint pakkeoversikt.

 

SaaS Security er Nordens ledende IT-sikkerhetsdistributør og distribuerer Proofpoint Email Security i Norden som gir den beste beskyttelsen mot ransomware, CEO svindel, nulldags trusler mm, gjennom å bruke url-omskriving med sandboxing både på linker og vedlegg. Se hvordan URL-omskiving og -sandboxing fungerer. SaaS Security distribuerer også websecutity med Sandbox, 2-faktor autentisering som en tjeneste, passordmanagment og e-post/fil kryptering, alle viktige for høy datasikkerhet.

 

 Les mer om Ransomware på ZDNET. Les mer om «Trender og Trusler rapport for Norge 2017»

(Ved bruk at denne info videre må det linkes opp til denne side).

 

Google lot svindlere publisere en perfekt forfalsket Amazon annonse i søkeresultatene

Google lot svindlere publisere en perfekt forfalsket Amazon annonse i søkeresultatene 

Alle som brukte Google-søk for å søke etter Amazon, ble onsdag trolig servert en ondsinnet annonse - og var ikke engang klar over det.

Den gode nyheten er at i motsetning til andre fake annonser, ble maskinen din ikke er infisert eller servert malware på noen måte.

Men alle som klikket på den ble ikke sendt til Amazon.com som de hadde håpet på, men i stedet ble rutet til en falsk windows svindel side som varselt om system problemer man kunne få hjelp til å rette.

Derfra ville svindlere har forsøkt å lure brukeren til å ringe et nummer for frykt for at deres datamaskin var faktisk infisert med malware.

SaaS Security leverer markedets ledende IT-sikkerhetsprodukter og tjenester gjennom et landsdekkende forhandlernettverk. For websikkerhet leveres wesikkerhetstjenetse med sandbox som beskytter mot zerodays og webtrusler uten kjent signatur. 

Les mer på ZDNET

Mange norske bedrifter har samme problem som Yahoo

Denne uken ble det kjent at den amerikanske nettjenesten Yahoo har hatt hackere på innsiden i over tre år og at en milliard brukerkontoer er stjålet.

Nasjonal sikkerhetsmyndighet (NSM) sier Norge hittil har unngått de store skandalene.

– Så langt har vi i Norge vært skånet for de store hackerskandalene. Det tror jeg dessverre skyldes mer flaks enn dyktighet, sier Hans Christian Pretorius, avdelingsdirektør for IKT-sikkerhet i NSM.

Hos CCIS tror de det er få slike skandaler som kommer ut i offentligheten.

– I sikkerhetsbransjen vet man at dette er ganske utbredt, men det er klart mange ikke ønsker å gå ut med informasjon om storstilt hacking offentlig. Det er jo både skamfullt og dårlig for virksomhetens omdømme, sier Nystrøm.

NSM sier man alltid må tenke sikkerhet ut fra at man allerede er hacket. Hans Christian Pretorius. Hans Christian Pretorius er avdelingsdirektør for IKT-sikkerhet i Nasjonal sikkerhetsmyndighet (NSM).

– Når man bygger sine nettverk må man gjøre det ut fra tanken om at man allerede er hacket og at noen sitter på innsiden og følger med. Derfor må man jobbe for å gjøre jobben til dem på innsiden vanskeligst mulig og sørge for gode verktøy som kan oppdage dem som allerede er innenfor, sier Pretorius.

Han sier blant annet at man bør sjekke logger og lignende for å se om det er noen mistenkelige strømmer av data ut av nettverket.

SaaS Security distribuerer verdens ledende sikkerhetsprodukter og tjenster til hele Norden.

Les mer på DN.no

Yahoo: En milliard brukere kan være hacket

Den stjålne informasjonen fra de berørte kontoene kan inneholde navn, e-postadresser, telefonnumre, bursdagsdatoer, samt sikkerhetsspørsmål og svar. 

Selskapet tror ikke informasjon om bankkontoer skal være hacket, men det er fare for at passord er stjålet.

Selskapet opplyser at datatyveriet ikke stammer fra hackingen selskapet opplyste om i september, hvor 500 millioner brukere ble berørt.

– Yahoo mener en uautorisert tredjepart i august 2013 stjal informasjon knyttet til mer enn en milliard brukerkontoer, heter det i en uttalelse fra selskapet.

SaaS Security distribuerer ledende IT-sikkerhetssystemer i Norge og Sverige.

Les mere på Techcrunch og Nettavisen.

Tidligere spionsjef er bekymret for hodeflukt i NSA

USAs etterretningstjeneste National Security Agency (NSA) sliter i økende grad med å holde på kompetansen.

Etaten er rammet av en tiltakende hodeflukt. Store mengder ansatte velger i økende grad å søke lykken i næringslivet, der lønningene er langt høyere.

– De tjener så klart tonnevis av mer penger på utsiden. Det er likevel overraskende at folk med kybererfaring ved noen av de store selskapene har syvsifrede lønninger (i dollar, red.anm). Det er fem ganger mer enn forsvarssjefen tjener. Og dette er folk som er 32 år gamle.

Ingen ringere enn Keith Alexander – NSAs toppsjef fra 2010 til 2014 – fortalte dette til en gruppe journaliststudenter, reportere og militære ved University of Maryland i forrige uke.

Dette ifølge den amerikanske avisa Capital Gazette i Annapolis, samt nettavisen Cyberscoop.

Alexander er pensjonert firestjerners general. Etter en lang karriere i det amerikanske forsvaret gikk han over til sivil sektor som administrerende direktør i sikkerhetsfirmaet IronNet Cybersecurity.

SaaS Security distribuerer ledende IT-sikkerhetssystemer til forhandlere i Norge og Sverige.

Les mer på digi.no

Kun ni prosent anmelder IT-angrep til politiet

Over en fjerdedel av norske virksomheter – 412 av 1.500, eller 27 prosent – har opplevd uønskede sikkerhetshendelser det siste året. Virksomhetene forteller at dette fører til produktivitetstap i fire av 10 tilfeller (i form av tapte arbeidstimer), men kun to av 10 oppgir at de har hatt kostnader som følge av slike hendelser. Dette viser at virksomhetene mangler oversikt over hva sikkerhetshendelsene koster dem, eller undervurderer disse kostnadene. Kun ni prosent av virksomhetene som utsettes for angrep tar saken videre til politiet. Det tilsier at det skjuler seg betydelige mørketall, og for de kriminelle nettverk er denne typen angrep mot norske virksomheter i praksis straffefrie.

SaaS Security distribuerer markededest ledende IT-sikkerhetsprodukter i Norge og Sverige. 

Les mer om saken på Aktuell Sikkerhet

10 tips hvordan du avdekker nettfiske e-post

In October, most people look forward to pumpkin carving, changing weather and, if you’re Canadian, Thanksgiving. But for us in the security world, one of the most exciting things about October is the fact that it’s National Cybersecurity Awareness Month. To help spread awareness, below are 10 tips to help everyone fight one of the worst cyber threats facing organizations today: email phishing attacks.

Business email compromise (BEC) has cost companies $3.1 billion since January 2015 and consumer email phishing is at an all-time high. Most people don’t question the “from” field in the emails they get day in and day out—and without the right tools, there’s no reason to trust the “from” field.

For organizations, it’s critical that the company’s first line of defense against email fraud is always advanced security technology. Secure email gateway and email authentication defenses like DMARC (Domain-based Authentication Reporting and Conformance) are the best way to protect your employees and customers.

Unfortunately, no matter how sophisticated your company’s email strategy is, some phishing emails will make it to the inbox. And those messages are extremely effective. Verizon found that 30 percent of targeted recipients open phishing messages and 12 percent click on malicious email attachments.

A critical piece of your email security strategy must be education. Here are our top ten tips for identifying a phishing email--we encourage you to share them with your employees and your customers.

Tip 1: Don’t trust the display name

A favorite phishing tactic among cybercriminals is to spoof the display name of an email. Here’s how it works: If a fraudster wanted to impersonate the hypothetical brand “My Bank,” the email may look something like:

fig-1_3.png

Since My Bank doesn’t own the domain “secure.com,” email authentication defenses will not block this email on My Bank’s behalf.

Once delivered, the email appears legitimate because most user inboxes and mobile phones will only present the display name. Always check the email address in the header from—if looks suspicious, flag the email.

Tip 2: Look but don’t click

Cybercriminals love to embed malicious links in legitimate-sounding copy. Hover your mouse over any links you find embedded in the body of your email. If the link address looks weird, don’t click on it. If you have any reservations about the link, send the email directly to your security team.

Tip 3: Check for spelling mistakes

Brands are pretty serious about email. Legitimate messages usually do not have major spelling mistakes or poor grammar. Read your emails carefully and report anything that seems suspicious.

Tip 4: Analyze the salutation

Is the email addressed to a vague “Valued Customer?” If so, watch out—legitimate businesses will often use a personal salutation with your first and last name.

Tip 5: Don’t give up personal or company confidential information

Most companies will never ask for personal credentials via email--especially banks. Likewise most companies will have policies in place preventing external communications of business IP. Stop yourself before revealing any confidential information over email.

Tip 6: Beware of urgent or threatening language in the subject line

Invoking a sense of urgency or fear is a common phishing tactic. Beware of subject lines that claim your “account has been suspended” or ask you to action an “urgent payment request.”

Tip 7: Review the signature

Lack of details about the signer or how you can contact a company strongly suggests a phish. Legitimate businesses always provide contact details. Check for them!

Tip 8: Don’t click on attachments

Including malicious attachments that contain viruses and malware is a common phishing tactic. Malware can damage files on your computer, steal your passwords or spy on you without your knowledge. Don’t open any email attachments you weren’t expecting.

Tip 9: Don’t trust the header from email address

Fraudsters not only spoof brands in the display name, but also spoof brands in the header from email address, including the domain name. Keep in mind that just because the sender’s email address looks legitimate (e.g sendername@yourcompany.com), it may not be. A familiar name in your inbox isn’t always who you think it is!

Tip 10: Don’t believe everything you see

Phishers are extremely good at what they do. Many malicious emails include convincing brand logos, language, and a seemingly valid email address. Be skeptical when it comes to your email messages—if it looks even remotely suspicious, do not open it.

Engage in the security conversation by sharing these tips on Twitter using the hashtag #CyberAware. And if you want to learn more about impostor email threats, check out our latest whitepaper.