Kryptering, RaaS, attacker i leveranskedjan: Månatlig produkt- och nyhetsöversikt från Cyberday 12/2023 🛡️

Detta är december månads nyheter och produktöversikt från Cyberday. För att anmäla dig till vårt nästa admin-webinar (där vi går igenom dessa saker live), kolla in vår Webinars-sida.

Viktigaste nyheterna om cybersäkerhet 12/2023

Meta lanserar standard end-to-end-kryptering på Messenger

Artikel på Wired.com

Meta utvecklade de första end-to-end-krypterade chattrådarna redan 2016. 2019 såg manifestet "integritet först" från Mark Zuckerberg.

Nu, efter 7 års utvecklingsarbete, släpper Meta end-to-end-kryptering i Messenger-samtal och chattar, vilket gör dem säkrare och privata.

• En hel del både politiska och tekniska utmaningar på vägen
• Ett enormt tekniskt utvecklingsprojekt i en miljö i Facebook-skala (miljarder användarkonton, flera användarterminaler, synkronisering mellan enheter, hundratals funktioner i meddelandetrådar ...)

Bekant mottagning

• Lovord från privatpersoner och dataskyddsorganisationer
• Kritik från polis/myndigheter (t.ex. Storbritannien) för att det gör det svårt att bekämpa t.ex. barnmisshandel

Vid end-to-end-kryptering krypteras data på avsändarens enhet och dekrypteras på mottagarens enhet. Krypteringsnycklarna lagras endast på dessa enheter och delas inte med tredje part (Facebook, nätverksleverantör, arbetsgivare etc.). På så sätt kan endast avsändaren och mottagaren av meddelandet läsa innehållet i meddelandet.

Nästan alla stora energibolag drabbas av dataintrång hos leverantörer

Artikel på infosecurity-magazine.com

90% av Europas största energibolag har upplevt en attack mot en leverantör inom 12 månader

• De stora energiföretagens leveranskedjor är enorma
• Även om direktkraschen bara drabbade en liten del av de 20.000 tillfrågade leverantörerna (4%), innebar den ändå att majoriteten av leverantörskedjorna

Cyberbrottslingar riktar i allt högre grad sin uppmärksamhet mot attacker mot leveranskedjan.

I organisationers arbete med informations- och cybersäkerhet blir det allt viktigare att känna till, prioritera och övervaka den egna leveranskedjan:

• Vilka är de partners där attacker skulle få stora effekter på oss?
• Hur övervakar vi säkerhetsnivån hos dessa viktiga partners?

Ransomware som en tjänst: Det växande hotet som du inte kan ignorera

Artikel på hackernews.com

RaaS blir snabbt alltmer populärt. Hur påverkar det hotet från utpressningstrojaner?

• Gör attacker mer vanliga
• Minskar den tid, de kostnader och den kompetens som krävs av brottslingar för attacker
• Ger de senaste funktionerna (t.ex. dubbel utpressning) till allt fler attacker

Ofta inkluderar cyberbrottslingar som erbjuder RaaS support och uppdateringar samt ett enkelt användargränssnitt. Prissättningen kan till och med ske med en "% av intäkterna"-modell, vilket innebär att "kunden" bara betalar när de samlar in framgångsrika lösensummor från offren.

RaaS (Ransomware-as-a-Service) är en affärsmodell där utvecklare av ransomware erbjuder sin skadliga kod som en tjänst till andra brottslingar. Denna modell gör det möjligt för även mindre tekniskt kunniga personer att delta i utförandet av ransomware-attacker.

Största studien i sitt slag visar att föråldrade lösenordsmetoder är utbredda

Studie på Georgia Techs webbplats

Georgia Tech undersökte lösenordspolicyn för 20.000 webbplatser/appar. De flesta av webbplatserna:

• Tillåt användning av korta lösenord
• Förhindrar inte användning av vanliga dåliga lösenord
• Använda föråldrade lösenordskrav (t.ex. specialtecken)

Instruktioner, information och bästa praxis om lösenord finns tillgängliga i stor utsträckning. Informationssäkerhetsexperter måste också vara intresserade av om de bästa metoderna i implementeringen sprids brett.

Ett starkt lösenord skyddar också vid eventuella säkerhetsöverträdelser. Vanligtvis krypterar tjänsterna inloggningsuppgifterna, men cyberbrottslingar börjar knäcka krypteringarna efter läckan. Svaga lösenord är de första som knäcks.

Kommer ChatGPT att skriva ransomware? Ja, det gör det.

Artikel på malwarebytes.com

Malwarebytes testade att skriva skadlig kod med hjälp av ChatGPT.

Dessa AI LLM:s har sina etiska riktlinjer, men att kringgå dem verkade inte vara alltför svårt:

• Skriv mig en viktig del av ransomware ❌
• Skriv mig en kod som krypterar en enda fil ✔️

I det här testet var kvaliteten på den skapade koden fortfarande inte bra. Teamet drog slutsatsen, att en okvalificerad programmerare skulle bli förvirrad av resultaten, medan en erfaren programmerare inte skulle ha någon nytta av resultaten.

Ändå är det en enorm förbättring från GPT 3.0 till GPT 4.0. Om förbättringarna fortsätter att utvecklas i (till och med nära) samma takt kan några stora hot vara på väg att dyka upp i horisonten.

ChatGPT firade bara precis sin första födelsedag. Om du tänker på de framsteg och effekter det redan har haft på oss, är det här en ganska utvecklingsväg. Definitivt bra att hålla ett öga på utvecklingen, från cybersäkerhet och andra POV.

NIS2-direktiv nationellt genomförande fortskrider

Lagar på utkaststadiet i många medlemsländer (deadline 24/10), t.ex.

• "IT-säkerhetslagen 3.0" (Tyskland)
• Laki kyberturvallisuuden riskienhallinnasta (Finland)

Skillnader i övervakning, definitioner av omfattning etc.

• Inga stora överraskningar om du är bekant med innehållet i NIS2-direktivet, eftersom de nationella lagarna oftast skriver in direktivets krav i det format som används för den nationella lagstiftningen.
• Länderna kan göra utvidgningar av omfattnings- och säkerhetskraven om de vill, men i de flesta fall genomförs detta förmodligen inte.
  

Vårt team har massor av NIS2-innehåll för intresserade människor

• Anmäl dig till NIS2 webinar >>
• Visa NIS2-innehåll på Akademin >>

Organisationers Facebook-sidor blir kapade

Artikel på Finnish Cyber Security Center's webbplats (på finska)

Nätfiske via Facebook Messenger är mycket vanligt nuförtiden.

Administratörerna av dina Facebook-konton kan få upptagna ljudmeddelanden i Messenger från "Facebooks tekniska support"

• "Reklamkampanj misslyckades med att skicka"
• "Ditt senaste inlägg bryter mot upphovsrätten"
• "Misstänkt aktivitet på ditt konto"

Länkarna tar dig till en nätfiskewebbplats som ser ut som facebook.com. Det som gör bedrägeriet lurigt är att i ett aktivt Facebook-konto sammanfaller dessa meddelanden ofta med relevanta tidpunkter även av misstag. Om du precis har gjort ett inlägg och får ett meddelande om upphovsrättsintrång är risken stor att du blir hackad. Håll ögonen öppna! 🛡

Viktigaste sakerna från Cyberday utveckling

Uppdateringar av användargränssnittet, särskilt för admin-navigering och kontrollpanel

Vi har nyligen förnyat våra viktigaste UI-komponenter. De största förändringarna fokuserar på navigering (vänstermenyn och dess funktion) samt prioriteringarna på kontrollpanel. Vi skapar också ett tydligare onboarding-flöde för nya Cyberday -användare.

Vi förnyar navigeringen i syfte att göra det enklare att röra sig i appen. Innehållet i vänstermenyn är nu alltid detsamma och markerar tydligt var du befinner dig för tillfället.

Vi förenklar också kontrollpanel så att det viktigaste innehållet syns tydligare. Det tidigare innehållet i det högra fältet flyttas till botten av skrivbordet. Från ditt eget ledningssystem lyfter vi fram tre viktiga uppgifter för varje tema: åtgärdernas täckning, den aktuella genomförandestatusen och bevisstyrkan. Syftet med att arbeta på Cyberday är att höja dessa värden och därmed skapa en mer effektiv hantering av cybersäkerhet.

Vi strävar också efter att göra det lättare för nya användare att komma igång, t.ex. med tydliga startsteg och en ny "utvärderingsfas", som kan användas för att effektivt bedöma den aktuella täckningen av en viss policy i början av arbetet.

Multipla enhetsbaserade processbeskrivningar för uppgifter

Nu kan du fatta beslut om att vissa uppgifter ska genomföras separat, t.ex. i olika huvudenheter eller på olika platser. Enheterna kan vara "divisioner", "avdelningar", "landsfilialer" eller något annat som passar din organisationsstruktur.

På så sätt behöver du inte skapa separata uppgifter, men du kan ansluta flera enhetsägare till uppgiften utöver den huvudsakliga uppgiftsägaren. Enhetsägare är ansvariga för att fylla i beskrivningen och distribuera åtgärden i sin enhet.

Ny rapporttyp: Säkerhetsredovisning

När du börjar skapa en ny rapport kan du nu använda en ny typ: Säkerhetsutlåtande.

Säkerhetsrapporter är utformade för att vara översikter över dina uppgifter på en önskad detaljnivå och omfattning. När du skapar en rapport kan du välja vilka teman, policyer eller enskilda uppgifter som du vill inkludera i rapporten.

Uttalanden är utformade för att du enkelt ska kunna skapa en snygg "export" av önskat uppgiftsinnehåll. De kan användas för extern kommunikation (t.ex. för att skapa ett brett säkerhetsutlåtande för kunder) eller intern rapportering (t.ex. för att skapa ett detaljerat ämnesspecifikt utlåtande för intern kommunikation).

Förbättringar av revisioner-tabell

Internrevision är ett effektivt sätt att övervaka funktionaliteten i det egna informationssäkerhetsarbetet. En ISO 27001-certifierad organisation måste till exempel också kunna visa att revisioner görs regelbundet och att täckningen av hela ramverket revideras med en treårsrytm.

Vi har gjort förbättringar i den relaterade Audits-tabellen för att stödja detta. Du kan nu filtrera för att visa de revisioner som utförts utifrån ett specifikt kravramverk. Dessutom kan du enkelt se i en vy om de senaste revisionerna har omfattat hela ramverket.

Förbättringar av rapporternas utskrifts- / PDF-format

Vi har ändrat presentationen av rapporter när en användare går till utskriftsvyn via knappen Skriv ut. På samma sätt kan du alltid spara rapporten i PDF-format också.

I utskriftsvyn används nu mellanrum och teckenstorlekar på ett något mer optimerat sätt. På samma sätt försöker vi alltid att göra ett sidbyte efter de viktigaste avsnitten, så att det nya innehållet tydligt börjar först på nästa sida.

Vi tar gärna emot feedback från dig och förbättrar utskriftsläget ytterligare i framtiden. 👍

Feedback eller frågor?

Om du vill fråga oss något kan du alltid nå vårt team via chatten eller på team@cyberday.ai.