Bli en MVP inom cybersäkerhet: NFL och CISA om att trotsa cybersäkerhetsutmaningar

Tomás Maldonado, CISO på National Football League, och Jeff Greene, verkställande biträdande direktör för cybersäkerhetsdivisionen på Cybersecurity and Infrastructure Security Agency (CISA), deltog tillsammans med Bitwardens vd Michael Crandell i ett informellt samtal vid Open Source Security Summit för att fördjupa sig i bästa praxis för säkerhet, vanliga misstag och det breda utbud av resurser som finns tillgängliga för organisationer. De diskuterade också hur individer och organisationer kan överlista cyberbrottslingar genom regelbundna programvaruuppdateringar, medvetenhet om social manipulation och användning av säkerhetsverktyg som multifaktorautentisering och lösenordshanterare. 

Efter flera år som säkerhetsexpert på välkända finansbolag hade Maldonado en CISO-roll på ett kemiskt tillverkningsföretag och har erfarenhet av att arbeta för hårt reglerade företag. Maldonado skämtade: ”NFL lät mig genomgå en cybersäkerhetscombine.” 

På CISA ansvarar Greene och hans team för cybersäkerhet, att minska cyberhot och i slutändan cyberattacker på federal, civil och exekutiv nivå. Även om varje myndighet har sin egen CISO fastställer CISA policy och har befogenhet att utfärda direktiv. Greene, som har 15 års erfarenhet av cybersäkerhet, var tidigare jurist. Innan han gick över till sin nuvarande roll hade han roller i den privata sektorn och vid National Institute of Standards and Technology (NIST).

Att förstå cyberhotens natur och omfattning är avgörande i det ständigt föränderliga cybersäkerhetslandskapet. Cyberbrottslingar förfinar ständigt sina taktiker, vilket gör det nödvändigt för säkerhetsteam att ligga steget före. Nya sårbarheter och återkommande problem som nätfiske och utpressningsprogram är fortsatt stora utmaningar när ny teknik växer fram.

Cyberhot förekommer i olika former, och varje form innebär unika risker. Skadlig kod är till exempel en formidabel motståndare, där attackerna blir allt mer sofistikerade och svåra att upptäcka. Den här kategorin omfattar virus, maskar, utpressningsprogram och cryptojacking, som alla kan orsaka stor skada på system och data.

Nätfiskeattacker är ett annat ihållande hot som riktar sig mot organisationer av alla storlekar. Dessa attacker omfattar ofta vilseledande e-postmeddelanden eller meddelanden som lurar mottagare att avslöja känslig information. Utbildning, medvetenhet och robusta säkerhetsåtgärder som upptäcker och blockerar dessa försök är avgörande för att bekämpa nätfiske.

Utpressningsprogram, en typ av skadlig kod som krypterar data och kräver betalning för att släppa den, är ett betydande problem. Organisationer måste vara vaksamma och använda heltäckande säkerhetsprotokoll för att förhindra sådana attacker och begränsa deras påverkan.

Att förbereda sig för dessa olika typer av cyberhot är avgörande för att identifiera potentiella angreppsvektorer och organisera effektiva strategier för riskreducering. Genom att förstå dessa hot och införa proaktiva säkerhetsåtgärder kan organisationer bättre skydda sina nätverk, system och känsliga data mot cyberattacker.

I flera år har NFL och CISA träffats 12–18 månader före Super Bowl. Med Super Bowl 2025 planerat att äga rum i New Orleans har NFL säkerställt att företag som erbjuder tjänster under Super Bowl förstår CISA:s tjänster, såsom tabletop-övningar, utbildning, medvetandekampanjer, sårbarhetsskanning och penetrationstester.

NFL och CISA samarbetar också för att identifiera och begränsa avancerade ihållande hot och sofistikerade, långvariga cyberattacker som syftar till att stjäla känslig information eller sabotera verksamhet. Molntjänster innebär unika cybersäkerhetsutmaningar, vilket gör det avgörande att säkra molninfrastruktur mot felkonfigurationer och otillräckliga åtkomstkontroller.

Till exempel kan en donutbutik nära Super Bowl dra nytta av verktyg som en offentlig skanning av butikens publika webbplatser för att säkerställa att det inte finns några sårbarheter som kan utnyttjas. CISA kan också erbjuda grundläggande säkerhetsmål som ger organisationer idéer om hur de kan förbättra sin säkerhet.

CISA har cybersäkerhetsrådgivare i varje delstat som kan samarbeta med företag som står inför potentiella hot. Även om den typ av hot som ett energibolag kan utsättas för sannolikt är allvarligare än den en donutbutik möter, hanterar även en donutbutik sannolikt stora mängder personuppgifter och kan dra nytta av sårbarhetsskanningar. CISA fokuserar också starkt på att hjälpa företag att förebygga och hantera utpressningsattacker. Greene sade: ”Om vi tror att ett företag är under attack just nu eller är måltavla, kontaktar vi dem direkt och rekommenderar åtgärder mot cyberattacker som de bör fokusera på.”

Lösenordshanterare hjälper till att skydda mot utpressningsprogram genom att göra det möjligt för användare att skapa starka och unika lösenord för varje webbplats de besöker. Det minskar risken för återanvändning av lösenord och hindrar människor från att automatiskt välja svagare lösenord bara för att de är lätta att komma ihåg, vilket minskar sannolikheten för stöld av inloggningsuppgifter.

Cybersäkerhetsutmaningar vid hantering av känsliga data 

Företag som fungerar som en ”organisation av organisationer” ställs inför många unika cybersäkerhetsutmaningar. NFL övervakar 32 klubbar, som alla driver egna ytterligare affärsområden.

”De säkerhetsrutiner, protokoll och program vi har utformat är i linje med NIST:s rekommendationer för cybersäkerhet. Naturligtvis ser vi också till att dra nytta av de tjänster som CISA erbjuder. De enskilda klubbarna förstår hur ligan kan hjälpa dem och även hur de lokalt kan dra nytta av statliga cybersäkerhetstjänster.” – Tomás Maldonado

Enskilda klubbar har ofta ett nära samarbete med lokala företag och tjänster, och de för vidare de bästa säkerhetsrutiner de ser till sina leverantörer i försörjningskedjan.

Att förebygga cyberattacker kräver ett heltäckande angreppssätt för att minska risker och skydda känsliga data. Företag måste investera i lösningar som skyddar deras system mot både interna och externa hot.

Lösenordshanterare kan hjälpa användare att skapa och lagra komplexa lösenord på ett säkert sätt. Att uppmuntra starka, unika lösenord och odla en cybersäkerhetskultur kan förhindra att cyberbrottslingar får åtkomst till system och ge medarbetarna de verktyg och resurser de behöver för att identifiera och eskalera potentiella hot. Införande av multifaktorautentisering (2FA) lägger till ett extra säkerhetslager genom att kräva att användare uppger två former av identifiering innan de får åtkomst till system, vilket minskar risken för obehörig åtkomst även om lösenord röjs. Kryptering av känsliga data säkerställer att de inte kan läsas utan dekrypteringsnyckeln, även om de fångas upp. Att konfigurera aviseringar för misstänkt eller skadlig aktivitet gör att säkerhetsteam snabbt kan reagera på potentiella hot. Genom att investera i dessa lösningar och använda bästa praxis kan företag effektivt hantera cyberattacker och skydda sina känsliga data från att röjas.

”Under åren sedan [SolarWinds] har vi gjort otroliga framsteg med att införa detektering och respons på slutpunkter hos fler än 60 federala myndigheter. Nu kan vi analysera cyberhot och lägga ihop de berömda pusselbitarna mellan myndigheter. Vi har kunnat använda våra resurser för att upptäcka skadlig aktivitet som undgick våra tekniker för slutpunktsdetektering, eftersom vi insåg att något inte stämde när vi lade ihop allt. Vi kunde stoppa det vi betraktar som några av nästa generations attacker.” – Jeff Greene

Med utgångspunkt i företagssäkerhet och de möjligheter och utmaningar som finns påpekade Crandell att mänskliga misstag fortfarande är en av de främsta orsakerna till intrång, trots våra sofistikerade säkerhetstekniker. Han frågade Maldonado och Greene om strategier och metoder som kan användas för att uppmuntra bättre beteenden.

”Jag försöker öka medvetenheten och utbilda mitt team om de typer av hot vi som organisation står inför”, sade Maldonado. ”Jag fokuserar också på säkerhetshot som människor kan möta i sina privatliv. Även om vissa kanske ser sin personal som den svagaste länken, ser jag det genom linsen att vår personal är vår största tillgång. Om jag har 15 000 personer i min organisation har jag potentiellt 15 000 säkerhetsevangelister.”

”Om jag kan nå dem och göra dem mer kunniga inom cybersäkerhet kan de bli bra varningskanarier eller evangelister för vissa säkerhetskontroller … I slutändan har människor goda avsikter och vill göra rätt.” – Tomás Maldonado

Maldonado noterade också att människor fortfarande i hög grad förlitar sig på användarnamn och lösenord. Han sade att NFL har försökt gå från lösenord till lösenfraser eftersom han anser att det gör dem svårare för motståndare att knäcka, samtidigt som de blir lättare för individer att komma ihåg.

Bitwarden-användare som söker ett alternativ till lösenord som består av slumpmässigt genererade tecken kan också ha nytta av lösenfraser. Lösenfraser kan skapas med Bitwarden Passphrase Generator eller popup-fönstret för att skapa objekt i valvet.

”Om du lär människor hur de skyddar sin personliga information, oavsett om det gäller kreditkortsuppgifter eller bankkontodata, kommer de att överföra dessa färdigheter – nästan automatiskt – till sitt yrkesliv”, sade Greene. ”Men allt detta fokuserar på det kortsiktiga problemet, och det finns ett mer grundläggande långsiktigt problem … Vi borde inte leva i en miljö där ett tillfälligt misstag kan leda till att en cyberbrottsling tömmer ett bankkonto, stjäl nationella säkerhetshemligheter eller slår ut kritisk infrastruktur. Det händer eftersom den programvara och teknik vi förlitar oss på är byggd på ett osäkert sätt.”

”På kort sikt måste vi göra allt vi har diskuterat, och på lång sikt måste vi förändra hur den här tekniken byggs. Den måste vara bergsäker från grunden. Vi behöver inbyggd säkerhet.” – Jeff Greene

Exempel på säkerhet genom design är: 

• Att använda multifaktorautentisering.

• Att rapportera kända sårbarheter.

• Att ha ett system för att upptäcka sårbarheter.

• Att säkerställa att ingen enhet eller inget system levereras med ett standardanvändarnamn och standardlösenord.

Organisationer bör omedelbart ändra standardanvändarnamn och standardlösenord till starka och unika lösenord eller lösenfraser, helst hanterade och säkrade av en end-to-end-krypterad lösenordshanterare som Bitwarden.

Greene uppmanar också alla att besöka CISA:s webbplats för mer information om det officiella Secure by Design-löftet.

I takt med att cyberhot fortsätter att utvecklas och bli mer sofistikerade blir AI:s och maskininlärningens roll inom cybersäkerhet allt viktigare. Det är avgörande att företag använder tekniker som kan upptäcka och hantera cyberhot i realtid, vilket avsevärt minskar risken för dataintrång och andra cyberattacker. Med hotdetektering i realtid kan AI- och maskininlärningsalgoritmer snabbt analysera enorma mängder data och identifiera mönster och avvikelser som kan tyda på ett cyberhot. Genom att analysera historiska data kan AI förutse framtida cyberhot och hjälpa organisationer att förbereda sig för potentiella attacker. 

”I takt med att AI blir mer mainstream behöver säkerhetsexperter bättre förstå de potentiella säkerhetsrisker som generativ AI medför och hur vi kan tillämpa principer för säkerhet genom design för att lägga en stark grund för datasäkerhet”, säger Maldonado. Han anser att principer för säkerhet genom design måste integreras tidigt när framtidens utvecklare lär sig skriva kod. ”Det finns ett incitament för utvecklare att lära sig koda väldigt snabbt så att de kan lansera en produkt på marknaden så fort som möjligt”, säger Maldonado. 

”Vi måste gå från ett synsätt där vi belönar företag som snabbt lanserar produkter till att belöna företag som med eftertanke prioriterar och bygger in säkerhet från början. Det är möjligt för företag att nå sina marknadsmål samtidigt som de skyddar användare från att få sina data komprometterade.” – Tomás Maldonado

Detta proaktiva arbetssätt gör det möjligt för säkerhetsteam att ligga steget före cyberbrottslingar och minska risker innan de blir verklighet. AI-drivna system kan automatiskt reagera på upptäckta hot och neutralisera dem innan de orsakar betydande skada. Det minskar belastningen på säkerhetsteam och säkerställer en snabb och effektiv respons på cyberattacker. Genom att använda AI och maskininlärning kan organisationer stärka sin cybersäkerhet och bättre skydda sina data mot nya hot.

”Vi har alla möjlighet att förbättra säkerheten i våra digitala liv och företag. Hur skrämmande det än verkar är de flesta cyberattacker inte sofistikerade, och de flesta angripare är lata. Om du, som privatperson eller småföretagare, gör de enkla sakerna – installerar uppdateringar, har säkerhetsverktyg som lösenordshanterare installerade och använder multifaktorautentisering – ligger du före de flesta cyberbrottslingar.” – Jeff Greene

Redo att bli en riktig cybersäkerhets-MVP med lösenordshantering? Kom igång med en 7-dagars kostnadsfri företagsprovperiod, eller registrera dig för ett kostnadsfritt individuellt konto.