W ciągu ostatnich lat nowe technologie diametralnie zmieniły naszą codzienność. Niemal każdy aspekt życia jest w jakimś stopniu zinformatyzowany, zależny od systemów komputerowych. Przeprowadzanie cyfrowych operacji finansowych, prowadzenie biznesu w Internecie czy chociażby robienie zakupów internetowych – dostarczyło nam wiele korzyści, ale równolegle zrodziło nowe zagrożenia, które określa się mianem cyberprzestępczości.

Czym jest cyberprzestępczość?

Cyberprzestępczością możemy nazwać wszystkie operacje, które mają na celu wykonanie niezgodnych z prawem akcji naruszających jedną z trzech cech: poufność, integralność lub dostępność. Typowym przykładem jest próba uzyskania środków finansowych od osób fizycznych (poprzez phishing) czy od firm i przedsiębiorstw (z pomocą oprogramowania ransomware). Innym przykładem jest kradzież informacji – od danych osobowych, przez wyniki finansowe, materiały handlowe, po dane analityczne.

Metody ataku

Jedną z najpowszechniej wykorzystywanych metod ataku na nieświadomych użytkowników Internetu jest phishing. Kto przynajmniej raz w życiu nie otrzymał propozycji odebrania spadku od dalekiego krewnego lub podejrzanej faktury do opłacenia? Kreatywność cyberprzestępców rozwija się jednak wykładniczo. Łącząc tzw. spear phishing z niepoprawną konfiguracją serwerów pocztowych organizacji lub z brakiem odpowiednich mechanizmów ochronnych na styku sieci zewnętrznej z wewnętrzną, możliwe stają się ataki nakierowane bezpośrednio na konkretnych pracowników firm. Podwyższa to tym samym wiarygodność przesyłanych informacji i zwiększa prawdopodobieństwo powodzenia operacji.

Kolejnym realnym zagrożeniem są podatności występujące w infrastrukturze zewnętrznej. Każdy element mogący komunikować się zarówno z siecią Internet, jak i z siecią wewnętrzną organizacji narażony jest na potencjalne wektory ataku, które w przypadku sukcesu mogą umożliwić atakującemu zdalny dostęp do infrastruktury. W konsekwencji może to prowadzić do eskalacji dostępów do innych komponentów będących stricte wewnętrznymi. Przykładem może być podatność w platformie udostępnianej klientom, w końcówce API, czy też w nieaktualnym oprogramowaniu zarządzającym zdalnym dostępem dla pracowników.

Co dzieje się potem? W ostatnich latach i miesiącach obserwujemy gwałtowny skok liczby zaawansowania ataków polegających na zaburzeniu dostępności całych firm i łańcuchów dostaw poprzez tzw. oprogramowanie ransomware. Typowym przykładem jest zaszyfrowanie całej zawartości dysków w obrębie infrastruktury sieciowej, do której dostęp ma zarażona stacja robocza lub serwer. W wielu przypadkach z powodu braku podziału sieci wewnętrznej na podsieci oraz słabe bądź nieistniejące reguły na firewallach ograniczające komunikację pomiędzy krytycznymi elementami infrastruktury, możliwe staje się zaszyfrowanie 100% komponentów wchodzących w skład organizacji, włączając w to ewentualne backupy. W zależności od wyników finansowych firmy, stopnia zaszyfrowania, a także konkretnej grupy przestępczej zarządzającej procesem pozyskiwania okupu, może on oscylować od kilku tysięcy do nawet kilkudziesięciu milionów złotych. Niejednokrotnie, mając na uwadze ciągłość strat generowanych przez zatrzymany łańcuch dostaw, zapłata jest jedyną drogą na powrót do działalności operacyjnej.

Innym, równie często występującym celem atakujących jest uzyskanie danych. Żyjemy w świecie, w którym informacja jest pieniądzem. Dodatkowo czym bardziej są one poufne, tym większą mają wartość. Dla większości z nich zawsze znajdzie się potencjalny kupiec – dane osobowe takie jak numery kart, dowodów osobistych, dokładne dane adresowe i personalne mogą posłużyć do ataków socjotechnicznych, jak również zaciągania kredytów w imieniu ofiary. Dane finansowe z pewnością zainteresują rynkową konkurencję. Natomiast informacje technologiczne takie jak dokumentacja techniczna lub projekty / oprogramowanie – mogą posłużyć konkurencji, obcym wywiadom, badaczom bezpieczeństwa po obu stronach barykady do wykrywania potencjalnych luk czy też po prostu zniszczenia wizerunku konkretnej firmy-ofiary.

Czy istnieje skuteczna linia obrony?

Odpowiedź na to pytanie nie jest jednoznaczna. Żaden ekspert ani firma zajmująca się cyberbezpieczeństwem nie jest w stanie zapewnić pełnej ochrony przed wszelkimi wektorami ataku, które mogą wystąpić w realnym świecie. Gdyby tak było, nigdy nie usłyszelibyśmy o wyciekach danych i atakach hakerskich na gigantów branży takich jak Facebook, Microsoft czy LinkedIn. Podobnie jednak jak z niemal każdym rodzajem ryzyka – i tym można zarządzać. Kluczem do sukcesu jest świadomość i reagowanie.

W przypadku ataków socjotechnicznych – powinno działać się wielopoziomowo, poczynając od szkoleń cyber awarness dla pracowników każdego szczebla, szczególnie tych mających kontakt z klientami i dostęp do komunikacji ze światem zewnętrznym. Dodatkowo każdy punkt styku z siecią zewnętrzną i wewnętrzną powinien zostać zidentyfikowany i poddany ciągłemu monitoringowi. Szczególną uwagę należy zwrócić na komunikację mailową poprzez wdrożenie odpowiednich systemów weryfikujących nadawcę i treść wiadomości, reagujących jeszcze zanim mail zostanie przesłany na skrzynkę pracownika.

Kolejnym krokiem jest wdrożenie procesu zarządzania podatnościami oraz monitoringiem kampanii, które zazwyczaj zostają uruchomione chwilę po upublicznieniu szczegółów konkretnej luki w systemach, aplikacjach lub urządzeniach. Pozwoli to na szybszą reakcję i ewentualny hardening konfiguracji, jak i reguł na styku obu sieci. Dodatkowo bardzo ważnym aspektem jest podział sieci wewnętrznej na podsieci oraz określenie dostępów do nich tak, aby nawet w przypadku kompromitacji stacji roboczej pracownika, nie istniała bezpośrednia możliwość eskalacji ataku na całą infrastrukturę sieciową.

Testy bezpieczeństwa

Wdrożenie mechanizmów i systemów ochronnych pozwala na radykalne zwiększenie poziomu świadomości i ochrony przed atakami pochodzącymi z sieci Internet. Jak jednak uzyskać informację na temat poprawności ich wdrożenia oraz zidentyfikować potencjalne wektory? Kluczowe jest regularne testowanie wszystkich elementów wchodzących w skład całego ekosystemu organizacji pod kątem bezpieczeństwa. Zaczynając od testów zewnętrznych, na przykład z wykorzystaniem podejścia red teamowego, organizacja jest w stanie zidentyfikować, czy ma świadomość wszystkich swoich zasobów udostępnianych w sieci Internet, jak również dowiedzieć się, jaki jest poziom bezpieczeństwa i zabezpieczeń czy ewentualnych aplikacji internetowych, mobilnych lub interfejsów, które mogą posłużyć do uzyskania dostępu do nieautoryzowanych, niejednokrotnie krytycznych informacji i danych.

Kolejnym krokiem jest przejście do oceny bezpieczeństwa sieci wewnętrznej – poszczególnych komponentów, konfiguracji stacji roboczych, podziału sieci oraz reguł nim zarządzających. Każdy z tych elementów może być kluczowy w przypadku uzyskania dostępu przez stronę trzecią, umożliwiając szybką reakcję odpowiednim systemom i zespołom reagowania.

Ciągłość cyberochrony

Bezpieczeństwo jest procesem. Dla organizacji chcącej w jak największym stopniu chronić się przed atakami hakerskimi, jak również potencjalnymi wyciekami danych – podstawową czynnością powinno być utrzymanie świadomości i analiza ryzyka. Rozwijanie wiedzy pracowników, również tych nietechnicznych, może wpłynąć na wzbudzenie ich podejrzenia w momencie, w którym będzie to najbardziej potrzebne – na przykład przy otwieraniu podejrzanego załącznika. Podobnie wygląda sfera techniczna – testowanie, reagowanie na nowe zagrożenia, rozwijanie reguł ochronnych oraz ulepszanie monitoringu powinno być procesem ciągłym, wykonywanym regularnie i stawianym na pierwszym miejscu w obszarze szacowania ryzyka w organizacji.

Więcej informacji o wsparciu Onwelo w obszarze bezpieczeństwa IT można znaleźć na stronie internetowej.