Pentru a evita posibile atacuri cibernetice, din ce în ce mai sofisticate, este bine de știut la ce să ne aștepăm, care ar putea fi tipurile de amenințări, pentru a putea lua cele mai bune decizii de securizare a rețelelor informatice. Cu cât știm mai mult la ce să fim atenți în mediul online, despre cum ar putea acționa infractorii informatici, cu atât vom fi mai securizați și putem fi feriți de probleme.
Pe tot parcursul anului trecut, pandemia COVID-19 a creat un nou loc de joacă pentru hackeri. Ca răspuns, multe instituții au consolidat infrastructura de securitate cibernetică și au lansat inițiative rapide de transformare digitală. Dar cum arată peisajul securității cibernetice și evoluția amenințărilor în 2021?
Știm cu totii că nu putem ghici viitorul (cine ar fi prevăzut un an ca 2020 ? ), însă sunt domenii în care se pot face predicții și putem avea o viziune asupra a ceea ce ne așteaptă în acest an nou. De aceea, încercăm să conturăm mai jos cinci tendințe în securitate cibernetică.
(1) Creșterea atacurilor de inginerie socială
Ingineria socială, în contextul securității cibernetice înseamnă manipularea psihologică a oamenilor pentru a efectua unele acțiuni sau a divulga informații confidențiale. Această strategie care se bazează pe interacțiunea umană și implică adesea păcălirea oamenilor cu scopul de a obține informații confidențiale sau acces la date, va crește și în noul an. De fapt, Microsoft raportează că atacurile de inginerie socială au crescut de la 20,000 la 30,000 pe zi numai în SUA.
Tacticile comune vor deveni mai avansate și vor permite din ce în ce mai mult atacatorilor să aibă acces la informații confidențiale. Atacurile de inginerie socială, cum ar fi phishing-ul, comunicațiile frauduloase, care sunt deghizate ca fiind legitime, atacuri cu țintă precisă care utilizează informații personale pentru a câștiga încredere, o serie de minciuni care pretind că au nevoie de informații sensibile de la o victimă, vor deveni nu doar mai răspândite ci și mai periculoase.
Sunt create noi ocazii pentru atacuri cibernetice
La începutul anului trecut statisticile arătau că un procent de 30% din populație folosea un sistem de telemuncă (total sau parțial) iar două săptămâni mai târziu acest procent ajunsese la 95%. Evoluția recentă a pandemiei ne arată că și anul acesta, procentul oamenilor care vor lucra de acasă va fi similar. De asemenea, învățământul online va creea un nou mediu de dezvoltare pentru atacatori. Platforme specifice acestui tip de educație, personalul didactic și elevii vor fi ținta unor atacuri noi.
„În cazul unor astfel de tipuri de atac, pasul cel mai important este cel de prevenție. Având la bază interacțiunea umană, este obligatoriu ca fiecare persoană să aibă ceea ce se numește healthy security behaviour. Pentru aceasta, angajatorii ar trebui să investească mai mult în servicii și produse de educare a angajaților. Gradul de conștientizare a angajaților asupra riscurilor de securitate cibernenetică, în cadrul propriei organizații, poate fi testat prin simularea unui atac de phishing, urmat de un training pentru toți angajații.”, ne spune Alina Maxim, Team Leader Security, Asseco SEE (ASEE) România.
De asemenea, tot pentru prevenție este importantă configurarea corectă a unor soluții de tip Email Security – care vor bloca mare parte din mail-urile de tip phishing – și a unor soluții de Web Security – un web proxy care restrictionează accesul utilizatorilor la diferite pagini web care ar putea avea conținut malițios. Există soluții de Web Security pe care organizațiile le pot folosi pentru a impune o politică de securitate corectă chiar și angajaților care lucrează de acasă.
În funcție de nevoile fiecărei organizații, ASEE vine cu experiența echipei de Security și cu soluții tehnice multi-vendor, care se pot integra ușor în setup-ul curent, dar care aduc un plus semnificativ de protecție.
(2) Expunerea vulnerabilităților cunoscute și necunoscute
Orice infrastructură cu acces la internet este expusă unor vulnerabilități. Prin urmare, cei care lucrează la distanță utilizează un VPN, un protocol de tip RDP sau un alt instrument de acces. Ca urmare, ei sunt expuși riscului și pe măsură ce organizațiile continuă să-și extindă prezența pe internet, acest risc va fi din ce în ce mai mare.
„Este de așteptat ca în 2021, infractorii cibernetici să utilizeze din ce în ce mai mult tactici care se vor concentra pe compromiterea infrastructurii, exploatând vulnerabilitățile pe servere fără patch-uri, conexiuni RDP sau servere FTP expuse în Internet fără protecție. Organizațiile cu sisteme de securitate cibernetică ineficiente sau cu o arhitectura incompletă sunt în pericol. Au dispărut zilele în care soluțiile end point și cele de apărare a perimetrului fac toată treaba.” mai declară Alina Maxim.
Cele mai multe amenințări se găsesc în domeniul financiar bancar, acolo unde există banii vizați de atacatori. Deși există multe norme în vigoare în domeniul financiar (Norma 4 ASF, Directiva NIS, reglementarile BNR) încă sunt destule organizații care nu urmează o metodologie de management al scanării vulnerabilităților și de actualizare a sistemelor într-un ritm continuu.
Pentru a combate atât vulnerabilitățile cunoscute cât și pe cele necunoscute, trebuie luate în considerare cele mai bune practici de la CyberSecurity & infrastructură Security Agency (CISA), cum ar fi:
• Programați o scanare recurentă de vulnerabilități și definiți o politică de aplicare a patch-urilor;
• Implementați controale stricte ale parolelor;
• Utilizați autentificarea cu mai mulți factori;
• Activați Network Level Authentication (NLA) și dezactivați Server Message Block v1 (SMBv1);
• Aplicați Hardening – acel proces prin care fiecare sistem sau aplicație din organizație respecă o metodologie strictă de permisiuni. Concret, este recomandat să nu activați alte servicii decât cele strict necesare pentru funcționarea sistemului (sau aplicației) și nici acces către alte resurse, dacă nu este nevoie. Astfel, sunt eliminați cât mai mulți vectori posibili de atac.
Există soluții tehnice dedicate de scanare, testare și actualizare a sistemelor, pe care noi le punem la dispoziție clienților. Lucrăm cu cei mai importanți producători în acest domeniu.
(3) Exploatarea instrumentelor care administrează sistemul informatic
Instrumentele legitime folosite de administratorii IT au devenit ținte valoroase, din cauza privilegiului pe care îl oferă, având un acces mai mare la rețea. În timp ce amenințările de tip malware continuă să evolueze și să prolifereze, instrumentele sysadmin le-au deschis atacatorilor cibernetici porți mai largi pentru a implementa tactici de atac blindside.
Potrivit unui studiu realizat de Positive Technologies, peste 50% dintre grupurile de tip APT, utilizează instrumente de testare a penetrării și instrumente de administrare a sistemului, pentru a dezvolta strategii de atac.
O recentă descoperire a unui atac de acest tip a implicat agenții guvernamentale din SUA dar și companii din sectorul privat, care foloseau o platformă renumită de monitorizare și administrare – Solarwinds Orion. Se pare că atacul a început în luna martie 2020 și a fost descoperit abia la finalul anului trecut. (https://us-cert.cisa.gov/ncas/alerts/aa20-352a)
Pe măsură ce sistemele IT devin din ce în ce mai interconectate în 2021, exploatarea administrării sistemului și a instrumentelor de penetrare, cum ar fi Cobalt Strike, PowerShell Empire și BloodHound, va crește, de asemenea. Atacatorii vor folosi progresiv aceste instrumente, deja instalate pe calculatoarele țintă, pentru a rula software-ul dăunător direct în memoria calculatorului – reducând astfel șansele de a fi detectați.
Deși gestionarea infrastructurii IT fără aceste instrumente este practic imposibilă, organizațiile pot preveni infectarea dispozitivelor dacă își instruiesc angajaților și aplică soluții de securitate care se bazează pe inteligența artificială și învățare automată, actualizează programul de antivirus și mai ales dacă restricționează privilegiile personalului. Există soluții tehnice renumite, care pot alerta și restricționa automat accesul unui sysadmin, dacă privilegiile lui sunt modificate.
(4) Lipsa monitorizarii sistemelor critice devine punct vulnerabil
Lipsa instrumentelor de monitorizare a sistemelor critice se poate datora mai multor factori, cum ar fi: lipsa inginerilor instruiți în domeniul securității, automatizarea necorespunzătoare a alertelor sau chiar configurarea precară a sistemului de logare și alertare. Cu toate acestea, cauza principală este, în general, un decalaj în ceea ce privește competențele în materie de securitate cibernetică.
Conform unui studiu adresat specialiștilor în securitatea cibernetică realizat de Asociația pentru securitatea sistemelor informatice (ISSA) și de grupul independent de analiză a întreprinderilor din industrie, Grupul de strategie pentru întreprinderi (ESG), 70% consideră că organizația lor a fost afectată de deficitul global de competențe în materie de securitate cibernetică.
În plus, 45 % dintre respondenți consideră că deficitul de competențe în materie de securitate cibernetică și impactul acestuia s-au înrăutățit în ultimii ani. Acest decalaj poate cauza incidente de securitate în creștere, ceea ce duce la pierderea productivității, la încălcarea securității informațiilor sensibile și la creșterea resurselor necesare pentru remediere.
Pentru a elimina decalajul și a progresa în direcția cea bună în 2021, liderii, directorii executivi ai compnaiilor, profesioniștii din domeniul securității cibernetice, personalul de resurse umane și trainerii trebuie să investească mai mult în educație, formare și burse. Astfel vom avea noi generații de ingineri pregătiți pentru a aborda amenințările cibernetice de mâine.
(5) Ransomware-ul operat de om va fi tot mai întâlnit
Atacurile Ransomware operate de om sunt atacuri controlate de infractori calificați și adaptabili, care sunt motivați de câștiguri financiare și care petrec săptămâni, luni sau chiar ani identificând și penetrând sistemele de protecție ale organizației, pentru a maximiza impactul atacului pe care și l-au propus.
Aceste mari atacuri de tip ransomware au devenit mai puternice de-a lungul anilor și vor continua să crească și să provoace mai multe daune în 2021 și mai departe. De fapt,unul din trei atacuri este ransomware Enterprise și 4% din atacurile cibernetice se întâmplă prin ransomware. Avand în spate o motivație financiară puternică, se vor indrepta spre ținte profitabile, ca urmare victimele vor fi organizații mari, care pot plăti milioane de dolari/euro/etc.
De cele mai multe ori, un ransomware ajunge pe un sistem prin unul din cele trei moduri: e-mail phishing, social media phishing și exploit kit-uri (programe automate). Pentru a convinge utilizatorii să facă click pe un link sau un fisier, infractorii investesc timp pentru a găsi tehnici și proceduri care vor fi eficiente pentru victima respectivă. Pentru aceasta ei vor face ca inclusiv adresele de e-mail să pară autentice, siglele, tonul mesajului pot fi recunoscute, iar gramatica poate fi destul de corectă.
Și în 2021, hackerii vor găsi noi modalități de a crea mesaje aparent autentice pentru a atrage ținte care vor deschide mesajul fără a gândi. Cu siguranță se vor folosi de vaccinarea împotriva covid-19, de tratamente împotriva acestui virus sau de campanii care par a fi de informare asupra pandemiei. Istoric vorbind, cel mai mare succes al email-urilor de tip phishing era înregistrat în perioada campaniilor de tip Black Friday.
Singura modalitate de a proteja organizația împotriva atacurilor de tip ransomware operate de om este de arespecta fără excepție recomandările anterioare. Totul pleacă de la o practică de securitate bine definită la nivel de organizație, care este apoi respectată și monitorizată periodic.
Prevenția este cea mai sigură cale de a păstra afacerea sigură
Adoptarea în avans a acestor practici de securitate cibernetică poate ajuta organizațiile să dobândească avantaje strategice, să se diferențieze de concurență și să treacă de la o stare de spirit reactivă la una proactivă de securitate cibernetică.
Având o strategie de securitate mai proactivă în 2021, organizațiile pot avea mai puține breșe de securitate, pot identifica mai rapid evenimentele cu risc și pot minimiza daunele provocate de atacuri mult mai eficient.
„Dacă până acum ați amânat investiția în securitatea cibernetică a organzației, având în vedere cât de sofisticate au devenit atacurile în domeniu și ce daune pot produce, este momentul să vă concentrați toată atenția asupra securizării informatice a sistemelor, este momentul să investiți și în soluții de securitate cibernetică.” încheie setul de recomandări Alina Maxim.