Pentru a evita posibile atacuri cibernetice, din ce in ce mai sofisticate, este bine de stiut la ce sa ne astepam, care ar putea fi tipurile de amenintari, pentru a putea lua cele mai bune decizii de securizare a retelelor informatice. Cu cat stim mai mult la ce sa fim atenti in mediul online, despre cum ar putea actiona infractorii informatici, cu atat vom fi mai securizati si putem fi feriti de probleme.
Pe tot parcursul anului trecut, pandemia COVID-19 a creat un nou loc de joaca pentru hackeri. Ca raspuns, multe institutii au consolidat infrastructura de securitate cibernetica si au lansat initiative rapide de transformare digitala. Dar cum arata peisajul securitatii cibernetice si evolutia amenintarilor in 2021?
Stim cu totii ca nu putem ghici viitorul (cine ar fi prevazut un an ca 2020 ? ), insa sunt domenii in care se pot face predictii si putem avea o viziune asupra a ceea ce ne asteapta in acest an nou. De aceea, incercam sa conturam mai jos cinci tendinte in securitate cibernetica.
1. Cresterea atacurilor de inginerie sociala
Ingineria sociala, in contextul securitatii cibernetice inseamna manipularea psihologica a oamenilor pentru a efectua unele actiuni sau a divulga informatii confidentiale. Aceasta strategie care se bazeaza pe interactiunea umana si implica adesea pacalirea oamenilor cu scopul de a obtine informatii confidentiale sau acces la date, va creste si in noul an. De fapt, Microsoft raporteaza ca atacurile de inginerie sociala au crescut de la 20,000 la 30,000 pe zi numai in SUA.
Tacticile comune vor deveni mai avansate si vor permite din ce in ce mai mult atacatorilor sa aiba acces la informatii confidentiale. Atacurile de inginerie sociala, cum ar fi phishing-ul, comunicatiile frauduloase, care sunt deghizate ca fiind legitime, atacuri cu tinta precisa care utilizeaza informatii personale pentru a castiga incredere, o serie de minciuni care pretind ca au nevoie de informatii sensibile de la o victima, vor deveni nu doar mai raspandite ci si mai periculoase.
2. Sunt create noi ocazii pentru atacuri cibernetice
La inceputul anului trecut statisticile aratau ca un procent de 30% din populatie folosea un sistem de telemunca (total sau partial) iar doua saptamani mai tarziu acest procent ajunsese la 95%. Evolutia recenta a pandemiei ne arata ca si anul acesta, procentul oamenilor care vor lucra de acasa va fi similar. De asemenea, invatamantul online va creea un nou mediu de dezvoltare pentru atacatori. Platforme specifice acestui tip de educatie, personalul didactic si elevii vor fi tinta unor atacuri noi.
„In cazul unor astfel de tipuri de atac, pasul cel mai important este cel de preventie. Avand la baza interactiunea umana, este obligatoriu ca fiecare persoana sa aiba ceea ce se numeste healthy security behaviour. Pentru aceasta, angajatorii ar trebui sa investeasca mai mult in servicii si produse de educare a angajatilor. Gradul de constientizare a angajatilor asupra riscurilor de securitate cibernenetica, in cadrul propriei organizatii, poate fi testat prin simularea unui atac de phishing, urmat de un training pentru toti angajatii.”, ne spune Alina Maxim, Team Leader Security, Asseco SEE (ASEE) Romania.
De asemenea, tot pentru preventie este importanta configurarea corecta a unor solutii de tip Email Security - care vor bloca mare parte din mail-urile de tip phishing - si a unor solutii de Web Security - un web proxy care restrictioneaza accesul utilizatorilor la diferite pagini web care ar putea avea continut malitios. Exista solutii de Web Security pe care organizatiile le pot folosi pentru a impune o politica de securitate corecta chiar si angajatilor care lucreaza de acasa.
In functie de nevoile fiecarei organizatii, ASEE vine cu experienta echipei de Security si cu solutii tehnice multi-vendor, care se pot integra usor in setup-ul curent, dar care aduc un plus semnificativ de protectie.
3. Expunerea vulnerabilitatilor cunoscute si necunoscute
Orice infrastructura cu acces la internet este expusa unor vulnerabilitati. Prin urmare, cei care lucreaza la distanta utilizeaza un VPN, un protocol de tip RDP sau un alt instrument de acces. Ca urmare, ei sunt expusi riscului si pe masura ce organizatiile continua sa-si extinda prezenta pe internet, acest risc va fi din ce in ce mai mare.
„Este de asteptat ca in 2021, infractorii cibernetici sa utilizeze din ce in ce mai mult tactici care se vor concentra pe compromiterea infrastructurii, exploatand vulnerabilitatile pe servere fara patch-uri, conexiuni RDP sau servere FTP expuse in Internet fara protectie. Organizatiile cu sisteme de securitate cibernetica ineficiente sau cu o arhitectura incompleta sunt in pericol. Au disparut zilele in care solutiile end point si cele de aparare a perimetrului fac toata treaba.” mai declara Alina Maxim.
Cele mai multe amenintari se gasesc in domeniul financiar bancar, acolo unde exista banii vizati de atacatori. Desi exista multe norme in vigoare in domeniul financiar (Norma 4 ASF, Directiva NIS, reglementarile BNR) inca sunt destule organizatii care nu urmeaza o metodologie de management al scanarii vulnerabilitatilor si de actualizare a sistemelor intr-un ritm continuu.
Pentru a combate atat vulnerabilitatile cunoscute cat si pe cele necunoscute, trebuie luate in considerare cele mai bune practici de la CyberSecurity & infrastructura Security Agency (CISA), cum ar fi:
- Programati o scanare recurenta de vulnerabilitati si definiti o politica de aplicare a patch-urilor;
- Implementati controale stricte ale parolelor;
- Utilizati autentificarea cu mai multi factori;
- Activati Network Level Authentication (NLA) si dezactivati Server Message Block v1 (SMBv1);
- Aplicati Hardening - acel proces prin care fiecare sistem sau aplicatie din organizatie respeca o metodologie stricta de permisiuni. Concret, este recomandat sa nu activati alte servicii decat cele strict necesare pentru functionarea sistemului (sau aplicatiei) si nici acces catre alte resurse, daca nu este nevoie. Astfel, sunt eliminati cat mai multi vectori posibili de atac.
Exista solutii tehnice dedicate de scanare, testare si actualizare a sistemelor, pe care noi le punem la dispozitie clientilor. Lucram cu cei mai importanti producatori in acest domeniu.
3. Exploatarea instrumentelor care administreaza sistemul informatic
Instrumentele legitime folosite de administratorii IT au devenit tinte valoroase, din cauza privilegiului pe care il ofera, avand un acces mai mare la retea. In timp ce amenintarile de tip malware continua sa evolueze si sa prolifereze, instrumentele sysadmin le-au deschis atacatorilor cibernetici porti mai largi pentru a implementa tactici de atac blindside.
Potrivit unui studiu realizat de Positive Technologies, peste 50% dintre grupurile de tip APT, utilizeaza instrumente de testare a penetrarii si instrumente de administrare a sistemului, pentru a dezvolta strategii de atac.
O recenta descoperire a unui atac de acest tip a implicat agentii guvernamentale din SUA dar si companii din sectorul privat, care foloseau o platforma renumita de monitorizare si administrare - Solarwinds Orion. Se pare ca atacul a inceput in luna martie 2020 si a fost descoperit abia la finalul anului trecut. (https://us-cert.cisa.gov/ncas/alerts/aa20-352a)
Pe masura ce sistemele IT devin din ce in ce mai interconectate in 2021, exploatarea administrarii sistemului si a instrumentelor de penetrare, cum ar fi Cobalt Strike, PowerShell Empire si BloodHound, va creste, de asemenea. Atacatorii vor folosi progresiv aceste instrumente, deja instalate pe calculatoarele tinta, pentru a rula software-ul daunator direct in memoria calculatorului - reducand astfel sansele de a fi detectati.
Desi gestionarea infrastructurii IT fara aceste instrumente este practic imposibila, organizatiile pot preveni infectarea dispozitivelor daca isi instruiesc angajatilor si aplica solutii de securitate care se bazeaza pe inteligenta artificiala si invatare automata, actualizeaza programul de antivirus si mai ales daca restrictioneaza privilegiile personalului. Exista solutii tehnice renumite, care pot alerta si restrictiona automat accesul unui sysadmin, daca privilegiile lui sunt modificate.
4. Lipsa monitorizarii sistemelor critice devine punct vulnerabil
Lipsa instrumentelor de monitorizare a sistemelor critice se poate datora mai multor factori, cum ar fi: lipsa inginerilor instruiti in domeniul securitatii, automatizarea necorespunzatoare a alertelor sau chiar configurarea precara a sistemului de logare si alertare. Cu toate acestea, cauza principala este, in general, un decalaj in ceea ce priveste competentele in materie de securitate cibernetica.
Conform unui studiu adresat specialistilor in securitatea cibernetica realizat de Asociatia pentru securitatea sistemelor informatice (ISSA) si de grupul independent de analiza a intreprinderilor din industrie, Grupul de strategie pentru intreprinderi (ESG), 70% considera ca organizatia lor a fost afectata de deficitul global de competente in materie de securitate cibernetica.
In plus, 45 % dintre respondenti considera ca deficitul de competente in materie de securitate cibernetica si impactul acestuia s-au inrautatit in ultimii ani. Acest decalaj poate cauza incidente de securitate in crestere, ceea ce duce la pierderea productivitatii, la incalcarea securitatii informatiilor sensibile si la cresterea resurselor necesare pentru remediere.
Pentru a elimina decalajul si a progresa in directia cea buna in 2021, liderii, directorii executivi ai compnaiilor, profesionistii din domeniul securitatii cibernetice, personalul de resurse umane si trainerii trebuie sa investeasca mai mult in educatie, formare si burse. Astfel vom avea noi generatii de ingineri pregatiti pentru a aborda amenintarile cibernetice de maine.
5. Ransomware-ul operat de om va fi tot mai intalnit
Atacurile Ransomware operate de om sunt atacuri controlate de infractori calificati si adaptabili, care sunt motivati de castiguri financiare si care petrec saptamani, luni sau chiar ani identificand si penetrand sistemele de protectie ale organizatiei, pentru a maximiza impactul atacului pe care si l-au propus.
Aceste mari atacuri de tip ransomware au devenit mai puternice de-a lungul anilor si vor continua sa creasca si sa provoace mai multe daune in 2021 si mai departe. De fapt,unul din trei atacuri este ransomware Enterprise si 4% din atacurile cibernetice se intampla prin ransomware. Avand in spate o motivatie financiara puternica, se vor indrepta spre tinte profitabile, ca urmare victimele vor fi organizatii mari, care pot plati milioane de dolari/euro/etc.
De cele mai multe ori, un ransomware ajunge pe un sistem prin unul din cele trei moduri: e-mail phishing, social media phishing si exploit kit-uri (programe automate). Pentru a convinge utilizatorii sa faca click pe un link sau un fisier, infractorii investesc timp pentru a gasi tehnici si proceduri care vor fi eficiente pentru victima respectiva. Pentru aceasta ei vor face ca inclusiv adresele de e-mail sa para autentice, siglele, tonul mesajului pot fi recunoscute, iar gramatica poate fi destul de corecta.
Si in 2021, hackerii vor gasi noi modalitati de a crea mesaje aparent autentice pentru a atrage tinte care vor deschide mesajul fara a gandi. Cu siguranta se vor folosi de vaccinarea impotriva covid-19, de tratamente impotriva acestui virus sau de campanii care par a fi de informare asupra pandemiei. Istoric vorbind, cel mai mare succes al email-urilor de tip phishing era inregistrat in perioada campaniilor de tip Black Friday.
Singura modalitate de a proteja organizatia impotriva atacurilor de tip ransomware operate de om este de arespecta fara exceptie recomandarile anterioare. Totul pleaca de la o practica de securitate bine definita la nivel de organizatie, care este apoi respectata si monitorizata periodic.
Preventia este cea mai sigura cale de a pastra afacerea sigura
Adoptarea in avans a acestor practici de securitate cibernetica poate ajuta organizatiile sa dobandeasca avantaje strategice, sa se diferentieze de concurenta si sa treaca de la o stare de spirit reactiva la una proactiva de securitate cibernetica.
Avand o strategie de securitate mai proactiva in 2021, organizatiile pot avea mai putine brese de securitate, pot identifica mai rapid evenimentele cu risc si pot minimiza daunele provocate de atacuri mult mai eficient.
„Daca pana acum ati amanat investitia in securitatea cibernetica a organzatiei, avand in vedere cat de sofisticate au devenit atacurile in domeniu si ce daune pot produce, este momentul sa va concentrati toata atentia asupra securizarii informatice a sistemelor, este momentul sa investiti si in solutii de securitate cibernetica.” incheie setul de recomandari Alina Maxim.
***Articol realizat de specialistii de la Asseco SEE (ASEE) Romania, una dintre cele mai mari companii integratoare si furnizoare de sisteme, solutii si servicii IT din tara.