Blog

Kolika je zaista površina cyber napada ?

Opet jedan opšti tekst iz naše kuhinje. Neko se verovatno pita koji je zadnji motiv ovakvih objava? Pa, samo podizanje svesti. Ništa više. Sasvim je svejedno koje ćete rešenje upotrebiti da predupredite neželjene događaje u svom IT sistemu, ono što se računa na kraju je koliko ste dobro osigurani i kakav je krajnji rezultat. Dakle, osim što ćete možda saznati neke nove detalje napada kojih niste bili svesni i prakse kako to mitigirati, sve ostale odluke su na vama. Za svaki slučaj da napomenemo, mi vam možemo pomoći u odabiru optimalnog rešenja.

Evolucija poslovanja i tehnologije na kojoj sada poslovanje leži uslovilo je i onu drugu stranu da evoluira. Opšta dostupnost interneta, sve više korisnika on-line, iz hakerskog ugla gledano = sve više meta. Bez obzira da li ste malo, srednje ili veliko preduzeće uvek postoji neki vektor napada koji je nosilac pretnje baš za vas.

Napad može biti nasumičan ili targetiran. Nasumični napadi se najčešće dešavaju u masovnim kampanjama gde nije targetirana jedna meta, već se malware plasira ka velikom uzorku meta svih dimenzija, a rezultat je po principu “ ko se upeca – upeca“. Ovakav tip napada primenjuju najčešće distributeri ransomware-a, botnet C&C-a itd gde je suština u masovnosti, ne u pojedinačnom cilju.
Targetirani napadi su dosta kompleksniji a samim tim zahtevaju i posvećenost napadača. Srećom po našu regiju, ovakvi napadi nisu česti, ne zbog toga što imamo naprednu Cyber Security svest i politiku, već manje-više smo nezanimljivi. Kod nas nema nekih ekstremno jakih finansijskih institucija, vodećih tehnoloških kompanija, geopolitičkih podataka od svetske vrednosti. Jedini tipovi targetiranih napada su zabeleženi u formi DDoS napada od strane nelojalne konkurencije. Sve ostale afere su bile obično „inside-job“, iliti prodaja informacija od strane zaposlenog koji je imao pristup informacijama.

Postoji i još jedna kategorija koje je negde između, a to su kategorizovane mete, npr kada se napadi usmeravaju ka određenoj državi, oblasti poslovanja, određenom harwdare-u.

Kod nas, prema tipu napada najčešći su Phishing&Scam napadi (ransomware era polako počinje da jenjava). Meta se „navlači“ da kompromituje kredencijale, instalira malware, prebaci sredstva na račun dovodeći se u zabludu da komunicira sa nekom legitimnom organizacijom.

Prikupljanje informacija

U obe varijante (tagetirani i netargetirani napadi) početna faza je prikupljanje informacija, koje ima 2 koraka:

  1. Pasivno prikupljanje, gde napadač nema interakciju sa metom/metama. Vrši se istraživanje javno dostupnih informacija sa društvenih mreža, oglasa za zapošljavanje, objava, regulatornih tela, medijskih članaka itd… Takođe, koriste se dobro poznati „legalni“ servisi poput shodan, zoomeye, censys… Hakerski forumi, repository-jumi su takođe dobar izbor, jer ako ste imali nekada u prošlosti problem, sigurno negde postoji informacija koji su alati korišćeni i kakva je šteta napravljena.
  2. Aktivno prikupljanje podataka podrazumeva sledeću fazu, gde napadač ima neku vrstu interakcije sa IT sistemom mete. Skeniranje, fingerprinting itd su metode kojima se dolazi do informacija o ranjivosti sistema, ali bez upotrebe otkrivenih propusta. Ova faza se odvija i upravo sada dok čitate ovo. Ne direktno od strane hakera, već od strane automatizovanih skenera koji po ceo dan skeniraju ceo internet, IP po IP, neumorno.  Primera radi, na ADSL linku sa dinamičkom IP adresom, za 20 dana uspeo sam da ulovim preko 500 IP adresa koje su skenirale najčešće portove. 

Ovo je osnova, jer kako izreka kaže: „Daj mi 7 dana da posečem drvo, 6 dana ću oštriti sekiru“, tako i hakeri razmišljaju. Što se više informacija prikupi, lakše je preći u sledeći korak.

Da li je moguće sprečiti curenje ovakvih informacija? U potpunosti nije moguće, ali se može ograničiti. Da bi ste znali šta drugi znaju o vama, krenite u istraživanje na način na koji bi se i haker pripremao. Kada vidite rezultate, imaćete predstavu o tome šta treba skloniti/izmeniti. Ukoliko bi ste u potpunosti uklonili sve tragove svog online prisustva, postavlja se pitanje da li bi to donelo više štete nego koristi.
Striktne negativne security polise su dobra polazna tačka.

Pitanje koje se ovde postavlja je „zašto bih ja nekom bio meta?“ ili “ zašto bi neko uložio mnogo vremena kada od naše firme nema milionski benefit?“. Pa ako uzmemo u obzir širu sliku, možda krajnja meta i niste vi, već neko drugi. Neko sa kim sarađujete. Neko do koga je mnogo lakše doći preko posrednika. Da, moguće je da budete samo usputna stanica, iliti proxy. Uvek je meta najslabija karika u sistemu. Da li ste to možda vi?

Naoružavanje

Druga faza je naoružavanje. Neposredno nakon profilisanja mete, haker sada već ima neku sliku o vama. Koju opremu koristite, koje tehnologije. Koji delovi sistema su javno dostupni. Ko su registrovane odgovorne osobe. Gde vam se nalazi mail server. Prepoznaje najslabiju kariku sistema. Nebitno je da li će kupiti ili ispisati exploit. Bitno je ono što će se desiti. Testiranje exploita i kreiranje evasion tehnika su jedan od jako bitnih koraka pre plasiranja. Haker će pokušati da reprodukuje sistem mete deo po deo. Ako zna koje firewall-e koristite, koji AntiVirus, testiraće svoj exploit upravo nad ovim komponentama. Takođe, pokušaće da napravi model kako da exploit ostane što duže neotkriven, prilagođavajući ponašanje sistemu koji napada.

Održavanje svih komponenti sistema up-to-date je ključna preporuka, jer ako instalirate neki hotfix odmah nakon puštanja od strane proizvođača, haker je prinuđen da traži drugo rešenje, što vam daje prednost u ovoj uslovno rečeno trci sa vremenom.

Isporuka napada

Treća faza je isporuka/plasiranje. Od ove faze zavisi i uspešnost celog napada. Ovo je faza gde dolazimo do suštinske slabosti svakog IT sistema. A to je čovek. Prema nekim analizama (doduše iz 2018), preko 90% incidenata se desilo zbog ljudske greške. Bilo da je greška u konfiguraciji, neodgovornom ponašanju ili needukovanosti zaposlenih, neosporno je da je ipak čovek uključen u svaki incident. Posebno zanimljiv podatak je da je preko 50% zaposlenih sakrilo informaciju o incidentu. U našoj regiji se najčešće podaci o incidentima se oglašavaju samo ako je državni sektor u pitanju. Elem, da se vratimo na temu. Ukoliko ne postoji mogućnost eksploatacije sistema, pristupa se pokušaju iskorišćavanja ljudske greške. SpearPhishing i Social engineering su putevi kojim se hakeri kreću u ovoj fazi, a osim mailova, površina napada obuhvata i telefoniju i fizički kontakt. Ovu fazu mogu da olakšaju izgubljeni uređaji, privatni uređaji sa pristupom korporativnim resursima, prosto rečeno bilo koji uređaj van kontrole kom se veruje.

Vodič u akronime:
NGFW – Next Generation Firewall
NGAV – Next Generation AntiVirus
DLP – Data Loss Prevention
IPS/IDS – Intrusion Prevention/Detection System
MDM – Mobile Device Management
IAM – Identity and Access Management
PAM – Privileged Access Management
SIEM – Security Information and Event Management
OSINT – Open Source Intelligence

NGFW, WAF, IPS/IDS na perimetru i  AV, EDR, Sandboxing, MDM, IAM, PAM na core-u su rešenja koja mogu otežati hakerima ovaj korak. Dobra analitika i korelacija nad svim ovim (SIEM, OSINT, AI self defence) dodaju poseban nivo logike gde se oslanjate na vidljivost i informacije sakupljene iz celog sistema, minimizujući propuste na nivou pojedinačnog uređaja/rešenja i ljudskog faktora.

Instalacija udaljene kontrole kroz maliciozni softver

Sledeća  faza je eksploatacija i instalacija. Koriste se otkrivene slabosti sistema, i plasirani malware radi svoj skup zadataka, gde haker preuzima kontrolu nad kompromitovanim host-om, otvara komunikacioni kanal za sopstveni pristup i koristi ovaj host kao ulaznu tačku u sistem. Ovaj korak i dalje ne znači da je zadatak uspešan, jer ovaj host može biti primera radi jako nebitan po pravima pristupa, ali sa druge strane ipak imate uljeza u svom sistemu, koji je prisutan, i koji još uvek spava.

Komponente koje mogu da prepoznaju ovakve događaje su mahom EDR označeni proizvodi. Zašto ne spominjemo NGAV (Next-gen AntiVirus) biće pojašnjeno u sledećem koraku.

Lateral movement

Faza kojom haker sada kreće u istraživanje IT sistema mete, ali sa unutrašnje strane. Pokušava da se kreće horizontalno kroz sistem, skačući sa hosta na hosta. Razlika između Next Generation AntiVirus (NGAV) i EDR ovde igra krucijalnu ulogu. Dok NGAV štiti samo hosta na kom je instaliran, EDR razmenjuje informacije prikupljene sa svih štićenih hostova i svestan je šire slike. Interakcije hostova A i B koje su usledile posle sumnjive promene na hostu A, a zatim se dešavaju i na hostu B, su upravo onaj deal breaker kada je NGAV u pitanju. U ovoj fazi posebnu preporuku dajemo HoneyPot/Deceptor rešenjima iz prostog razloga što ćete na ovakovom rešenju čim se desi pristup nekom od fajlova trenutno znati da se unutar sistema dešava nešto što ne bi trebalo.

Izvlačenje informacija/akcija nad ciljevima

Ova faza znači da je uljez pronašao informacije od značaja i sada želi da ih izvuče napolje. Druga opcija je da želi da onesposobi sistem. U ovoj fazi DLP rešenja u kombinaciji sa PAM i IAM rešenjem mogu dati dosta dobru sliku da se dešava nešto neželjeno, pod uslovom da je haker motivisan izvlačenjem informacija napolje. Ako želi da onesposobi sistem, EDR, IAM i PAM su vam saveznici.

Činjenica je da smo naveli veliki broj rešenja koja pokrivaju delove bezbednosti sistema, i da za većinu korisnika ovo je dosta velika investicija, te da kompletna security arhitekura nikada neće biti ovako komplesna.

Na kraju – checklista

Minimalno potrebna rešenja:

  • osigurajte mrežne tokove sa inspekcijom prometa sve do aplikativnog nivoa – u pravilu, tražite firewall rješenje koje ima zaštitu od dinamičkih prijetnji, exploita, itd. a najčešće spada u kategoriju Next-gen Firewall (NGFW) sa IPS/IDS funkcionalnošću;
  • E-mail je i dalje ključni komunikacijski tok u svakoj organizaciji pa ga napadači koriste najčešće kao platformu za lansiranje phishing i drugih napada. Nastavno na zaštitu mreže, uverite se da imate adekvatnu inspekciju e-mail prometa (SMTP) kako bi sprečili prodor malicioznih poruka do inboxova korisnika.
  • Osigurajte krajnje točke tj. laptope, smartphone-ove i druge uređaje sa antimalware rešenjem koje ima napredne mogućnosti detekcije (Nex-gen AntiVirus – NGAV), uz barem minimalne funkcije Endpoint Detection and Response (EDR);
  • Backup softver – redoviti backup je preporuka koja ne zastareva.

Obzirom da verovatno imate javno dostupne pristupne tačke kao VPN, mail web access, intranet web portal access, itd.:

  • MFA – Multifactor Authentication

Password je u doba javno dostupnih servisa postao izuzetno nesiguran vid autentifikacije korisnika. Kompromitovani kredencijali su putem SpearPhishing i Social Engineering napada zapravo najčešći oblik inicijalnog ulaska napadača u vaš sistem. Multifactor autentifikacijom koja nije naporna za korisnika, praktično se eliminiše veliki deo ove površine napada.

Ukoliko nemate nešto od navedenog (ili možda ništa) krajnje ozbiljna preporuka je da u najkraćem roku krenete u  razmatranje rešenja koje će vam pokriti stavku po stavku. Ukoliko dosta polažete u on-line pristustvo ili poslovanje, morate biti svesni koliko vam prekid rada donosi gubitaka. Upravo je to početna tačka u planiranju budžeta. Razmislite koliko bi ste izgubili da vam je kompletan set aktivnosti onemogućen npr 3 dana (nema mailova, faktura, banking-a,…).

Ukoliko imate javno dostupne web servise:

  • WAF – Web Application Firewall

Ukoliko imate javno dostupne servise koji su od krucijalnog značaja za poslovanje – online shop, B2B portal, itd razmislite koliko bi vam vremena trebalo za oporavak ovih servisa i koliki bi bili gubici. Takođe, razmislite i o svojoj reputaciji i eventualno podacima koji bi mogli biti otuđeni (lični podaci zaposlenih, klijenata, komitenata).

Dugoročna preporuka:

  • krajnje točke (endpoints) postaju ključna točka obrane sistema. Naime, korisnici su sve manje vezani za neki on-prem perimeter i njihovi uređaji ponasaju se sve vise kao roaming IoT device-ovi sa pristupom organizacijskom sistemu. Stoga postaje jako bitno imati neki oblik vidljivosti, managementa i lifecycle-a takvih uredjaja. Rešenja koja nude takve funkcionalnosti spadaju u klasu Mobile Device Management (MDM), Endpoint Mobility Management (EMM) ili Unified Endpoint Management (UEM).
  • upravljanje identitetima – IAM
  • upravljanje i vidljivost aktivnosti privilegiranih korisnika u sistemu (administratora) važan je element zaštite. Ovdje tražite Privileged Access Management (PAM)
  • HoneyPot

Zainteresirani za više detalja? Trebate savet ili preporuku u vezi zaštite sistema? Kontaktirajte nas!

Pratite nas Facebooku ili Linkedinu za novosti, webinare, treninge, itd.

I za sam kraj, želimo vam pouzdan i siguran IT sistem.

Treba Vam ponuda ili pomoć pri izradi rešenja? Tražite partnera za implementaciju?

Kontaktirajte nas!