6 najważniejszych cyberzagrożeń i sposobów obrony przed nimi

Infrastruktura IT coraz częściej jest obiektem wyspecjalizowanych ataków mających na celu kradzież informacji, wyłudzenia finansowe czy uniemożliwienie sprawnego działania organizacji. W artykule opisujemy najlepsze praktyki obrony przed cyberzagrożeniami.

1. Ataki wymierzone w urządzenia sieciowe i infrastrukturę Internetu Rzeczy

W ostatnich miesiącach zwiększyła się skala masowego infekowania urządzeń podłączonych do Internetu – od urządzeń mobilnych, przez urządzenia takie, jak np. SmartTV, po urządzenia sieciowe i infrastrukturę IoT. Jako dość słabo zabezpieczone stanowią one łatwy łup cyberprzestępców. Dowodzą temu choćby analizy firmy Trend Micro . W kolejnych krokach zaatakowane urządzenia często służą do prowadzenia kolejnych ataków, w tym typu DDoS (Distributed Denial of Service).

SPOSOBY OCHRONY:

– regularna aktualizacja oprogramowania we wszystkich urządzeniach połączonych z internetem,
– ograniczenie dostępu z Internetu do urządzeń IoT,
– stosowanie zabezpieczeń infrastruktury dostępowej,
– bieżące monitorowanie infrastruktury.

Zalecane jest też wydzielanie segmentów sieci, w której działają potencjalnie zagrożone urządzenia i eliminacja zbędnej komunikacji z Internetem. Jeśli urządzenia – np. czujniki stanowiące element infrastruktury IoT – wymagają dostępu do sieci zewnętrznej, wówczas niezbędne jest przeprowadzenie testów zabezpieczeń konkretnych urządzeń i infrastruktury, której są częścią. Tego rodzaju testy świadczy m.in. T-Mobile.

2. Ransomware

Istotą tego zagrożenia jest zaszyfrowanie danych użytkownika przez złośliwe oprogramowanie (np. na jego komputerze PC), a następnie żądanie okupu za odszyfrowanie danych. Notowany jest szybki wzrost liczby i skali ataków. Zgodnie z raportem McAfee Labs „Threats Report: November 2014 ”, w III kwartale 2016 roku wykryto ponad 1,3 mln nowych próbek tego złośliwego oprogramowania. Z kolei z raportu „Cisco 2016 Midyear Cybersecurity Report Predicts” wynika, że na ataki ransomware narażona jest większość firm.

SPOSOBY OCHRONY:

– regularne tworzenie kopii zapasowych (także w zewnętrznych centrach danych) i zapewnienie szybkiego przywrócenia danych,
– zabezpieczanie komputerów pracowników,
– organizowanie szkoleń budujących świadomość zagrożeń i sposobów postępowania wśród pracowników.

W przeciwdziałaniu atakom ransomware przydatne okazują się narzędzia kontrolujące funkcjonowanie sieci i poszczególnych komputerów w oparciu o analizę behawioralną. Dzięki temu realne staje się wykrycie złośliwego kodu szyfrującego jeszcze zanim zablokowany zostanie dostęp do najbardziej newralgicznych danych. W roli dodatkowych zabezpieczeń sprawdza się oprogramowanie ochronne dla stacji roboczych i serwerów.

3. Ataki wykorzystujące luki w popularnych platformach internetowych, serwerach usług i protokołach sieciowych

Infrastruktura sieciowa i środowiska IT składają się z coraz większej ilości rozwiązań, standardów, platform, usług i protokołów sieciowych. Większa liczba wykorzystanych rozwiązań oznacza większą skalę błędów i podatności na atak. Cyberprzestępcy stawiają coraz większy nacisk na wyszukiwanie podatności istniejących we wszystkich – dostępnych z poziomu Internetu – elementach infrastruktury. Wzrost liczby prób przeszukiwania infrastruktury polskich firm pod kątem podatności potwierdzają analizy specjalistów ds. bezpieczeństwa T-Mobile. Wykryte luki mogą zostać wykorzystane do przeprowadzenia ataku. Przykładem są masowe działania wymierzone w serwisy internetowe oparte na platformie WordPress. W oparciu o lukę w jednej z najnowszych wersji cyberprzestępcy byli w stanie podmienić treść wielu stron internetowych, także komercyjnych.

SPOSOBY OCHRONY:

– polityka aktualizacji oprogramowania (także wbudowanego w urządzenia sieciowe),
– systematyczna modernizacja platform aplikacyjnych,
– dobre praktyki tworzenia kodu,
– wykorzystanie dodatkowych usług, oferowanych przez operatorów, np. WAF (Web Application Firewall).

Minimalizacji podatności sprzyja też separacja infrastruktury krytycznej od sieci internet oraz ograniczenie ilości rozwiązań dostępnych z jej poziomu. Warto również dokonać oceny poziomu bezpieczeństwa infrastruktury sieciowej. W tym obszarze pomocne są m.in. testy penetracyjne. Aby ograniczyć ryzyko związane z wykorzystaniem podatności w platformach internetowych warto użyć firewalla aplikacyjnego (WAF), który ukierunkowany jest na wykrywanie ataków i ochronę aplikacji w wyższych warstwach komunikacji.

4. Rozproszone ataki DDoS

Celem ataków DDoS jest doporowadzenie do sytuacji, w której konkretne usługi obecne w Internecie będą niedostępne, a sam atak – chociażby z tytułu rozproszenia – będzie trudny do zablokowania. Dokładnie to było skutkiem ataku z września 2016 roku wymierzonego w serwis KrebsOnSecurity.com. Wówczas został wygenerowany ruch na poziomie 620 Gb/s. Coraz liczniejsze są jednak przykłady ataków DDoS wymierzonych w krytyczną infrastrukturę Internetu, a nie w elementy sieciowe firm. Przykładem takiego działania jest, przeprowadzony w październiku 2016 roku atak na serwery DNS firmy Dyn. Analizy firmy Dyn wykazały, że atak ten miał siłę 1,2 Tb/s, zaś jego efektem było m.in. utrudnienie dostępu do popularnych serwisów internetowych jak Twitter czy Spotify na terenie USA.

SPOSOBY OCHRONY:

– monitorowanie sprawności infrastruktury,
– usługi ochrony przez atakami DDoS na poziomie ISP
– zapewnienie nadmiarowości infrastruktury (np. u partnera zewnętrznego czy za pośrednictwem modelucloud) wraz z możliwością łatwego przełączenia się,
– prewencyjne wykorzystanie rozwiązań odseparowujących ruch DDoS lub wdrożenie usług dostawcy internetu.

Najczęściej w walce z atakiem DDoS niezbędne okazuje się wsparcie ze strony dostawcy usług infrastrukturalnych, w tym dostawcy internetu. Dobrą praktyką jest wcześniejsze przeanalizowanie infrastruktury pod kątem wykrycia newralgicznych punktów i wąskich gardeł. Ważne jest także wdrożenie systemów monitoringu infrastruktury na potrzeby wczesnego wykrywania ataków DDoS oraz zapewnienie jak najwyższej skalowalności środowiska sieciowo-aplikacyjnego. Działaniem prewencyjnym może być też wykorzystanie specjalistycznych rozwiązań, które mogą odseparować ruch związanych z trwającym atakiem DDoS.

5. Phishing

Ataki phishingowe mają na celu podszyciu pod znaną markę lub osobę, aby uzyskać pożądany efekt (przejęcie komputera, kradzież tożsamości, wyłudzenie pieniędzy) Najczęściej wykorzystywane są do tego maile, ale widać wzrost w phishing za pośrednictwem portali społecznościowych i komunikatorów. Z analiz ekspertów ds. bezpieczeństwa T-Mobile wynika, że skala ataków phishingowych rośnie. Pojawia się coraz więcej zagrożeń wymierzonych w konkretnych użytkowników lub osoby pełniące określone role w organizacji np. nasilają się ataki skierowane przeciw kadrze zarządzającej wyższego szczebla. Ataki phishingowe nie ograniczają się już tylko do pojedynczych prób nawiązania interakcji z użytkownikami. Często przestępcy decydują się na prowadzenie długotrwałej wymiany korespondencji mailowej z ofiarami tak, aby uśpić ich czujność.

SPOSOBY OCHRONY:

– oprogramowanie antywirusowe i antyspamowe pozwalające weryfikować poprawność wiadomości,
– weryfikowanie nadawców komunikatów,
– monitorowanie infrastruktury,
– prowadzenie szkoleń i budowanie dobrych nawyków wśród użytkowników.

Warto też wprowadzić polityki postępowania w najbardziej newralgicznych obszarach – jak akceptacja wydatków, przekazywanie danych dostępowych, czy praca z załącznikami. W ograniczeniu skutków ewentualnego ataku phishingowego pomocne okazują się narzędzia utrudniające przestępcom zainstalowanie szkodliwego oprogramowania, uniemożliwiające także wykorzystanie skradzionych danych. W wykrywaniu bardziej złożonych ataków, których phishing jest tylko jednym z etapów, niezbędne okazują się rozwiązania do bieżącego monitorowania działania infrastruktury IT.

6. Precyzyjnie ukierunkowane ataki typu Advanced Persistent Threat (APT)

Ataki APT są oparte na połączeniu wielu wektorów i metod ataku, często rozłożonych w czasie i precyzyjnie ukierunkowanych na określoną organizację i cel. Z tego powodu bywają niewykryte przez wiele miesięcy. Ataki APT poprzedzone są analizą słabych punktów organizacji. Obok luk bezpieczeństwa, błędów w oprogramowaniu i rozproszonych ataków dużej skali zastosowanie znajdują narzędzia socjotechniczne mające na celu skłonić pracowników do podjęcia określonego działania.

SPOSOBY OCHRONY:

– monitorowanie i wykrywanie anomalii funkcjonowania środowisk IT w firmie – od warstwy sieciowej, po zachowania użytkowników,
– korelacja trendów,
– budowanie świadomości zagrożeń wśród użytkowników.

Wykrycie ataków APT powinno być wparte także specjalistycznymi narzędziami. Wśród nich warto wskazać m.in. rozwiązania behawioralne, które są w stanie wykrywać anomalnie w funkcjonowaniu sieci oraz działaniu użytkowników, a także systemy bezpieczeństwa wykorzystujące funkcje analityczne w celu korelacji wykrywanych zdarzeń i trendów pod kątem występowania zagrożeń. Dobrą praktyką jest też separacja obowiązków, tak, aby pracownicy mieli dostęp tylko do narzędzi potrzebnych im w pracy. Przydatne okazuje się też oddzielenie najbardziej newralgicznych obszarów sieci od infrastruktury Internetu. W przypadku złożonych, długotrwałych i rozproszonych ataków APT bezcenna nierzadko okazuje się też ludzka intuicja. Dlatego tak ważne jest posiadanie doświadczonego zespołu administratorów. W firmach, dla których pozyskanie tego typu kompetencji w ramach lokalnego zespołu IT jest niemożliwe, przydatne okazuje się wykorzystanie zewnętrznych usług świadczonych m.in. przez operatorów.