Kako se zaščititi pred kibernetskimi napadi v treh točkah?

Živimo v času, ko se tudi vojne med državami selijo v digitalno sfero. V okoljukjer število kibernetskih napadov nenehno raste, se organizacije ne morejo več zanašati na tradicionalni pristop k zaščiti programske opreme proti malware 

Danes je jasno, da nameščena protivirusna programska oprema ne zagotavlja varnosti. Za začetek je vprašanje, ali so vsi računalniki in naprave (endpoints) ustrezno zaščiteni z najnovejšo različico anti-malware. Stalno spremljanje pokritosti končne točke pa je izziv za IT osebje. Tudi če je nameščena programska oprema za zaščito pred zlonamerno programsko opremo, je odkrivanje in preprečevanje prefinjenih napadov dodaten izziv. IT skrbniki praviloma ne bodo dobili takojšnjega vpogleda v dogajanje ali zgodovinskega pregleda dogajanja med kršitvijo varnosti. Posledično se tudi ne bodo znali najbolje odzvati. 

Glede na stopnjevanje kibernetskih groženj ima le malo organizacij dovolj posameznikov, ki so sposobni opraviti analizo in preverjanje množice incidentov in sumljivih dogodkov. 

Na primer, samo odkrivanje zlonamerne programske opreme v datoteki ne zagotavlja dovolj kontekstualnih informacij o tem, kako je prišlo do grožnje ali celo kršitve. Ali je zazna posledica dejanja uporabnika, ki je odprl prilogo k e-pošti? Morda je drug uporabnik prej prenesel isto datoteko, vendar je bila nato posodobljena anti-malware, tako da ni bilo zaznavanja? Kdo so drugi prizadeti uporabniki? Ali pa nič od tega ni povezano z odpiranjem e-poštne priloge, ampak je odkrivanje posledica »brskanja« po zakonitem novičarskem portalu, ki ogroža in dostavlja zlonamerno programsko opremo prek nepokrpanega brskalnika Chrome? Ali pa zaznavanje sploh ni posledica »klikanja« uporabnika, ampak ima zlonamerni napadalec oddaljen dostop do našega omrežja zaradi dostave zlonamerne datoteke na disk računalnika prek LAN omrežja oddaljene pisarne (eng. lateral movement)?  

Ti in številni drugi scenariji so možni pri vsakem odkrivanju zlonamerne programske opreme. Zato se je pomembno zanašati na avtomatizirano analizo, ki administratorjem in IT analitikom omogoča hiter vpogled v to, kaj se dogaja in ali se je dogajalo z grožnjo. Kontekst zaznavanja je ključnega pomena, saj omogoča vpogled v dejansko stopnjo tveganja, tradicionalna anti-malware in druga analitična varnostna orodja pa nam ne bodo kaj dosti pomagala. 

Tri stopnje zaščite 

Je samo anti-malware dovolj? Kaj morajo organizacije dejansko narediti, da bi izboljšale svojo zaščito? Da bi kar najbolje izkoristile varnostne rešitve, se morajo organizacije osredotočiti na glavne vire tveganja, in sicer na tri ravni zaščite. 

1. Zaščitite uporabnike pred zlonamerno vsebino z XDR: od računalnika do e-pošte 

Content zaščita predpostavlja pravočasno odkrivanje zlonamerne vsebine, samodejno korelacijo dogodkov in kontekstualizacijo zaznavanja – od končnih računalnikov do e-poštnega prometa. Namesto posameznih zaznav govorimo o novi proaktivni tehnologiji – XDR (Extended Detection and Response) – ki zagotavlja učinkovit odziv na sodobne grožnje. XDR prinaša avtomatizacijo in tako olajša analizo podatkov. Ko obstaja sum grožnje, lahko uporabnik zelo enostavno dostopa do shranjenjega zaporedja dogodkov in ugotovi, kaj je pripeljalo do alarma. Hkrati je odpravljena potreba po iskanju dnevniških zapisov iz različnih virov, prihranjen je čas in dosežen pravi vpogled v tveganja, ki izhajajo iz posameznega zaznavanja (ali kombinacije zaznav) zlonamerne vsebine. 

Čeprav so bile do nedavnega rešitve XDR rezervirane le za organizacije z “globljimi žepi”, je danes XDR enako na voljo malim in srednje velikim podjetjem. Namesto da bi se zanašala na klasični protivirusni program, bodo podjetja združila več izdelkov v eno orodje z XDR in znatno zmanjšala tveganja. Ta rešitev je enostavna za upravljanje in samodejno odpravlja čas, potreben za analizo. Trend Micro Vision One XDR močno olajša analizo groženj v e-poštnem prometu, na mreži, v cloud  infrastrukturi in seveda na sami končni točki. 

Kibernetski napadi. Trend Micro

2. Upravljanje identitete 

Z naraščajočim številom javno dostopnih točk v organizaciji (VPN, SSL VPN, RDP…), pa tudi z naraščajočim številom as-a-service web aplikacij, se pojavljajo tudi vse več možnosti za napadalce, da vdrejo v organizacijo. Kraja identitete je torej ena od glavnih smeri napadov za pridobitev nepooblaščenega dostopa do IT sistema. Potreba po oddaljenem dostopu med pandemijo je povečala območje napada številnih organizacij. Hkrati je delo napadalca olajšano, če se gesla uporabljajo brez dodatnih preverjanj ali dejavnikov (npr. certifikat, one time password, itd.). Situacijo napadalcem olajša tudi nepravilno upravljane identitete za dostop do vseh poslovnih aplikacij.  

Rešitve za upravljanje identitete zagotavljajo večfaktorsko preverjanje pristnosti in single sign-on (SSO). Od uporabnikov zahtevajo, da se čim manj zanašajo na gesla. Prijave bi morale biti dostopne od koder koli, kar se je še posebej pokazalo v času pandemije. Njihova uporaba mora biti varna za organizacijo. Prav tako morajo skrbniki videti, kdo je dostopal do katere aplikacije in kdaj. Rešitve za večfaktorsko preverjanje pristnosti zmanjšujejo vlogo gesel in s tem nepooblaščenega dostopa do računov. 

Identifikacija in avtentikacija uporabnikov sta v času digitalne preobrazbe izjemno pomembna. Rešitve Zero Trust Network (ZTNA) so zato vedno bolj iskane. Zaposlenim zagotavljajo varen oddaljeni dostop do katere koli aplikacije. Uporabnik dobi dostop do pravih virov ob pravem času in potreba po lokalnem VPN je odpravljena. 

3. Izobraževanje zaposlenih o kibernetskih grožnjah 

Zadnja stopnja obrambe organizacije pred napadi je zaposleni. Namreč, v mnogih primerih je vse odvisno od tega, ali bo zaposleni kliknil na povezavo v elektronskem sporočilu ali ne. Izobraževanje o napadih, zlasti tistih, ki se dostavljajo po e-pošti, je ključnega pomena za krepitev odpornosti organizacije na kršitve. 

Velike organizacije tovrstne probleme tradicionalno rešujejo s sistematičnim izobraževanjem zaposlenih o varnostnih grožnjah. Vendar pa tradicionalne pobude SAT (Security Awareness Training) posledično vključujejo veliko denarja in časa, to pa so omejena sredstva. In napadalci to vedo in izkoriščajo. 

Takšne težave je mogoče zaobiti s programsko podprtimi rešitvami SAT. Omogočajo avtomatsko in kontinuirano izobraževanje zaposlenih (in integracijo saonboarding zaposlenih). Poudarek je na trenutnih grožnjah. Zaposlenih ne prekinjajo dolgotrajna izobraževanja, temveč krajši učni trenutki, pogosto kot odgovor na odpiranje tveganih povezav. Poleg povezav, ki jih zagotavljajo simulirani napadi, usposabljanje SAT vključuje tudi občasne teste in kratke tečaje, razvrščene po temah. Ker zaposleni lažje prepoznajo kibernetske grožnje, organizacije ustvarjajo večjo odpornost. Tradicionalne oblike zahtevajo veliko priprav in časa, tu pa govorimo o zelo hitri izvedbi in neprekinjenemu procesu. 

“Pandemična” digitalna preobrazba je spremenila pokrajino groženj 

Digitalna preobrazba je omogočila nadaljevanje poslovanja med pandemijo. Hkrati se je spremenila pokrajina groženj. Ko so podjetja sprejela ukrepe za preoblikovanje svojih podjetij, so kibernetski kriminalci nestrpno pričakovali svojo priložnost in izkoriščali nove priložnosti za napad na organizacije. 

Trend Micro, proizvajalec rešitev proti zlonamerni programski opremi, nam v letnem poročilu o najpomembnejših vrstah varnostnih groženj v letu 2021 poda smernice za vedenje in obrambo pred kibernetskimi napadi v prihodnjih obdobjih. 

Leta 2021 je bil opažen naraščajoč trend hekerskih skupin za izvajanje sodobnih napadov z odkupno programsko opremo. To je v nasprotju z metodo spray-and-pray pri prej priljubljenih vrstah napadov ransomware. Preden izvedejo napad, si takšne skupine vzamejo dovolj časa, da raziščejo situacijo in preučijo organizacijo. 

Zdravstveni sektor, ki se v prejšnjih obdobjih ni pojavljal na seznamu tarč tovrstnih napadalcev, je danes enako prizadet kot institucije državne uprave in banke. Spremlja jih seznam številnih drugih sektorjev in panog. V prevodu nikomur ni prizaneseno. 

Kibernetski napadi. Trend Micro

Poleg pošte se kibernetski napadalci osredotočajo na cloud 

Neprekinjenost poslovanja je bila med pandemijo močno olajšana s selitvijo v cloud, SaaS in IaaS servise. Zlonamerni akterji so po drugi strani pripravljeni izkoristiti kompleksnost infrastrukture v oblaku. 

E-pošta je bila in ostaja najbolj priljubljeno orodje za sodelovanje in ključna aplikacija vsake organizacije. Zato ni presenetljivo, da je še vedno najbolj uporabljena pot za napade. Lažno predstavljanje so zelo učinkovito sredstvo za širjenje zlonamerne programske opreme. Število blokiranih phishing  napadov s strani Trend Micro Cloud App Security se je v letu 2021 podvojilo v primerjavi s prejšnjim letom. Dve tretjini takšnih e-poštnih sporočil sta razvrščeni kot spam, preostala tretjina pa kot kraja identitete (redential-phishing). S pomočjo naprednih orodij, kot je analiza avtorstva, je Cloud App Security leta 2021 zaznal in blokiral tudi veliko število napadov BEC (Business Email Compromise). 

Pomembno je omeniti, da napadalci enako izkoriščajo stare in na novo odkrite ranljivosti. Kljub razpoložljivosti popravkov so napadalci še naprej izkoriščali številne stare ranljivosti. Glede na raziskavo Trend Micro so bile ranljivosti, starejše od treh let, uporabljene za izvedbo tretjine napadov leta 2021.