Zakorakali smo v novo leto — k novim priložnostim in ciljem. Kaj so trendi in novosti, ki jih strokovnjaki za kibernetsko varnost napovedujejo za leto 2022? Poglejmo obe strani: stran črnih hekerjev in belih hekerjev. Kaj bodo najpogostejša sredstva in metode napadov? Ter s kakšnimi tehnikami in orodji bomo preverjali in skrbeli, da bo kibernetska varnost organizacij in individualnih digitalnih identitet na najvišji možni ravni.
Trendi in novosti v napadih – kibernetska varnost je ogrožena
Kibernetska varnost je bila v letu 2021 zaznamovana predvsem z izsiljevalskimi virusi, ranljivostmi končnega uporabnika in dela od doma. Organizacije so se spremenjenim razmeram zaradi epidemije Covid-19 prilagodile tudi tako, da so zaposlenim odredile delo od doma. Zaradi povezanosti domače in poslovne infrastrukture je ob uspešnem napadu npr. s socialnim inženiringom dostop do poslovnega omrežja bistveno poenostavljen. Na naslednji ravni pa dodatno tveganje predstavlja povezovanj omrežij celotnih podjetij, na primer v primeru oskrbovalnih verig. Prav na tem področju je v preteklem letu prišlo do velikega števila napadov.
Napadi s socialnim inženiringom
Uporabnik ostaja glavna tarča napada in najranljivejši člen v sistemu kibernetske varnosti. Napadalci se ne osredotočajo več na varnostne naprave, saj je njihove varnostne protokole veliko težje zaobiti kot prepričati uporabnika, naj klikne na škodljivo povezavo ali odpre okuženo priponko.
Zato hekerji raje več časa namenijo skrbno pripravljenim napadom z ribarjenjem ali drugim oblikam socialnega inženiringa. V ta namen svojo tarčo – organizacijo – najprej dalj časa opazujejo: spremljajo navade uporabnikov na spletu, promet in tudi fizično okolje. Tako dobijo dovolj dobro sliko o tem, kakšni so odnosi znotraj organizacije in s kakšno vsebino bodo uporabnike najlažje speljali na led.
Glavno orožje napadalcev so postali podatki, ki jih uporabljajo za manipulacijo s potencialnimi žrtvami. Na tej točki nas socialni inženiring pripelje do naslednje faze napada – izsiljevalski virus.
Izsiljevalski virusi
Izsiljevalski virusi so že začeli polniti naslove spletnih portalov. Cilj napada z izsiljevalskim virusom je pridobitev finančnih sredstev, orodje hekerjev pa so pogosto zaposleni v organizaciji. Prva stopnja napada z izsiljevalskim virusom je običajno socialni inženiring. Z njim napadalci pridobijo dostop do omrežja. Ko vstopijo v omrežje, uporabljajo bočne premike in poskušajo izrabiti ranljivosti naprav. Ob uspešnem vdoru v sistem pridobijo dostop do poslovno kritičnih podatkov. Uporabijo jih kot sredstvo za manipulacijo z žrtvijo in pridobivanje visokih odškodnin.
Organizirani in napredni napadalci (APT)
Namen tovrstnih napadov je pridobivanje oz. kraja podatkov skozi daljše časovno obdobje. Ko napadalec vstopi v omrežje, ostaja skrit. Pridobiva podatke, se bočno premika na ravni, kjer ima dostop in čaka na priložnost za prodor naprej. V primeru oskrbovalnih verig lahko napadalec vstopi v omrežje najšibkejšega člena verige in se sčasoma prebije do večjih akterjev. Največja »nočna mora« pa je dejstvo, da tudi ob odkritem in na videz odstranjenem APT-ju, lahko ostanejo kakšna vrata odprta in se napadalci vrnejo. Idealno bojno polje za napade z APT so tudi mobilne naprave. Tam številne nameščene aplikacije nudijo veliko potencialnih vstopnih točk v napravo in posledično v omrežje.
Trendi in novosti v obrambi – kibernetska varnost na najvišji ravni
Kako naj se organizacija najbolje zavaruje pred napadi in onemogoči napadalce? Je kibernetska varnost sploh lahko dovolj trdna? Pogosto naletimo na diskrepanco med količino nameščenih varnostnih naprav in dejanskim stanjem kibernetske varnosti. Z naprednimi varnostnimi napravami zagotovo lahko dobro zaščitite omrežje in podatke. Pomembno je, da redno spremljate, ali so naprave ustrezno konfigurirane, spremljate zabeležena varnostna tveganja, jih rangirate in odpravljate.
Redno izvajanje penetracijskih testov
Ranljivosti lahko najbolj učinkovito odpravljate z aktivnim testiranjem varnosti (penetracijski testi), s katerimi preverite dejansko odpornost informacijskega sistema ali aplikacij na aktualne grožnje. Včasih je veljalo, da varnostni pregled ali penetracijski test omrežja izvedemo enkrat letno. Ob današnji količini napadov in na novo porajajočih se groženj takšna perioda zagotovo ni več ustrezna.
Klasične – ročne – penetracijske teste je priporočljivo izvesti vsaj dvakrat letno ter obvezno po vsaki večji spremembi ali nadgradnji sistema. Zelo priporočljivo je redno potrjevanje varnosti (eng. validation) na dnevni ali tedenski bazi. Pri tem vam pomagajo orodja za avtomatizirano potrjevanje varnosti. Eno takšnih je Pentera*, ki prepozna ranljivosti sistemov, preveri, ali jih je možno izrabiti in poda priporočila za odpravo.
S takšnim sistemom preverjanja in potrjevanja varnosti boste poskrbeli za neprebojni sloj vašega perimetra. Ob tem ne pozabite na redno ozaveščanje zaposlenih. Večkrat jih spomnite, zakaj je kibernetska varnost pomembna in jim omogočite varnostne treninge. Tako jih v nadzorovanih okoliščinah izpostavljate različnim napadom s socialnim inženiringom in utrjujete njihovo odpornost.
Varnostno ozaveščanje zaposlenih
Če si informacijski sistem organizacije predstavljate kot Zemljo, smo uporabniki sistemov njeno površje. Zunanja plast je izpostavljena različnim vplivom iz okolja in najbolj ranljiva. Če stavbe niso kvalitetno zgrajene, jih lahko podre potres. Drevo, ki ima slabe korenine, pade v močnem vetru. Zemeljski plaz lahko zasuje celotno vas.
Na podoben način so ranljivi vaši uporabniki. Nekateri so bolj odporni na grožnje, ki prihajajo iz zunanjega kibernetskega sveta, drugi manj. Nekateri se hitreje prilagajajo novostim in sprejemajo drugačne zakonitosti vedenja v kibernetskem svetu, drugim spremembe predstavljajo veliko dodatno obremenitev. Če želite zagotoviti kibernetsko varnost v svojem poslovnem okolju, poskrbite, da bodo vaši zaposleni redno izpostavljeni simulacijam napadov.
Z naprednimi treningi varnostnega ozaveščanja, kot je na primer orodje KnowBe4**, lahko v le treh mesecih izboljšate odpornost svojih uporabnikov na napade s socialnim inženiringom za kar 50 %. Izobraževalne vsebine odražajo zadnje trende v napadih s socialnim inženiringom: ribarjenje po elektronski pošti, SMS sporočilih ali telefonskih klicih, lažne spletne oglase ipd. Uporabniki ob nenapovedanih terminih prejmejo sporočilo, v katerem morajo prepoznati poskus napada. Kot skrbniki takšnega treninga imate vpogled v napredek ozaveščenosti v organizaciji, program pa lahko prilagajate glede na dovzetnost vaših uporabnikov za določeno vrsto napadov.
Kibernetska varnost doma in v pisarni
Ozaveščeni zaposleni bodo odgovorno ravnali v vseh omrežjih in informacijskih okoljih. Zavedali se bodo, da ravnanja na spletu v domačem omrežju vplivajo na stanje v poslovnem omrežju in obratno. Kaj s tem pridobite? Mirno boste spali, tudi če bo službena naprava priklopljena v domače omrežje zaposlenega.
S stališča kibernetske varnosti bodo glede na predvidene grožnje, ki jih navajajo svetovne organizacije, v naslednjem obdobju najbolj smotrna vlaganja v redno preverjanje in potrjevanje varnosti ter v izobraževanje zaposlenih kot prve obrambne črte poslovnega IT sistema.
*Več o rešitvi Pentera.
** Več o platformi KnowBe4.