X
Število kibernetskih napadov se je v zadnjem letu podvojilo. Vas zanima, kako se jim lahko izognete? Postanite del naše skupnosti.
In the last year, the number of cyberattacks doubled compared to the year before. Do you want to repel potential threats? Join our community.
  • Skip to primary navigation
  • Skip to main content
  • Skip to footer
Carbonsec – Cybersecurity Consultancy Services Company

Carbonsec - Cybersecurity Consultancy Services Company

Cybersecurity services for businesses to be hackerproof, because it sucks to waste unnecessary time dealing with cyber criminals instead of focusing on business.

  • Storitve
    • Test varnosti gesel
    • Penetracijski test
    • Red Teaming
    • DDoS test
    • SCADA sistemi – varnost v industrijskem okolju
    • Varnostno svetovanje
    • Varnostna analiza izvorne kode
  • Rešitve
    • Pentera – avtomatizirano penetracijsko testiranje
    • SecurityScorecard – ocenjevanje tveganj in varnost dobavne verige
    • Simulacija napadov po e-pošti
    • Brezplačna orodja
    • Simulacija vdora in napada
  • Izobraževanje
    • Ozaveščanje uporabnikov
    • Varnost za programerje
    • Purple Team coaching
  • Novice
    • Novice
    • Blog
  • Podjetje
    • O nas
    • Ožja ekipa
    • Zaposlitev
    • Partnerji
  • Kontakt
  • ENG
  • Email
  • Facebook
  • LinkedIn

Kibernetska vojna je v polnem razmahu – kdo bo zmagovalec?

Dobičkonosna kibernetska vojna poteka na globalni. Rešitev so penetracijskih testi in izobraževanja uporabnikov.

21. septembra, 2021 by Matjaž Kosem

Zaradi sodelovanja v kibernetskem kriminalu so v ZDA prejšnji teden oglobili tri javne uslužbence, zaposlene v obveščevalni službi in vojski. Razvijali so škodljivo programsko opremo za podjetje v Združenih arabskih emiratih, ki izvaja hekerske napade za tamkajšnjo vlado.1

Kibernetska vojna? V njej se borijo nevidni napadalci in žrtve, ki bolečino začutijo predvsem ob pogledu na bančni račun. To ni znanstvena fantastika, to je realnost 21. stoletja. Vedno nove 0-day ranljivosti v programski opremi, vladna vohunjenja, zbiranje podatkov o posameznikih in podjetjih ter primeri »dvojnih vohunov«.

V tem zapisu bom poskusil odgovoriti na vprašanje, na kateri točki se vojna ustavi in kdo je zmagovalec. In še pomembneje, kdo si te vojne sploh želi?

V kibernetskem svetu nas povezovanje deli

Ko pomislim na informacijske sisteme pred desetimi leti, se mi zdi, da je svet uporabnikov z namiznimi računalniki in sem ter tja kakšno tablico in pametnim telefonom svetlobna leta daleč. Napredek na področju informacijske tehnologije je za tako kratek čas skoraj nepredstavljiv. Vedno večje število naprav na posameznika je prineslo tudi vedno večje število povezav med njimi. Če so bili prej usmerjevalniki v domeni poslovnih okolij in posameznih bolj tehnološko usmerjenih gospodinjstev, je danes domače omrežje nekaj najbolj običajnega.

Povezovanje naprav v omrežja pomeni tudi povezovanje varnostnih lukenj v dolg varnostni tunel. Heker ima ob vdoru v posamezno napravo kar naenkrat dostop do vseh naprav, povezanih v to omrežje. Če niso ustrezno varnostno zaščitene. In če uporabniki naprav niso ustrezno ozaveščeni.

Računalniški zaslon s številnimi okni s programsko kodo.

Dosegli smo veliko boljšo povezanost naprav in storitev ter si na veliko področjih z digitalizacijo olajšali življenje. Hkrati pa smo s svojo prisotnostjo v različnih omrežjih potencialno dali na vpogled in uporabo svoje osebne, zdravstvene, bančne, finančne in druge podatke. Razdelili smo se na tiste, ki puščajo za seboj ogromen digitalni odtis in tiste, ki jih omrežja skoraj ne poznajo. Na tiste, ki znajo dobro prepoznavati kibernetske napade in tiste, ki vedno znova »padejo na finto«. In na najvišji ravni na hekerje in žrtve hekerskih napadov.

Pa se kibernetskega sveta res ne bi dalo popolnoma zavarovati?

Kibernetska vojna zajema ves svet

Že od nekdaj velja, da so hekerji korak pred svojimi žrtvami. Njihov cilj je odkrivati nove ranljivosti in napadati. Primarna naloga njihovih žrtev pa običajno ni iskanje varnostnih lukenj, temveč obramba sistemov z različnimi mehanizmi. Ki imajo tudi svoje pomanjkljivosti. Pričakovali bi, da so uporabniki željni varnostnih popravkov, a podatki kažejo, da jih le četrtina varnostni popravek namesti takoj, ko je na voljo, četrtina v enem mesecu, tretja četrtina v enem letu, 25 % uporabnikov pa varnostnega popravka sploh nikoli ne namesti.

Na ravni poslovnih omrežij morajo vodje opraviti analizo tveganja, ki jo povzroča določena ranljivost. Ko je stopnja tveganja opredeljena, se odločijo, ali jo sprejmejo ali bodo vpeljali ukrepe za odpravo tveganja. To so lahko bodisi varnostne posodobitve opreme, dodatna oprema ali pa t. i. obvozne poti, ki jih v primeru 0-day ranljivosti priporočijo proizvajalci opreme.

V digitalnem svetu so največja vrednost podatki. Če imamo podatke, lahko v veliki meri manipuliramo z njihovimi lastniki. Zato se kibernetski kriminal usmerja na pridobivanje in preprodajo podatkov. Posel tako dobro cveti, da so hekerji postali najboljši zaslužkarji na svetu.

Kdo ima koristi od varnostnih lukenj in naivnih uporabnikov?

Poleg hekerjev so to zagotovo posamezniki in podjetja, ki se z ukradenimi podatki lahko okoristijo ali pa z njimi izsiljujejo. Poleg njih pa hekanje s pridom izrabljajo tudi vladne službe. Zbirajo podatke o posameznikih, ki jih želijo imeti bolj pod nadzorom ali jih želijo kazensko preganjati. Z ukradenimi podatki pa poteka tudi mednarodno vohunjenje in kibernetsko vojskovanje.

Računalniški zaslon z napisom My crime is that of curiosity - moj zločin je radovednost.

Ko govorimo o tem, da se podjetja okoriščajo s podatki posameznikov, ne smemo pozabiti na to, da tudi sami dovolimo manipulacijo z našimi podatki. Pomislite na Google in Facebook ter njihovo varnostno politiko. Zagotavljajo nam visoko zaščito podatkov, v zameno pa jim dovolimo, da sami te visoko zaščitene podatke uporabljajo za prilagajanje spletnih strani in oglasov našemu uporabniškemu profilu. Kot pravijo sami, skrbijo za boljšo uporabniško izkušnjo. Dejansko pa lahko zaradi namenske uporabe naših podatkov potrošimo veliko več, kot bi sicer.

Stopite v vrste ozaveščenih bojevnikov

Najboljši taktiki v boju proti kibernetskemu kriminalu sta redno testiranje ter posledično odpravljanje kritičnih pomanjkljivosti in stalno nadgrajevanje znanja. Morda bo kdo pripomnil, da so upravljavci sistemov tisti, ki morajo poskrbeti, da heker ne bo vstopil v omrežje in v naše naprave. Res je, skrbniki morajo imeti zelo poglobljeno znanje o delovanju varnostnih naprav in preprečevanju vdorov na sistemski ravni. A neprodušnost sistemov za kibernetske napade je omejena z vsaj dvema pomembnima faktorjema:

  • Veliko število varnostnih popravkov za ranljivosti, ki so odkrite na nameščenih sistemih. Te popravke bi bilo treba dnevno nameščati, a so skrbniki pogosto preobremenjeni z drugimi zadolžitvami.
  • Premalo ozaveščeni uporabniki, ki spregledajo škodljive povezave ali priponke. Uporabniki, ki znajo dobro prepoznavati poskuse vdorov, lahko v zelo veliko primerih preprečijo napad na naše poslovno ali domače omrežje.

Predstavljajte si srednjeveško mesto z obzidjem, ki ga je že malo načel zob časa ali pa ni bilo ravno najbolje zgrajeno. Če bo le nekaj meščanov branilo to ranljivo obzidje, ostali pa bodo samo sumničavo gledali prišleke, ki ga hočejo zavzeti, bo mesto hitro padlo. Če pa meščani tvorijo trden ščit okrog obzidja, je veliko več možnosti, da bo mesto kljub kakšni luknji v obzidju ostalo varno. Še bolje bodo mesto zaščitili, če se bodo redno igrali »ravbarje in žandarje« in skušali na različne načine zavzeti mesto. Enako je s kibernetsko varnostjo.

Izobraževanje uporabnikov in penetracijski testi

Socialni inženiring je še vedno najboljši način za prvi vstop v omrežje, najpogosteje se izvaja s ciljanimi napadi z ribarjenjem. Pri tem ne gre le za klasična elektronska sporočila v polomljeni slovenščini ali angleščini. Sodobni napadi nas lahko prelisičijo tudi v obliki spletnih oglasov ali video posnetkov. Zato je zelo pomembno, da se naučimo biti pozorni na vse pasti, v katere nas hočejo ujeti napadalci.

Učinkovit način pridobivanja veščin prepoznavanja napadov z ribarjenjem je trening varnostnega ozaveščanja. Stalno in nenapovedano soočanje z različnimi poskusi napadov uporabnika utrdi v prepoznavanju trikov, ki jih hekerji uporabljajo, da nas spravijo v težave. Takšen trening posameznika ne omeji le na poslovno okolje, pač pa znanja uporablja v svojem vsakdanjem življenju. Pozoren je, ko doma brska po internetu, ko želijo otroci nameščati igrice, ne priklaplja se na nezaščitena omrežja ipd. S takšnim ravnanjem daje zgled tudi svojim sodelavcem, prijateljem, družini.

Kibernetska vojna je v polnem razmahu – kdo bo zmagovalec na vaši fronti?

Na ravni informacijskega sistema pa močno obrambo dosežemo s »štih probami« v obliki penetracijskih testov in varnostnih pregledov. Ni treba, da vedno izvajate pregled celotnega sistema. Lahko se enkrat osredotočite na spletne aplikacije, drugič na strežniški del, vsekakor pa je dobro, da se takšni testi izvajajo redno in da priporočila izvajalca testa vzamete zelo resno. Cilj penetracijskega testa in varnostnega pregleda je izboljšanje kibernetske varnosti celotnega informacijskega sistema. Ali če se vrnem na prispodobo z mestom – utrjevanje obzidja, krpanje lukenj, močnejša mestna vrata, … vsi ukrepi, ki bodo izboljšali varnost.

Lahko torej poskrbimo, da se kibernetska vojna konča? Prav končala se verjetno ne bo, saj bodo hekerji vedno korak pred nami. Z odgovornim ravnanjem pa vsaj omilimo njene posledice in poslovno škodo.

Kaj je po mojem mnenju ključ do uspeha? Kibernetska varnost vam mora zlesti pod kožo.

Če si želite natančnega in zanesljivega partnerja v boju proti kibernetskim napadom, kontaktirajte Carbonsec.

1 Vir: BBC

Blog,  Consulting,  Novice,  Security Awareness kibernetska varnost,  kibernetska vojna,  penetracijsko testiranje,  varnostni pregled

Naj vam pomagamo

Pišite nam in nam pošljite osnovne informacije o vašem projektu.

Pošljite povpraševanje

Footer

O NAS

Svetovalne storitve kibernetske varnosti za podjetja, da bodo varna pred vdori in tako popolnoma osredotočena na svoje poslovanje.

  • Email
  • Facebook
  • LinkedIn

KONTAKT

CARBONSEC d.o.o.
Hacquetova ulica 8
1000 Ljubljana
Slovenija

info@carbonsec.com

HITRE POVEZAVE

  • Postanite del naše skupnosti.
  • Blog
  • Pogoji uporabe
  • Politika zasebnosti
  • Piškotki

STORITVE

  • Test varnosti gesel
  • Penetracijski test
  • Red Teaming
  • DDoS test
  • SCADA sistemi – varnost v industrijskem okolju
  • Varnostno svetovanje
  • Varnostna analiza izvorne kode
  • Izobraževanje

Copyright © 2023 Carbonsec · Created by mod.si

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Cookie settingsACCEPT
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Vedno omogočeno
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT