Анализи

Киберсигурност в условията в криза

Мария Динкова

Някои предпочитат да разглеждат кризите като възможности за развитие и киберпрестъпниците са именно едни от тях. Събитията от последната година промениха значително както физическия, така и дигиталния свят, а хакерите безсъвестно се възползват от несигурността и тревогите на потребителите. За 12 месеца пейзажът на киберзаплахите претърпя трансформация, като определени типове атаки се увеличиха значително, нови канали за злонамерена активност започнаха да се използват, а загубите от киберпрестъпността достигнаха рекордните 1 трлн. долара (по данни на Center for Strategic and International Studies и McAfee).

Пробивите в дигиталната сигурност определено се доказаха като един изключително успешен и печеливш бизнес модел. Разбира се, тази тенденция не е нова и не е от последната година, но разпространението на пандемията от COVID-19 се превърна в удобна и популярна тема, която да подмамва потребителите да отварят зловредни линкове и прикачени файлове. Притесненията на хората и бизнеса, както и масовото преминаване към отдалечена работа се оказаха перфектни условия за извършване на безпрецедентно голям брой онлайн измами.

Киберпрестъпниците обаче не спират дотук, а продължават да развиват своите възможности. "Имайки предвид ръста на достъпната информация за тези схеми и техническия напредък за откриването им, хакерите зад тези атаки сега отделят значително време, пари и усилия, за да разработят измами, които да са достатъчно сложни, за да подлъжат дори опитните професионалисти", се отбелязва в доклада на Microsoft Digital Defense Report. "Фишинг атаките и компрометирането на бизнес имейли еволюират бързо. Преди киберпрестъпниците се фокусираха върху малуера, но сега те се пренасочват към рансъмуера и фишинг атаките с цел събиране на потребителски входящи данни."

Нови тенденции при зловредния софтуер
На фона на тази трансформация на зловредния софтуер се наблюдават няколко основни тенденции: все по-голямото използване на малуер на Linux, следвано от прилагане на зловреден софтуер с отворен код, а не на последно място и сериозно увеличение на Emotet през есента на 2020. Всичко това разкрива и крайната цел на киберпрестъпниците, а именно по-ефективно заобикаляне на решенията за откриване на хакерски атаки.
В доклада на IBM Security: 2021 X-Force Threat Intelligence Index се посочва, че хакерите увеличават инвестициите си в троянци и криптокопачи, за да спечелят от нападането на по-модерна инфраструктура. Към момента Linux изпълнява 90% от работните процеси в облака, а неговото използване се ускори значително заради влиянието на пандемията. Експертите предупреждават, че именно облачните среди могат да се превърнат в основен вектор на кибератаки в близко бъдеще, като се наблюдава 40% увеличение на годишна база от 2019 в новите Linux малуер семейства.

От друга страна, се регистрира и 500% ръст в писането на зловреден софтуер на програмния език Go, който е с отворен код. Хакерите го предпочитат, защото той лесно може да се прилага в множество системи и, вместо да се пише отделен зловреден софтуер за Linux, OS X или Windows, Gо работи на различни платформи. Според IBM с преминаването към по-честа употребата на зловреден софтуер с отворен код нападателите вероятно търсят начини да подобрят маржовете си на печалба - като намаляват разходите, увеличават ефективността и създават възможности за по-печеливши атаки.

Най-много кибератаки в Европа
Освен до трансформация на зловредния софтуер ковид кризата доведе и до значителни промени в глобалното разпределяне на кибератаките. Макар в дигиталното пространство граници да няма, през 2020 Европа заема челно място като най-интензивно атакувания регион в света - 31% от всички кибернападения са били регистрирани на Стария континент, разкрива докладът на IBM Security. По-голямата част от атаките през изминалата година са били насочени срещу Обединеното кралство, Швейцария, Франция и Италия.

На второ място в глобален план се нарежда Северна Америка с 27%, следвана от Азия с 25%. За сравнение - през 2019 лидерското място принадлежи на Северна Америка (44% от атаките), на второ място е Азия (22%) и едва след това се нарежда Европа (21%). На практика само за година кибернападенията на Стария континент са се увеличи с около 10%.

По отношение на типовете атаки рансъмуерът е водещ за Европа през 2020, отговаряйки за 21% от всички кибернападения. Също така в Европа са отчетени и най-много вътрешни атаки (16%) за миналата година - двойно повече, отколкото са отчетени в Северна Америка и Азия, взети заедно. Освен това Старият континент е арена и на голям брой нападения за получаване на достъп до сървъри - 14% от всички атаки на континента през 2020. В по-малка степен организациите са били засегнати от кражбата на входящи имена и пароли (10%), компрометирани бизнес имейли (9%), измами (5%) и DDoS (5%).

Съвети
През 2021 комбинацията от стари и нови заплахи ще изисква от екипите по сигурност да обмислят множество рискове едновременно. Затова експертите съветват организациите да предприемат проактивен подход, за да подобрят своята сигурност навреме и да гарантират устойчивостта на системите си. Ето какви трябва да бъдат техните приоритети според доклада на Microsoft:

Управление на паролите: Решенията за управление на паролите имат огромно значение за намаляване на киберрисковете. Например многофакторната автентикация може да преустанови атаките, базирани на потребителски имена и пароли. Без достъп до допълнителен фактор хакерите няма да могат да достигнат до профила или защитените ресурси. Методът трябва да бъде задължителен за всички администраторски профили и силно препоръчителен за всички останали потребители. Също така експертите препоръчват използването на приложение за автентикация вместо SMS или глас, където е възможно.

Добър вариант за сигурна защита също така е и отказът от използване на пароли и преминаването към лицево разпознаване, пръстов отпечатък или PIN код. За организациите с приложения или работни процеси, които не могат да преминат към безпаролен подход, експертите съветват да се приложи сигурно решение за управление на пароли, при което например може служителите да използват уникални произволни пароли за достъп до цялата чувствителна информация на всички сървъри и устройства, включително IoT и мрежова инфраструктура.

Модернизация и поддръжка: На следващо място компаниите трябва да отделят внимание на модернизацията на своите VPN мрежи и пачването на приложенията и системите. Виртуалните частни мрежи (VPN) позволяват да се гарантира сигурна комуникация към централната точка. Но повечето организации са прехвърлили вече значителна част от своите процеси в облака, с което отпада необходимостта от връщането на 100% от трафика към корпоративния VPN концентратор. Използването на разделителен тунел ще позволи на облачния трафик да се свързва с облачните ресурси сигурно, намалявайки натоварването към корпоративния VPN.

Доставчиците непрекъснато въвеждат подобрения в сигурността, затова е важно да се гарантира, че приложенията и платформите работят с най-актуалните версии, а това се отнася и за съществуващите VPN архитектури. Киберпрестъпниците често се насочват към мрежовите устройства като гейтуей за получаване на достъп до мрежата, например за пускане на рансмъуер. За да се предотвратят подобни рискови сценарии, трябва да се прилагат всички ъпдейти за VPN и защитните стени, да се отделя специално внимание и да се следи инфраструктурата за отдалечен достъп.

Повече контрол и мрежова сегментация: Най-добрият начин да се гарантира защитата на операционните системи и приложенията е актуализацията им. Не всички системи обаче могат да бъдат поправени или обновени заради ограничения като сертификационни нива или бизнес причини. За тези устройства и приложения е добре да се осигури допълнителен мониторинг, така че да се следят отблизо достъпът и поведението на легаси системите.

Също така добър начин за защита и забавяне на атаките (особено на неактуализираните или невъзможните за пачване системи) е мрежовата сегментация. Когато се открият уязвимости при няколко системи, една атака може да премине пред плоска мрежа за минути. В допълнение устройствата и системите с високо чувствителни данни често трябва да бъдат защитени с по-високи нива на контрол. Сегментираните мрежи гарантират сигурност, за да се ограничи разпространението на атаките и да се позволи на организациите да въведат по-стриктен контрол за чувствителната информация.

Добра имейл хигиена и подход на нулевото доверие: Тъй като 90% от атаките започват с имейл, предотвратяването на фишинга (и другите му варианти, базирани на гласови и текстови съобщения) може да ограничи възможностите за хакерите за успех. Платформите за имейл хигиена, които включват филтриране на входящите имейли и проверка на линкове, осигуряват цялостна защита. Добър вариант е да се обмисли и ограничаване или изключване на автоматичното препращане за имейл, освен ако не е особено важно за конкретния бизнес.

Също така добра идея е да се прилага подходът на нулевото доверие. Вместо да се приема, че всичко зад корпоративните защитни стени е сигурно, специалистите съветват всяко искане да се обработва сякаш идва от отворена мрежа.

Познаване на периметъра: Крайните точки са сред най-честите цели на киберпрестъпниците. С преминаването към отдалечена работа заради COVID-19 потребителските устройства още повече се отдалечават от корпоративните мрежи и се разширяват с нови софтуерни инсталации за видеоконферентни разговори и други инструменти за сътрудничество. За да се осигури ефективната защита на крайните точки, специалистите силно препоръчва въвеждането на някаква форма на управление, както и инсталирането на допълнително решение за сигурност.

В тази връзка трябва да се отдели специално внимание и върху контрола на периметъра. Атаките често започват с устройства, които не са в инвентара на активите, но все пак са членове на първичния Active Directory домейн. Този списък трябва да се поддържа актуален, а устройствата в него да бъдат следени и управлявани.
Фокус върху партньорите и служителите: В днешно време сигурността на една организация не е в ръцете единствено на нейните ИТ специалисти, тя зависи до голяма степен от навиците, знанията и решенията на всички, с които компанията работи. Затова експертите препоръчват да се създаде програма за намаляване на риска при третите страни (партньори, доставчици и подизпълнители), които работят с данни и приложения, свързани с корпоративните среди на фирмата. За тази цел могат да се въвеждат например споделени стандарти като SSAE 18 SOC 1 и SOC 2, PCI-DSS, GDPR и ISO 20001.

В тази връзка е добре да се инвестира и в обучението на служителите. Като потребители на корпоративните системи и мрежи те могат да бъдат най-слабото звено или първата линия за защита. Когато на организационно ниво се обръща внимание на сигурността, крайните потребители могат да бъдат онези, които да забележат, че има проблем. Затова експертите съветват служителите да бъдат обучени как протичат атаките и да им бъде осигурен начин да докладват за необичайна активност.

Това са само част от добрите практики, които организациите трябва да приложат, за да гарантират сигурността на своите мрежи, системи и приложения както при нормални обстоятелства, така и в условията на криза. Кибератаките не подминават никоя организация, независимо колко добри са нейните защити. Затова експертите съветват също така да се подготви специален екип за справяне с инциденти, да се тестват възможностите на бекъпите и да се проверява ефективността на плановете за реакция при атаки. По този начин служителите в компанията и ИТ експертите натрупват повече опит как да преодоляват критични ситуации, подобряват времето си за реакция и в крайна сметка спестяват пари на организацията в случай на истински пробив.

X