Trzeba skończyć z mitem „wyrafinowanego ataku”

Zastanawiam się czasami, czy jakaś firma padła kiedyś ofiarą prostego, łatwego do przeprowadzenia ataku, bo za każdym razem, gdy słyszymy o jakimś incydencie, to mowa jest o „wyjątkowo wyrafinowanym” włamaniu. Moim zdaniem możemy zapomnieć o takich usprawiedliwieniach – bo w dzisiejszych czasach każdy atak informatyczny jest złożony i wielostopniowy – pisze w felietonie dla Computerworld.com Ira Winkler, ceniony specjalista ds. bezpieczeństwa i autor książki „Spies Among Us”.

„Spójrzmy na sprawę włamania do systemu informatycznego firmy Anthem – w wydanym przez nią oświadczeniu napisano, że przeprowadzony przez chińskich hakerów atak był wyrafinowany i wyjątkowo skomplikowany. Z tej samej wymówki korzystały również inne firmy i instytucje, które stały się celami hakerów - Target, Sony, Home Depot czy amerykańskie agencje rządowe” – pisze Winkler.

Zdaniem Ira Winklera, obecnie samo pojawienie się wyjaśnień tego typu oznacza, że ofiara próbuje się jakoś usprawiedliwić – zasugerować, że atak był tak zupełnie nietypowy i żadne standardowe zabezpieczenia nie były w stanie skutecznie zabezpieczyć przed nim. Problem jednak w tym, że te ataki mogą wydawać się skomplikowane i wysublimowane wyłącznie w porównaniu z prymitywnymi systemami zabezpieczeń, które nie były w stanie ich powstrzymać.

Zobacz również:

  • Grupa Medusa zwiększa aktywność ransomware
  • Warner Bros Discovery rezygnuje z nazwy HBO

“Gdy zaczynamy analizować jakiś atak rozkładając go na czynniki pierwsze, widać metody przestępcze, które trudno nazwać wyrafinowanymi czy nowatorskimi. Zwykle pojawia się typowy spearphishing i zupełnie typowe wykorzystywanie znanych błędów w oprogramowaniu. Równie często okazuje się, ze w firmie nie wdrożono tak podstawowych korporacyjnych narzędzi jak białe listy aplikacji na krytycznych systemach, że brakowało aktywnego dwustopniowego uwierzytelniania i że nie wdrożono niezbędnych narzędzi IDS i IPS” – tłumaczy Ira Winkler.

Jego zdaniem wiele firm niestety wciąż traktuje kwestię bezpieczeństwa po macoszemu. Brakuje m.in. edukowania użytkowników w zakresie rozpoznawania zagrożeń i szkoleń. Bardzo często jest tak, że administratorzy firmowych systemów stawiają na zabezpieczanie ich przez narzędzia i inne rozwiązania programowe, zupełnie pomijając w tym procesie „czynnik ludzki”.

To sprawia, że przestępcy stosunkowo prosto mogą uzyskać dostęp do firmowych systemów, na przykład korzystając ze wspomnianego już ataku spearphishingowego. A gdy to już nastąpi, mogą swobodnie używać innych metod hakerskich, szukać znanych luk w oprogramowaniu, instalować złośliwe aplikacje itp. Żadnej z tych metod nie można uznać za szczególnie wysublimowaną… a mimo to okazują się one skuteczne.

„Po niedawnej serii włamań, moim zdaniem tylko jedna ofiara potrafiła trzeźwo ocenić sytuację - firma JPMorgan Chase. Jej pracownicy co prawda też mówili o „wyjątkowo skomplikowanym ataku”, jednak szczerze przyznali, że nie byłby on możliwy, gdyby na zaatakowanym systemie wdrożono wcześniej wielostopniowe uwierzytelnianie. Z tą postawą ostro kontrastuje np. stanowisko koncernu Sony, który nie przyznał się, że złośliwe oprogramowanie wprowadzono do jego systemów m.in. dzięki zapisaniu „na twardo” w jednym z serwerów loginu i hasła” – przypomina Ira Winkler.

Wiadomo przecież, że właściwie każdy atak wymierzony w średnią lub dużą firmę wymaga nieco wiedzy i planowania. Takie ataki nie są przeprowadzane ot tak, zwykle poprzedza je szczegółowy rekonesans i rozpoznanie. Ale to, że ktoś poświęcił nieco czasu na zaatakowanie jakiejś firmy nie oznacza automatycznie, że ów atak był szczególnie skomplikowany, tym bardziej, że w większości incydentów hakerzy sięgali po standardowe, znane i popularne narzędzia hakerskie.

Zdaniem Winklera, firmy powinny zrozumieć, że takie ataki są obecnie codziennością, że nie ma w nich nic nietypowego i że mogą nastąpić każdego dnia. A to znaczy, że trzeba się na nie odpowiednio przygotować. „Jeśli masz w swoich systemie coś cennego – informacje, dane klientów, pieniądze – musisz spodziewać się, że staniesz się celem precyzyjnego ataku. I choć może być trudno nazwać go prymitywnym, ale rzadko się zdarza, by był szczególnie skomplikowany” podsumowuje Winkler.

Jego zdaniem każdorazowe podkreślanie w takich sytuacjach niezwykłego skomplikowania ataku jest dla administratorów rodzajem usprawiedliwienia i „listka figowego” – oświadczeniem w stylu: „ten atak był tak nietypowy i pomysłowy, że nikt nie byłby w stanie się przed nim zabezpieczyć”. Smaczku temu wywodowi dodaje niedawne oświadczenie przedstawicieli FBI po ataku na Sony. Stwierdzili oni, że metoda zastosowana przez włamywaczy okazałaby się skuteczna w przypadku 90% firm. A to może oznaczać tylko jedna – że taki odsetek firm i organizacji nie stosuje podstawowych zabezpieczeń informatycznych.

Ira Winkler zastrzega, że nie chcę przez to powiedzieć, że firma może stać się w 100% odporna na ataki. Ale dodaje, że irytuje go sugerowanie jakoby pewnych typów ataków absolutnie nie dało się powstrzymać. „Sprawa wygląda tak: jeśli obecnie nie jesteś atakowany, to raczej świadczy o tym, że nie masz nic wartościowego. Bo ataki zdarzają się codziennie i trzeba być na nie przygotowanym, ale już dawno powinniśmy zacząć nazywać je nie „wyrafinowanymi”, lecz „typowymi”’ – podsumowuje Ira Winkler.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200