Podnoszenie tzw. security awareness – świadomości ryzyka – ma szczególne znaczenie w budowaniu cyberodporności. Nie chodzi tu o to, by z każdego pracownika zrobić eksperta ds. cyberbezpieczeństwa, bo to i nierealne, i niepotrzebne. Chodzi o zmianę nawyków, zarówno wyuczenie jednych zachowań, jak i porzucenie innych.

Absolutną podstawą jest zmiana przyzwyczajeń w zakresie stosowania haseł, tym bardziej że pozostają one jednym z najpowszechniejszych mechanizmów zabezpieczających. Niestety, na porządku dziennym jest stosowanie tych samych danych logowania do różnych serwisów internetowych. To zwiększa podatność użytkowników na ataki typu credential stuffing (cyberprzestępca, który wykradł bazę danych logowania z jednego serwisu, może przetestować te dane w innych usługach, np. bankowości elektronicznej).

Zobacz również:

• Co trzecia firma w Polsce z cyberincydentem
• Jak zaplanować rodzinne święta? AI przygotuje perfekcyjny program

W samym tylko pierwszym kwartale 2020 r., a więc u progu epidemii, Akamai Technologies wykryło 27 mld prób takich ataków, co stanowiło wzrost rok do roku o ponad 250 %. Firma dzięki globalnej sieci serwerów ma wgląd w ok. 30% światowego ruchu internetowego w tym ok. 2/3 wszystkich codziennych zapytań DNS. Akamai obserwowało też botnet atakujący z 13 tysięcy różnych adresów IP; z każdego z nich co dwie godziny następowała próba logowania się z użyciem skradzionych danych – w ciągu doby było ponad 167 tys. prób uzyskania nieuprawnionego dostępu.

Jak wynika z danych Akamai, ruch botów stanowi średnio od 30 do 70% ruchu przychodzącego do serwisów internetowych i aplikacji, w zależności od pory dnia czy lokalizacji.

Napastnicy coraz zuchwalsi

Ruch internetowy z roku na rok wzrasta, a w tym roku, w związku z tym, że ludzie przenieśli się do online’u, wzrost nastąpił skokowo. Druga strona medalu jest taka, że wzrósł również „zły” ruch, generowany przez botnety czy ataki DDoS. A atakujący są coraz bardziej bezczelni – ocenia Michał Nycz, Account Executive w Akamai Technologies. Sytuacji nie poprawia fakt, że liczba naszych kont na stronach www idzie już w dziesiątki. Wiele stron wymaga logowania lub zachęca do zakładania profili, począwszy od serwisów społecznościowych, przez e-sklepy, po media elektroniczne, wymagające zalogowania się do komentowania artykułów.

Ostatnie kampanie cyberprzestępcze są rozproszone i dotykają różnych branż, przy czym najbardziej zagrożone są firmy z takich sektorów, jak finanse czy e-commerce. Nie dość, że ataków jest dużo, to są przeprowadzane na większą skalę. O ile wcześniej typowy DDoS obejmował maksymalnie 1-2 wektory, to na przykład w sierpniu 2020 r. wykryty został atak obejmujący ich dziewięć - zauważa Magdalena Opala Wróbel, Major Account Executive w Akamai Technologies.

Spójrzmy zresztą, jak wyglądała ewolucja ransomware’u – jednej z najbardziej dotkliwych plag internetowych ostatnich lat. Od czasu sławetnego Cryptolockera (2013 r.) autorzy oprogramowania wymuszającego okup żądają okupu za odszyfrowanie plików w bitcoinach. W ostatnich czterech latach widać też trend skupiania się przestępców na dużych organizacjach – wcześniej zakres ataków ransomware był stosunkowo niewielki: kilkadziesiąt czy kilkaset zaatakowanych stacji ale nigdy kilka tysięcy na raz. Powody zmiany taktyki wyjaśnia Adam Haertle z serwisu Zaufana Trzecia Strona – „Nie ma sensu skupiać się na użytkownikach indywidualnych. Dużo prościej jest zaszyfrować jedną firmę niż 50 tys. osób, nie mówiąc już o tym, że te firmy mają więcej środków na opłaty”.

Doszliśmy do sytuacji, w której nie wystarczy już powiedzieć „Jestem chroniony przed ransomwarem, bo mam kopie bezpieczeństwa”. Twórcy ransomware’u też polują na backupy, co więcej – coraz częściej grożą upublicznieniem wykradzionych danych, jeżeli ofiara nie zgodzi się na zapłacenie okupu. Obecnie w 80-90% ataków brak opłaty oznacza wyciek danych, a kwoty okupu dzielone są na pół: pierwsza połowa za odszyfrowanie danych, a druga za nieujawnienie tego, co zostało wykradzione – przypomina Adam Haertle.

Ataki nie są też przypadkowe. Przestępcy mogą na przykład wziąć na cel organizację z wykupioną polisą od skutków incydentów bezpieczeństwa i sprawdzić, na jaką kwotę firma jest ubezpieczona. Po skutecznym ataku właśnie takiej sumy będą żądać, wiedząc, że negocjacje nie będą dla nich trudne – szkodę pokryje ubezpieczyciel. A wysokość okupu może sięgać nawet dziesiątków milionów dolarów i nie są to kwoty żądane, ale uiszczone – wyjaśnia przedstawiciel Zaufanej Trzeciej Strony.

Próg wejścia w cyberprzestępczy biznes jest też teraz dużo niższy. Ransomware, jak duża część oprogramowania, jest oferowany jako usługa. W sieci można dostać gotowe narzędzia do zarządzania atakiem, z dostępem do panelu administracyjnego, prezentującego informacje na temat celów i zainfekowanych systemów, nawet ze wsparciem technicznym.

COVID zmienił świat

Zyski, jakie przynosi postęp w obszarze technologii wykrywania zagrożeń i zapobiegania im, zjada „cyber-inflacja”. Organizacje wydają masę środków na zabezpieczenie infrastruktury, wkładając też dodatkowy wysiłek w integrację rozwiązań różnych producentów – niestety często te inwestycje okazują się nietrafione. Firmy nie stawiają w dostatecznym stopniu na zdobywanie kompetencji i wiedzy, które pozwalałyby zmienić podejście pracowników do zasad bezpieczeństwa, szczególnie w warunkach, w jakich znalazł się rynek po wybuchu pandemii.

Z uwagi na COVID-19 przedsiębiorstwa odesłały personel do pracy zdalnej, tymczasem w większości wypadków infrastruktury firmowe nie były przygotowane na taki model działania. Co innego, gdy firmowa sieć składa się głównie ze stacji roboczych działających w siedzibie organizacji i przygotowanych do pracy wewnątrz tej sieci, gdzie strzegą ich zabezpieczenia – firewalle, systemy IPS/IDS czy SIEM. Ale możliwości działu IT / bezpieczeństwa w zakresie bieżącego monitorowania użycia stacji roboczych pracowników zdalnych są o wiele bardziej ograniczone, zwłaszcza gdy ci ostatni używają tuneli VPN.

W początkowej fazie pandemii wiele organizacji skupiało się przede wszystkim na „posklejaniu” swojej infrastruktury i zapewnieniu personelowi wygodnej pracy zdalnej. Zdaniem Michała Nycza, miało to wpływ na dynamikę projektów z obszaru bezpieczeństwa, które na liście priorytetów spadły na niższe miejsca. Ale to właśnie wtedy okazało się, które organizacje są solidnie przygotowane na kryzys – gdzie polityki zachowania ciągłości biznesowej są nie tylko zawczasu przygotowane, ale w razie konieczności – egzekwowane.

Dobre praktyki

Wymaga to pewnej technologicznej dojrzałości – gdy posiadanie nowoczesnych technologii cyfrowych idzie w parze z ich odpowiedzialnym i optymalnym wykorzystywaniem. Nawet najbardziej zaawansowane systemy ochronne będą bezsilne, jeżeli organizacja nie zaadresuje problemów podstawowych: niezałatanych aplikacji i otwartych, a niepotrzebnych, portów. Takie oczywiste kwestie firmowi CSO, a przynajmniej administratorzy IT, powinni znać na pamięć, inne można poznać na przykład w drodze systematycznie przeprowadzanych testów penetracyjnych.

Typowa architektura, obejmująca część zaufaną (pracownicy przy biurkach) i niezaufaną (pracownicy zdalni) przestaje mieć w dzisiejszych warunkach rację bytu. Racjonalnym podejściem jest więc wdrożenie polityki Zero Trust – każdego uczestnika infrastruktury należy traktować z ograniczonym zaufaniem, przyznając mu minimalne niezbędne uprawnienia do korzystania z sieci firmowej i dostępu do jej zasobów.

To ostatnie doradzają nawet… sami włamywacze. Przedstawiciel amerykańskiej firmy CWT, zaatakowanej ransomware’m w lipcu 2020 r., w ramach wsparcia technicznego po ataku i opłaceniu okupu, otrzymał od cyberprzestępcy garść „dobrych praktyk”, które mogą zapobiec podobnym incydentom w przyszłości. Znalazły się tam m.in. porady dotyczące haseł – by zrezygnować z lokalnych i zmieniać je co miesiąc; i uprawnień użytkowników – by ustawiać je na minimalnym poziomie umożliwiającym dostęp tylko do konkretnych aplikacji. A duże organizacje powinny zatrudniać zespół administratorów monitorujących infrastrukturę przez całą dobę.

CWT zapłaciło okup w wysokości 4,5 mln dolarów. Dlatego lepiej wprowadzić plan bezpieczeństwa w życie przed atakiem, nie po nim – wyjdzie taniej.

Artykuł powstał na podstawie wniosków ze spotkania w gronie osób odpowiedzialnych za bezpieczeństwo w organizacjach, zorganizowanego przez redakcję Computerworld i firmę Akamai- „Agenda CSO 2021”.