Jak koronawirus zmienia obraz zagrożeń internetowych

Wyniki badania wykonanego przez należącą od zeszłego roku do F5 firmę Shape Security (która przetwarza codziennie pod kątem cyberbezpieczeństwa ponad 2 miliardy transakcji internetowych) pokazuje, jak bardzo pandemia koronawirusa zmieniła zachowanie cyberprzestępców i cały obraz zagrożeń.

Shape Security donosi, że w ciągu jednego tygodnia od ogłoszenia pandemii nastąpiły tu ogromne zmiany. Ruch do dostawców internetowych artykułów spożywczych w jej sieci wzrósł o 400%, a liczba logowań na kontach inwestycyjnych o 53%. Rezerwacje podróży online spadły o 75%, rejestrowanie nowych list płac zmniejszyło się o połowę. Ponadto, w porównywanych okresach, o 35% spadły międzynarodowe transfery pieniężne.

Niektóre sektory doświadczają bezprecedensowego popytu, podczas gdy inne pozostają zablokowane lub znacząco ograniczone. Dane dotyczące ataków w tym okresie nie są jeszcze ostatecznie zweryfikowane, ale już widzimy wyraźną ewolucję zachowania cyberprzestępców i nowe trendy.

Zobacz również:

Nasilają się ataki na portale, które umożliwiają dostęp do rządowych systemów finansowania i pomocy. Każdy wnioskodawca musi wprowadzić do systemu swój numer identyfikacyjny podatnika, po to aby procedować składane wnioski. Atakujący wykorzystują przepływ tych informacji i uruchamiają, w celu pozyskania tych danych, zautomatyzowane programy wyszukujące oraz sprawdzające autentyczność numerów identyfikujących, aby później sprzedać lub wykorzystać je w inny sposób.

Shape Security dostrzega dużą zdolność adaptacji cyberprzestępców w chwilach, kiedy zachodzą znaczące zmiany w zachowaniach konsumentów, takie jak niedawny wzrost aktywności online. Konieczne staje się kompleksowe podejście, od monitorowania ruchu z cichych adresów IP, przez identyfikację złośliwego, zautomatyzowanego ruchu i monitorowania zachowania atakujących, aż do nadzoru nad algorytmami SI oraz hakowania własnych zabezpieczeń. Dlatego firma zaleca stosowanie następujących metod obrony:

1. Monitorowanie całego ruchu

Biznes jest dziś parę kroków za hakerami. Jeden z klientów firmy zakładał, że wielkość złośliwego ruchu w jego firmie to ok. 20-30%. Po analizie okazało się, że rzeczywista wartość złośliwego ruchu to aż 98%!

To powszechny błąd, ponieważ nawet centra operacji bezpieczeństwa największych korporacji na świecie często koncentrują się na złośliwym ruchu pochodzącym z najbardziej aktywnych adresów IP. Tymczasem przestępcy zmienili taktykę i wykorzystują setki tysięcy adresów generujących niewielki ruch, niezauważany w standardowych procedurach. Monitoring całego ruchu jest więc po prostu konieczny.

2. Analiza ruchu

W obronie przydatna jest także technologia, która zbiera sygnały z sieci, zarówno od użytkowników jak środowiska, w celu identyfikacji zautomatyzowanego i potencjalnie złośliwego ruchu.

Pozwala identyfikować ruch użytkowników online (np. praca zdalna) i odróżnia sygnały pochodzące od naciskania klawiszy i ruchów myszy generowanych przez człowieka od tych – zbyt precyzyjnych – generowanych przez bota. Technologia ta potrafi także odróżnić, czy mamy do czynienia z użytkownikiem czy oszustem – ten ostatni, gdy zapozna się z workflow, zwykle nawiguje zauważalnie szybciej.

3. Obserwowanie reakcje atakujących na zabezpieczenia

Atakujący zazwyczaj zmieniają narzędzia od razu po podjęciu środków zaradczych przez organizację. Sprawnie przechodzą między interfejsami internetowymi, mobilnymi i API, szukając nowych luk. Dlatego zespoły bezpieczeństwa muszą uważnie obserwować, jak atakujący reagują na zabezpieczenia, aby przewidzieć ich następne działania. Niektórzy hakerzy nawet nie rozpoznają, że są blokowani, inni szybko się dostosowują.

4. Należy pamiętać o tym, że sztuczna inteligencja wymaga ciągle nadzoru człowieka

Sztuczna inteligencja i uczenie maszynowe są istotnymi elementami każdego zestawu narzędzi bezpieczeństwa. Należy jednak pamiętać, że mają ograniczenia – surowe sygnały wykryte przez te technologie, zawierają zarówno wyniki fałszywie dodatnie, jak ujemne. Dopiero druga linia obrony, czyli wyszkoleni ludzie przeglądający te dane i obserwujący anomalie, pomogą ocenić zagrożenie i mu zapobiec.

5. Konieczność stałej weryfikacji standardowych narzędzi ochrony użytkowników

Organizacje zorientowane na użytkownika powinny zrewidować narzędzia takie jak np. CAPTCHA, które mogą bardziej utrudnić życie prawdziwym klientom niż hakerom. Rynek cyberprzestępczy adaptuje się do istniejących narzędzi ochrony bardzo szybko np. istnieją już „ludzkie farmy” CAPTCHA, które pozwalają łatwo ominąć to zabezpieczenie. Równie szybko muszą więc reagować organizacje, aby chronić siebie i swoich klientów.

Źródło: F5 (Dan Woods).


TOP 200