Jak obronić firmę – 6 porad

Obrona przed dzisiejszymi atakami staje się coraz trudniejsza, a sam atak – prostszy do wykonania. Przedstawiamy 6 porad jak obronić najważniejsze zasoby IT w firmie przed cyberprzestępcami.

W dobie nowych szybkozmiennych ataków, w których cyberprzestępcy stosują wynajmowane narzędzia, firma wydaje się niemalże bezbronna. Klasyczny antywirus już nie działa, powstaje mnóstwo złośliwego oprogramowania, a na potrzeby złodziei internetowych pracują całe rzesze specjalistów. Przygotowany kod malware'u można sprawdzić pod kątem wykrywania przez narzędzia najważniejszych dostawców. Oprócz zmian technologicznych prawdziwy przełom przyniosła jednak dopiero dostępność złośliwego oprogramowania w modelu usługowym.

Raj Samani, CTO EMEA firmy Intel Security mówi: „Dziś każdy może zostać cyberprzestępcą. Dzisiejsze ataki nie wymagają żadnej wiedzy technicznej, wystarczy zapłacić. Wejście na drogę przestępczą w Internecie jest łatwe i przynosi bardzo wysokie przychody. Bardzo dobrym przykładem jest wzrost zagrożenia oprogramowaniem wymuszającym okup. Obserwowaliśmy wzrost rzędu 60% w ciągu zaledwie jednego kwartału”.

Zobacz również:

(1) Wyłudzacze okupu

Pomysł ransomware, czyli złośliwego oprogramowania, które zaszyfruje pliki użytkownika z użyciem nowoczesnej kryptografii, a następnie zażąda okupu za odszyfrowanie, jest stosunkowo nowy. Prawdziwym impulsem do rozwoju było wprowadzenie modelu usługowego oraz powszechna podatność zarówno platformy Microsoft Windows w komputerach domowych, jak i niska odporność ludzi na działania socjotechniczne. Za pomocą złośliwego oprogramowania takiego jak Cryptolocker można zaatakować wiele firm. Naturalną obroną jest posiadanie dobrych kopii bezpieczeństwa – niestety backup stacji roboczych jest u nas nadal działaniem egzotycznym.

Raj Samani wyjaśnia: „Obrona przed ransomwarem jest trudna. Lepiej być przygotowanym i działać proaktywnie. Należy się upewnić, że dysponujemy kopią bezpieczeństwa całej niezbędnej informacji, że można ją odtworzyć. Należy zachować zdrowy rozsądek i zwracać uwagę na linki, które się klika. Należy mieć aktualne zabezpieczenia techniczne, by zagrożenia, które są znane, mogły być zatrzymane na styku firmy z Internetem. Podstawową obroną przed ransomwarem stanowi jednak świadomość zagrożenia i przygotowane działania proaktywne”.

Czy rozwiązanie typu sandbox pomoże?

Technologia analizy potencjalnie złośliwego kodu za pomocą uruchamiania w kontrolowanym środowisku jest już dobrze znana i cyberprzestępcy nauczyli się metod omijania niektórych zabezpieczeń. Jak uważa Raj Samani: „to jest zawsze gra w kotka i myszkę. Gdy rozpoczynaliśmy działania mające na celu zamknięcie polimorficznego botnetu Beebone, pierwsze badania udowodniły, że oprogramowanie umie wykryć uruchomienie w kontrolowanym środowisku klasy sandbox. Z tym musieliśmy się zmierzyć. Uważam, że taka jest natura ciągłego wyścigu technologii. My opracowujemy technologię, oni znajdują sposoby jej obejścia, my wprowadzamy zmiany, oni znowu szukają metod ominięcia zabezpieczeń. Ta gra będzie trwała nadal” - konkluduje Raj Samani.

Pojawiają się również głosy krytyczne, które podnoszą problem niskiej skuteczności rozwiązań typu sandbox przy niektórych atakach kierowanych. Ludzie ci uważają, że nawet sandbox nie zapewnia bezpieczeństwa, bo ta technologia stała się przestarzała i jest jedynie promowana przez dostawców. Raj Samani odpowiada: „Ludzie, którzy twierdzą, że sandbox nie działa, powinni zapoznać się z raportami takich firm jak NSS Labs. Powinni zobaczyć wyniki badań laboratoryjnych razem z niezależną ich weryfikacją. Nie musicie słuchać mnie – spojrzyjcie na oceny tej technologii zrobione przez firmy trzecie. Oni mówią, że to działa”.

(2) Czy bać się nieznanego?

Bardzo szybko zmieniające się zagrożenia spowodowane nowoczesnym złośliwym oprogramowaniem sprawiają, że tradycyjny antywirus jest wobec nich bezradny. Moduł HIPS również nie wykrywa wszystkich nowych zagrożeń, gdyż badacze opracowujący dla cyberprzestępców nowe eksploity potrafią te zabezpieczenia omijać, a większość antywirusów mogą wyłączyć. Nawet przed takimi zagrożeniami można się bronić, gdyż istnieje technologia, która umożliwi sprawdzenie plików, szczególnie załączników poczty elektronicznej. Nie można również zapominać o świadomości użytkowników, gdyż niejednokrotnie do udanego ataku potrzebna jest cyberprzestępcom jeszcze socjotechnika, by sprawnie manipulować ludźmi.

Raj Samani mówi: „Do ochrony przed nieznanym należy rozważyć użycie technologii bazujących na sandboxingu. Rozwiązania takie uruchomią plik i w kontrolowanym środowisku będą mogły stwierdzić, czy jest on podejrzany. W tym miejscu także należy wspomnieć o inteligencji. Ludzie mówią, że antywirus jest dziś powszechnie znanym standardem, nad którym nie trzeba się dodatkowo rozwodzić. Być może mają rację. Tę powszechność należy jednak uzupełnić o wiedzę i inteligencję, korzystając z różnych źródeł informacji, by obronić się przed działaniami socjotechnicznymi”.

(3) Obrona rozwiązań klasy SCADA

W wielu firmach znajdują się osobne dedykowane podsieci, w których pracują rozwiązania elektronicznego sterowania procesami automatyki przemysłowej. Sieci te przez wiele lat były odseparowane, ale są coraz częściej podłączane do Internetu. Wyniki wyszukiwań za pomocą wyszukiwarki Shodan dowodzą, że wiele takich urządzeń jest dostępnych bezpośrednio z Internetu, gdyż zostały dołączone do sieci na publicznych adresach IP.

Raj Samani wyjaśnia: „To, co powiem, może zabrzmieć kontrowersyjnie, ale obrona takich systemów jest prostsza, niż się powszechnie sądzi. Urządzenia sieci przemysłowych mają dość statyczną naturę, innymi słowy: my wiemy, jak one powinny pracować i co na nich może być uruchomione. Można zatem o wiele łatwiej niż w innych systemach IT utworzyć zasady dozwolonego użycia. To jest oczywiście wierzchołek góry lodowej. Należy uwzględnić wolniejszy cykl wprowadzenia poprawek, który wymaga współpracy z dostawcą. Nawet jeśli w tym rozwiązaniu są wykorzystywane systemy operacyjne, do których dostępne są aktualizacje, nie ich natychmiast wprowadzić, gdyż niezbędne są dodatkowe testy przeprowadzone przez producenta rozwiązania. W ten sposób wydłuża się cykl wprowadzania poprawek, ale biała lista ma sens i podobne podejście można zastosować”.


TOP 200