Skorajda ne mine mesec, ko nas kibernetski kriminalci ne opomnijo na svojo navzočnost. Razmišljanje, da so slovenska podjetja premajhna in posledično manj ali celo nezanimiva za napadalce, ne drži. Vsako podjetje ima podatke in finančna sredstva. Torej ima tudi tarčo na svojem »digitalnem hrbtu«.
Februarja smo bili znova opomnjeni, da so kibernetski napadi, vdori v sisteme in kraje podatkov realnost sodobnega časa. Napadalci pri svojih napadih nimajo zadržkov niti omejitev. Nikakor ne moremo računati, da je posamezno podjetje zanje nezanimivo in da po odprtju vrat ne bodo »šli do konca«, če jim bo to možnost ponudilo. Prav zato objavljamo kratek povzetek aktualnih napadov s komentarjem varnostnega strokovnjaka.
1. korak: pošiljanje okuženega e-sporočila
Napadalec je zaposlenim v podjetju na elektronske naslove poslal zlonamerno elektronsko sporočilo. Samo sporočilo je bilo zelo dobro pripravljeno, bilo je mikavno in napisano v pravilni slovenščini, kar daje vedeti, da se je napadalec (ali skupina napadalcev) na napad temeljito pripravil in da je med njimi tudi človek »slovenskih korenin«. Sporočilo je vsebovalo zlonamerno priponko, ki je ob odprtju oziroma zagonu sprožila avtomatiziran napad.
»Ta prvi korak je v praksi težko preprečiti, človeška radovednost je zelo močno čustvo. Vendar to še ne pomeni, da si podjetja ne bi morala prizadevati za boljšo 'kibernetsko odpornost' zaposlenih. Statistika jasno kaže, da so podjetja, ki se trudijo zagotoviti varnost z izdatnim izobraževanjem zaposlenih, občutno manjkrat napadena,« pojasni Vladimir Ban, etični heker, ki deluje v varnostno operativnem centru podjetja A1 Slovenija.
Kako to preprečiti? Poleg že omenjenega izobraževanja zaposlenih, da prepoznajo možne napade in se ustrezno odzovejo (ne odpirajo priponk), je mogoče na strani obrambe vpreči tudi tehnologijo. Sodoben sistem za analizo elektronske pošte bo takšno grožnjo zaznal in ustavil. Je pa res, da ga nima vsako podjetje. Kot bomo videli v nadaljevanju, bi že nekaj dobrih praks s področja informacijske varnosti ne le zajezilo, temveč tudi preprečilo napad. Ena najbolj osnovnih je že sama nastavitev delovnih postaj in računalnikov, ki bi uporabnikom morala onemogočati prosto zaganjanje morebitno nevarnih datotek.
2. korak: prevzem nadzora nad računalnikom
Ko se je zlonamerna datoteka sprožila, se je na delovni postaji »začelo dogajati«. Zagnala je različne procese in aplikacije, ki so napadalcu dajali vse več dostopa do delovne postaje, hkrati pa so se sprožili tudi procesi, ki so začeli slediti vnosom uporabnika in iskati shranjena uporabniška imena in gesla.
»V tem koraku je napadalec v resnici že vdrl v računalnik in omrežje podjetja. Ampak kljub temu sam napad še ni v kritični fazi. Napadalec ima 'samo' dostop do delovne postaje, želi pa pridobiti čim več informacij ter svoj dostop do omrežja narediti bolj trajen,« komentira Ban in dodaja: »Znova so se za problematične izkazali preobsežne pravice uporabnikov na delovnih postajah, nezadostno varovanje in odsotnost nadzora protivirusne zaščite.«
Ker zna zlonamerna programska koda XLoader, ki je bila uporabljena v februarskih napadih na večje število slovenskih podjetij, poleg kraje podatkov tudi skrivati sledi in se izogibati odkritju, je brez napredne varnostne opreme v tem koraku napadalec skoraj neviden skrbnikom.
3. korak: spoznavanje informacijskega sistema
Ko je napadalec enkrat »zasidran« na delovni postaji, začne dostopati globlje v informacijski sistem. Njegov končni cilj je pridobitev gesel glavnih strežnikov in aplikacij. Lahko bi rekli, da napadalec v tem koraku spoznava informacijski sistem podjetja, išče točke dostopa ter morebitne razpoke in ranljivosti. Napadalci tako iščejo deljene mape z gesli, celo poskušajo uganiti šibka gesla in k sebi pretočiti več podatkov podjetja, ki bi lahko bili podlaga za izsiljevanje z odkupnino.
Podjetja brez naprednih varnostnih sistemov, katerih naloga je, da stalno in predvsem aktivno iščejo morebitne napadalce in anomalije v omrežjih in sistemih, v tej točki še vedno ne vedo, da so napadena.
4. korak: napad na glavne sisteme
Napadalec je prišel do gesel glavnih sistemov. Zdaj mora le še pripraviti ustrezen napad in ga sprožiti tako, da skrbniki IT-okolja ne bodo mogli pravočasno odreagirati.
»Napadalec v tej točki že ima gesla, zato je uspešen napad skoraj neizogiben. A tudi v tej točki bi bilo napad še mogoče preprečiti, če bi skrbniki uporabljali večnivojsko avtentikacijo z enkratnimi gesli. S takšno varovalko je namreč dokončanje napada zelo težavno, brez nje pa žal zelo preprosto,« sklene Ban.
Da, lahko se zgodi tudi vam, že jutri
Prav je, da se zavedamo pomena varnosti informacijskih sistemov. Napadi, ki so se zgodili pred kratkim, dokazujejo, da so grožnje resne in resnične. Zato morajo podjetja poskrbeti, da so njihovi varnostni sistemi ter mehanizmi optimalno »postavljeni« ter da celotno IT-okolje premore in upošteva priporočena varnostna pravila.
Za vsako podjetje je zato več kot priporočljiva uvedba sodobnih nadzornih sistemov in orodij, takšnih, ki aktivno iščejo napadalce in škodljive kode, prepoznali jih boste po kratici XDR (ang. Extended Detection and Response). Podjetja z ustrezno zaščito so se namreč opisanega napada ubranila že v prvih korakih.
»V svojo digitalno obrambo lahko vključite še varnostno operativni center, ki proaktivno spremlja aktivnosti, preprečuje napade in razrešuje varnostne dogodke, obenem pa je priporočeno tudi letno izvajanje varnostnega pregleda infrastrukture,« sklene Ban.