Známe pravidlo hovorí, že najlepšou obranou je útok. V kyberpriestore to však neplatí. Teda neplatí to, ak nie ste štátom podporovaná skupina, či armáda a nerobíte to zo strategických dôvodov. My ostatní si musíme vystačiť s konvenčnými obrannými prostriedkami a na tzv. hack-back môžeme zabudnúť. Navyše by nám to v 99,9% prípadoch ani nepomohlo.
Čo nám ale pomôcť môže je pripravenosť. Preto sa v tejto sérii článkov pozrieme na to, ako sa poučiť z chýb minulosti a byť pripravený na (nielen) nové útoky v roku 2019.
Štandardné opatrenia – heslá, firewally, záplaty, vzdelávanie
Potreba bezpečných hesiel a využívania správcov hesiel by už mala byť každému jasná. S väčším množstvom únikov dát vidíme, že je potrebná aj multifaktorová autentizácia, kde navyše už nestačí SMSka na mobil, ktorý predstavuje len ďalšie zariadenie, ktoré je ľahko zneužiteľné. V súčasnosti sú prostriedky multifaktorovej autentizácie už oveľa dostupnejšie aj pre bežných užívateľov, čo umožňuje ich zaradenie do bežných bezpečnostných opatrení v organizácii.
Druhým opatrením je firewall, ktorý je dnes už štandardom snáď v každej spoločnosti. Bohužiaľ je však častokrát chybne chápaný ako niečo, čo slúži len ako stena medzi internetom a našou sieťou. Rovnako dôležité využitie firewallu však spočíva v segmentácii siete.
Príde nám samozrejmé, že z WiFi siete, do ktorej sa užívatelia pripájajú mobilom, by asi nemal byť povolený prístup do siete, v ktorej máme umiestnené dôležité servery alebo citlivé dáta. Koľko spoločností však má zodpovedajúce nastavenie na firewalle? Nehovoriac o tom, že o dôležitosti segmentácie sme sa už niekoľkýkrát presvedčili v roku 2017 pri útokoch WannaCry a NotPetya. Nesegmentované siete pri napadnutí týmto malwarom umožnili jeho rýchle šírenie v interných sieťach, čo malo za následok obrovské škody.
Nemenej dôležitým opatrením je záplatovanie. O tom sme sa tiež presvedčili nielen v roku 2017 pri WannaCry a NotPetya, ale aj v apríli a auguste roku 2018, kedy prebiehali globálne útoky na weby využívajúce CMS Drupal (tzv. Drupalgeddon) resp. webový framework Apache Struts. Tieto útoky zneužívali zraniteľnosti, ktoré boli opravené behom pár hodín po ich zverejnení. Napriek tomu bolo veľké množstvo webov hacknutých. Dôvodom bolo zanedbané záplatovanie.
Najmä v prípade užívateľského softvéru existuje veľmi málo výnimiek, ktoré môžu ospravedlniť nezáplatovaný softvér. V prípade softvéru používaného v kritickej infraštruktúre, v nemocniciach a ďalších kritických odvetviach je však situácia zložitejšia. Situáciu komplikuje nielen finančná náročnosť ale najmä v prípade vysoko špecializovaného softvéru nedostupnosť záplat, požiadavky na spätnú kompatibilitu, či vysoké nároky na dostupnosť zariadení, ktoré neumožňujú dôkladné záplatovanie softvéru daného zariadenia.
Dobrou správou však je, že aj v prípade, že nie je možné softvér dôkladne záplatovať, môžeme z toho plynúce riziká často znížiť vhodnou kombináciou ostatných bezpečnostných opatrení, ktoré zabránia zneužitiu prítomných zraniteľností.
Nesmieme zabudnúť ani na vzdelávanie. Na jednej strane s postupným zdokonaľovaním techník sociálneho inžinierstva prichádzame na to, že tvrdenie o tom, že užívateľ je najslabší článok, nemusí byť univerzálne platné. Na strane druhej je spearphishing stále najrozšírenejšou metódou útoku pokročilejších útočníkov a navyše aj veľmi úspešnou.
Vysokú úspešnosť môžeme okrem rafinovanosti útočníkov pripísať najmä slabo vzdelaným užívateľom. Veľké množstvo verejne dostupných dát o užívateľov len pomáha útočníkom, ktorí dokážu s použitím týchto dát dokonale oklamať užívateľa aby si nainštaloval malware alebo z neho dostať prístupové údaje. Veď kto by neklikol v e-maili o výpadku vody v posilovni, do ktorej bežne chodí, o čom informuje na svojom verejnom profile v Instagrame?
Endpoint riešenia
Kliknutím vo vyššie spomínanom e-maili si užívateľ práve nainštaloval do počítača malware, ktorý umožní útočníkovi zaznamenávať stisky kláves, podvrhnúť mu falošnú stránku internetbankingu alebo sa cez jeho počítač dostať k firemným dátam. Práve tomuto by sa dalo zabrániť pomocou vhodne zvoleného endpoint riešenia. Klasické EDR riešenia môžeme chápať jednoducho ako antivíry na steroidoch. Aj preto často s antivírmi splývajú napriek tomu, že ponúkajú viac funkcionality zameranej na pokročilých útočníkov namiesto komoditného malware.
Dobre zvolený EDR softvér dokáže na základe behaviorálnej analýzy a využitia AI zablokovať, alebo aspoň detekovať rôzne druhy malwaru a aktivít útočníka na napadnutom počítači a následne počítač „opraviť“ do zdravého stavu. To sa vzťahuje nielen na pokročilých útočníkov ale aj na celkom bežné spamové e-maily obsahujúce malware v prílohách, malware pochádzajúci z pochybných webových stránok či neštandardné spôsoby nákazy, ako napríklad malware z USB zariadení.
Ani EDR však nepredstavuje všeliek a sám o sebe nedokáže zabrániť 100% útokom. Veľkým problémom môže byť aj tzv. insider threat. Pod tým si môžeme predstaviť úmyselné poškodzovanie IT infraštruktúry alebo krádež citlivých dát, či sabotáž, ktorú dobrovoľne vykonáva samotný zamestnanec. Ak si k tomu domyslíme aktuálny trend presunu nielen dát ale aj infraštruktúry do cloudu, vyvstáva všeobecná požiadavka na riešenie problému správy prístupu.
Aj o tom ako riešiť správu prístupu si povieme v ďalšom článku z tejto série.
Dávid Kosť, Lead SOC Analyst, Axenta a.s.
