Większość współczesnych cyberataków zaczyna się od włamania do systemu. Dochodzi do niego, gdy atakujący wykorzystuje skradzione dane uwierzytelniające. Po dostaniu się do sieci wewnętrznej przedsiębiorstwa przestępcy mogą pozostawać w niej niezauważeni nawet przez wiele miesięcy. W tym czasie przeprowadzają rekonesans.
– Wszystkie zdobyte przez cyberprzestępców informacje mogą zostać wykorzystane do kradzieży danych, sabotażu systemu lub innej formy potencjalnie wyniszczającego ataku. Dlatego tak ważne jest to, by jak najszybciej wykryć włamanie do systemu i nie dać cyberprzestępcy czasu na zebranie jakichkolwiek istotnych danych. Kluczowe staje się skanowanie ruchu wewnętrznego oraz ruchu wychodzącego – tłumaczy Mateusz Ossowski, CEE Channel Manager w firmie Barracuda Networks, która jest producentem rozwiązań z obszaru bezpieczeństwa IT.
Im szybciej firma wykryje i zneutralizuje włamanie do systemu, tym bardziej ograniczy ostateczne szkody. Wydajne systemy wykrywania włamań i prób dostępu do systemu (IDS), które wykorzystują uczenie maszynowe do monitorowania ruchu wewnętrznego i wychodzącego oraz identyfikacji anomalii, mogą w znacznym stopniu skrócić czas przebywania atakującego w firmowej sieci.
Zdalny pulpit i VPN
Najczęściej zdarzają się dziś włamania za pomocą protokołu zdalnego pulpitu (RDP) i sieci VPN (Virtual Private Network). Narzędzia te są powszechnie stosowane i wykorzystywane w pracy zdalnej i hybrydowej. Ogromna liczba połączeń VPN i RDP używanych przez organizacje wszystkich typów daje cyberprzestępcom niemal nieograniczone pole działania.
Wiele z tych połączeń ma słabe lub nie ma żadnych mechanizmów uwierzytelniania użytkowników, co otwiera drogę do ataków typu “brute force”. Co więcej, bardzo wiele danych uwierzytelniających RDP i VPN zostało już skradzionych i jest dostępnych dla przestępców w Darknecie, czyli ukrytej, niewidocznej dla standardowych przeglądarek sieci. Często w bardzo przystępnych cenach.
– Skuteczne strategie bezpieczeństwa muszą zakładać, że kontrola dostępu oparta na nazwie użytkownika i haśle nie jest już wystarczająca. Szansę powodzenia w walce z atakującymi daje dziś Zero Trust, czyli podejście zakładające, że każdy, kto próbuje wejść do naszego systemu, może być wrogiem. Systemy dostępu oparte na Zero Trust nieustająco monitorują próby logowania w powiązaniu z lokalizacją geograficzną, adresem IP, godziną i datą, zasobami, z którymi użytkownik się łączy, oraz zgłaszają wszelkie odstępstwa od standardowych zachowań. Dzięki temu skuteczniej zapobiegają włamaniom i ich skutkom niż tradycyjne metody uwierzytelniania, a nawet mechanizmy uwierzytelniania wieloskładnikowego – tłumaczy Mateusz Ossowski.
Phishing i zagrożenia wewnętrzne
Phishing także pozostaje bardzo popularnym sposobem kradzieży firmowych danych uwierzytelniających. Cyberprzestępcy po prostu oszukują użytkowników, w wyniku czego ci ostatni sami ujawniają swoje dane. Phishing jest zatem uważany za podstawowy przykład zagrożenia wewnętrznego – to znaczy pochodzącego od użytkowników, którzy nie są wystarczająco przeszkoleni w identyfikowaniu podejrzanych lub złośliwych wiadomości e-mail.
Nowoczesne systemy szkoleń z zakresu świadomości bezpieczeństwa, wykorzystujące częste symulacje ataków phishingowych, są bardzo skutecznym sposobem na zmniejszenie ryzyka wtargnięcia do systemu opartego na phishingu. Dobrze przeszkoleni użytkownicy stają się dodatkową warstwą zabezpieczeń.
Niezaktualizowane systemy i oprogramowanie
Cyberprzestępcy nieustająco poszukują nieaktualizowanych elementów systemów. Poprawki i aktualizacje przygotowywane przez dostawców oprogramowania mają chronić użytkowników systemów przed nowymi podatnościami bezpieczeństwa. Jeśli firma nie aktualizuje swojego oprogramowania, staje się łatwym celem dla przestępców, którzy wyszukują i wykorzystują podatności do przeniknięcia do sieci wewnętrznej organizacji.
Po wejściu do niej rozpoczynają działania rozpoznawcze, które mogą skutkować naruszeniem danych lub innym kosztownym atakiem.
Odpowiedź – wiedza ekspercka
Wyzwaniem dla firm jest dziś zapobieganie włamaniom do ich systemów i sprawne oraz szybkie wykrywanie ewentualnych naruszeń. Jak to robić skutecznie?
– Najważniejsze jest zastosowanie kompleksowego zabezpieczenia całej powierzchni ataku. A to oznacza zintegrowaną ochronę poczty elektronicznej, aplikacji i sieci. Warto rozważyć wdrożenie platformy XDR, która zapewnia nieustanne monitorowanie sieci i szybką, automatyczną reakcję na incydenty. Takie rozwiązania dostępne są także w modelu usług zarządzanych, co pozwala zredukować koszty firmowej infrastruktury IT – podsumowuje Mateusz Ossowski z Barracuda Networks.
Także Marcin Zemła, ekspert projektu MdS (MiŚOT dla Security) podkreśla, że punktem wyjścia do bezpieczeństwa firmy jest wiedza i zaufanie do ekspertów. Zachęca przy tym także do skorzystania ze szkoleń organizowanych przez MdS oraz do udziału w Zjazdach MiŚOT.
Źródło: informacja prasowa, materiały własne
