Wiodący dostawca technologii bezpieczeństwa IT, firma Balabit przeprowadziła ankietę wśród 494 ekspertów bezpieczeństwa IT, których poproszono o wskazanie najpopularniejszych metod wykorzystywanych przez cyberprzestępców, chcących w jak najkrótszym czasie uzyskać dostęp do wrażliwych danych firmy. Kluczowym wnioskiem wynikającym z ankiety jest fakt, że atakujący najczęściej dostają się do wewnętrznego systemu organizacji dzięki pomocy – zwykle nieświadomej – jej pracowników.
– Największym zagrożeniem dla firmy jest sytuacja, kiedy osoby spoza organizacji uzyskują dostęp do sieci wewnętrznej, ponieważ mogą one pozostać niewykryte przez wiele miesięcy. Firma Balabit pomaga organizacjom rozpoznać nieprzyjaciela i określić, czy z danego konta korzysta upoważniony użytkownik, czy zamaskowany haker. – mówi Zoltán Györkő, prezes firmy Balabit.
Ataki wewnątrz sieci bardziej niebezpieczne
54% respondentów odpowiedziało, że, zgodnie z ich doświadczeniami, organizacje nadal obawiają się „hakerów” włamujących się do ich sieci IT poprzez firewall. Jednocześnie ponad 40% z nich twierdzi, że narzędzia służące do obrony w pierwszej linii, takie jak właśnie zapory sieciowe, nie są wystarczająco skuteczne, aby powstrzymać atakujących. Ankietowanych zapytano także o to, które ataki uważają za groźniejsze – te dokonywane wewnątrz, czy z zewnątrz organizacji? Przy czym ataki inicjowane z zewnątrz, których celem jest pozyskanie kont uprzywilejowanych użytkowników, zakwalifikowane zostały do kategorii ataków wewnętrznych, ponieważ nie powiodłyby się, gdyby nie wykorzystanie kont osób z wewnątrz organizacji.
W przypadku naruszenia danych wrażliwych, drugorzędnym faktem jest, czy stało się to w wyniku nieświadomej czy celowej „pomocy” osoby z wewnątrz organizacji. Wyniki ankiety wskazują na ważny element skutecznej strategii obronnej: ponad 70% ankietowanych uważa ataki z wewnątrz organizacji za bardziej niebezpieczne i poważniejsze w konsekwencjach dla firmy.
Lista 10 najpopularniejszych metod stosowanych przez hakerów
Firma Balabit zbadała, które metody lub słabe punkty eksperci bezpieczeństwa IT uważają za najczęściej wykorzystywane przez cyberprzestępców do pozyskania wrażliwych danych w jak najkrótszym czasie.
- Inżynieria społeczna (np. phishing)
Większość atakujących dąży do uzyskania dostępu do konta użytkownika niższego szczebla i stopniowo rozszerza jego przywileje. Próby zidentyfikowania rzeczywistego pracownika organizacji i złamanie jego hasła są procesem powolnym, który pozostawia w systemie ślady (np. wiele dodatkowo wygenerowanych logów jako efekt zautomatyzowanych ataków) i znacznie zwiększa ryzyko wykrycia przez administratora podejrzanych aktywności. Dlatego hakerzy najczęściej korzystają z socjotechnicznych sposobów, aby skłonić użytkownika do niemal „dobrowolnego” udostępnienia im danych do konta i hasła.
– Niedawne naruszenie danych ponad 10 000 pracowników Wydziału Sprawiedliwości i Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych oraz ponad 20 000 pracowników Federalnego Biura Śledczego (FBI) jest kolejnym przykładem na to, że „wniknięcie” do organizacji z pomocą metod socjotechnicznych jest dla hakerów o wiele łatwiejszym zadaniem niż pisanie exploitów zero-day– powiedział Zoltán Györkő, prezes firmy Balabit. – Stosowanie tradycyjnych narzędzi kontroli dostępu i rozwiązań przeciwko złośliwemu oprogramowaniu jest konieczne. Jednak urządzenia te chronią wrażliwe dane firmy tylko wtedy, gdy atakujący znajdują się poza siecią. Natomiast, jeśli uda im się włamać do systemu, nawet korzystając z konta pracownika niższego szczebla, potrafią łatwo rozszerzyć swoje uprawnienia i uzyskać uprzywilejowany lub umożliwiający pełną kontrolę dostęp do sieci firmowej. Kiedy tak się stanie, nieprzyjaciel znajdzie się wewnątrz systemu, stanowiąc znacznie większe zagrożenie, ponieważ wydaje się, że jest jednym z nas.
– Te przejęte konta (kiedy nazwa użytkownika i hasło zostały niewłaściwie użyte) można wykryć jedynie na podstawie analizy zachowania użytkownika, np. czasu logowania i lokalizacji, prędkości pisania, używanych poleceń. Narzędzia służące do takich analiz tworzą profil zachowania pracownika, który jest unikatowy, jak odciski palców, potrafią łatwo wykryć nietypowe działanie użytkownika i ostrzec zespół zabezpieczeń lub zablokować czynności użytkownika aż do odwołania – dodał Györkő.
- Przejęte konta (np. słabe hasło)
Przejęte konta, zwłaszcza te o słabych zabezpieczeniach, są niebezpieczne, ponieważ użytkownicy często używają prostych haseł, czasami tych samych zarówno do kont firmowych, jak i prywatnych. Jeśli haker może pozyskać hasło użytkownika z mniej zabezpieczonego systemu (np. poprzez prywatne konto na portalu społecznościowym), to może łatwo wykorzystać je do zalogowania się do sieci firmowej.
- Ataki webowe (np. SQL/ Command injection)
Luki w zabezpieczeniach aplikacji internetowych, wykorzystywane w atakach typu SQL injection wciąż plasują się wysoko w rankingach popularnych metod hakerskich, głównie dlatego, że aplikacje są pierwszymi „drzwiami” do zasobów firmy zarówno dla osób z wewnątrz, jak i spoza organizacji, zapewniając tym samym ogromny zasięg ataku. Niestety jakość kodów aplikacji z punktu widzenia bezpieczeństwa nadal jest wątpliwa. Tymczasem istnieje wiele zautomatyzowanych skanerów, które pozwalają hakerom łatwo wykryć słabe punkty aplikacji.
Pozostałe metody hakerskie (podane poniżej) także mogą przynieść atakującym korzyści, ale ze względu na to, że są nieco bardziej skomplikowane lub czasochłonne (np. napisanie exploitu wymaga dobrych umiejętności kodowania) znalazły się na dalszych pozycjach w zestawieniu:
- Ataki ze strony klienta końcowego (np. dot. przeglądarek internetowych)
- Exploity przeciwko popularnym aktualizacjom serwerów (np. OpenSSL, Heartbleed)
- Brak zarządzania osobistymi urządzeniami (np. brak polityki BYOD)
- Fizyczne wtargnięcie
- Shadow IT ( wykorzystywanie do celów służbowych prywatnych usług w chmurze)
- Zarządzanie siecią przez zewnętrznych dostawców (np. outsourcing infrastruktury)
- Wykorzystywanie danych zamieszczonych w chmurze (np. IAAS, PAAS)
Podsumowanie
Niezależnie od źródła ataku, zaprezentowana lista 10 najpopularniejszych metod hakerskich wyraźnie pokazuje, jak ważna dla bezpieczeństwa danych w firmie jest wiedza, co dzieje się w sieci w czasie rzeczywistym: kto posiada dostęp i do jakich danych, z jakiej nazwy użytkownika i jakiego hasła korzysta, oraz kto ustala, czy dana osoba jest zaufanym użytkownikiem, czy może agresorem z zewnątrz, atakującym sieć za pomocą przejętego konta.
Taką wiedzę można zdobyć jedynie poprzez wsparcie istniejącego systemu bezpieczeństwa (kontrola dostępu i zarządzanie hasłami), obserwacją aktywności użytkowników sieci w czasie rzeczywistym. Monitoring pozwoli wychwycić nietypowe zachowania i nie tylko zaalarmuje w przypadku podejrzanych działań, ale także może natychmiast zareagować na niebezpieczne zdarzenie i zablokować dalsze działania.
Jak pokazują wyniki ankiety, nie wystarczy zabezpieczyć się przed atakującym z zewnątrz. Konieczna jest również identyfikacja nietypowych zachowań naszych użytkowników, ponieważ nigdy nie wiadomo, kto rzeczywiście korzysta z konta.