Ticho pred ransomvérom: Prečo pokoj neznamená bezpečie
Murphyho zákon použitý ako motto článku sa v oblasti IT bezpečnosti dá interpretovať tak, že ak ste vo firme dlhší čas nemali incident, môže to vypovedať nie o sile zabezpečenia, ale o strate ostražitosti. Mnohé firmy a organizácie považujú absenciu kybernetického incidentu za dôkaz, že ich systémy fungujú správne a bezpečne. Ak servery pracujú normálne a neobjaví sa žiadosť o výkupné, vedenie má tendenciu veriť, že všetko je v poriadku. V oblasti ransomvéru však ide o nebezpečnú ilúziu. Moderné útoky totiž často neprebiehajú ako náhla explózia, ale skôr ako pomalé a tiché prenikanie do systémov. Obdobie pokoja nemusí znamenať absenciu útočníka. Môže znamenať iba to, že útočník ešte neukázal svoje karty.
Útočníci často strávia v napadnutej infraštruktúre dni, týždne alebo dokonca mesiace ešte pred tým, než zaútočia naplno. Medzitým zbierajú informácie, mapujú sieť, získavajú administrátorské oprávnenia, vypínajú zálohovacie mechanizmy a hľadajú najcennejšie dáta. Samotné zašifrovanie je až posledná fáza operácie.
Trochu psychológie
Bezpečnostní analytici vypozorovali často sa vyskytujúci vzorec, že systém dlhodobo funguje bez problémov, vďaka čomu sa prehlbuje dôvera v jeho zabezpečenie a súčasne sa postupne oslabuje ostražitosť, napríklad tým, že sa znížia investície do zabezpečenia. A potom systém zlyhá napriek tomu, že všetci zainteresovaní tvrdili, že je v skvelej kondícii.
Tento vzorec je prirodzenou súčasťou ľudskej psychológie, takže sa pravidelne prejavuje aj v iných oblastiach, napríklad na finančných trhoch. Technik by to nazval zápornou spätnou väzbou. Narastanie pocitu bezpečnosti môže znížiť ostražitosť, prípadne aj investície do zabezpečenia, veď ak sa dlho nič nestalo, potom musia byť firemné bezpečnostné mechanizmy dostatočné a netreba investovať do ich zlepšovania, čo skôr či neskôr zvýši riziko napadnutia.
Priznajme si, že udržiavanie neustálej ostražitosti v prípade, že neexistuje viditeľná a akútna hrozba, je nákladné – aspoň z psychologického hľadiska. Ľudia nie sú stvorení na to, aby zostávali v strehu pred udalosťami, ktoré sa nezdajú bezprostredné.
Falošný pocit bezpečia
Firma môže fungovať úplne normálne, zatiaľ čo sa v jej systémoch už nachádza škodlivý kód alebo dokonca celý tím útočníkov pohybujúcich sa v internej sieti. Stav systému sa preto podobá známemu myšlienkovému experimentu Schrödingerovej mačky. V kvantovej fyzike je mačka v uzavretej krabici súčasne živá aj mŕtva, kým pozorovateľ neotvorí krabicu a nezistí skutočný stav. Podobne aj firma môže byť z pohľadu bezpečnosti súčasne „čistá aj kompromitovaná“. Pokiaľ neexistuje kvalitné monitorovanie, detailná analýza logov a aktívne vyhľadávanie hrozieb, nikto si nemôže byť istý, že sa útočník už v systéme nenachádza.
Treba si položiť dve základné otázky:
- Viete, či je vaše prostredie maximálne zabezpečené proti hrozbám, ktoré sa v súčasnosti šíria?
- Alebo viete len to, že máte zavedené základné kontrolné mechanizmy?
Mnohé firmy a organizácie odpovedajú na druhú otázku, pričom sa domnievajú, že odpovedali aj na tú prvú. Môžu sa spoliehať na rámce zabezpečenia súladu s predpismi, hoci tie nutne nekontrolujú, či sú opatrenia primerané moderným sofistikovaným hrozbám. Inak povedané, firma môže byť v súlade s predpismi a zároveň vystavená riziku.
Skryté pasce, ktoré bezpečnostné tímy prehliadajú
Formálny stav bezpečnosti firmy sa dá ľahko zmerať a za predpokladu, že všetko dopadne dobre, je takisto ľahké mať z neho dobrý pocit. Podobne ako v Murphyho zákone v úvode to môže znamenať, že bezpečnostné tímy niečo nepostrehli. Na dark webe sa medzitým môžu predávať prihlasovacie údaje zamestnancov alebo váš nástroj EDR môže byť za určitých okolností zneškodnený ľahko dostupným „anti-nástrojom“. Škody sa znásobujú v priebehu mesiacov a rokov, najmä v prípadoch, keď sa odcudzené údaje dostanú na špecializované stránky zamerané na úniky údajov. Verejné odhalenie firemných údajov samo osebe vyvoláva krízu, keďže zverejnené zmluvy, e-maily a osobné údaje sa stávajú podkladom pre následné útoky. Problém sa môže ešte zhoršiť, ak manažéri uvažujú o riziku spôsobom: Ak sa niečo nedá zmerať, tak na tom nezáleží.
Spoločnosť Verizon zistila, že domény 54 % obetí ransomvéru sa pred útokom objavili aspoň v jednom protokole programu na krádež údajov alebo v ponuke na nelegálnom trhovisku.
Tento druh slepého miesta najviac zasahuje spoločnosti, ktorých bezpečnostný systém nedokáže odhaliť stopy správania útočníkov, ako sú pokusy o deaktiváciu bezpečnostných procesov. Náprava si vyžaduje posilnenie viditeľnosti celého digitálneho prostredia firmy a použitie správnych nástrojov – takých, ktoré idú nad rámec potvrdenia, že sú zavedené kontroly, a upozorňujú na to, že sa niečo v prostredí správa podozrivo.
Prečo potrebujete komplexnejší prehľad o kyberzločine?
Keďže útočníci nikdy nezostávajú v pokoji, nemôžu si to dovoliť ani obrancovia. Informácie o hrozbách, najmä tie, ktoré poskytujú množstvo signálov o aktívnych kampaniach, môžu bezpečnostné nástroje „premeniť“ na detekcie a výstrahy, ktoré umožňujú bezpečnostným tímom reagovať včas. Bez nich sa môže priepasť medzi tým, čo si organizácia myslí o svojej bezpečnosti, a tým, čo je skutočne pravda, naďalej prehlbovať.
Väčšina bezpečnostných tímov nevidí celý reťazec kyberzločineckých útokov – infraštruktúru, nástroje či taktiky, techniky a postupy, ktoré stoja za narušeniami bezpečnosti. Aj napriek zavedeniu všetkých potrebných bezpečnostných kontrol môže dôjsť k útoku. Preto je dôležité mať komplexný prehľad o aktuálnych hrozbách, kyberzločineckých operáciách, o nástrojoch útočníkov, infraštruktúre, monetizačných stratégiách a operátoroch, ktorí útoky skutočne vykonávajú, nielen o známych ransomvérových skupinách.
Nemáme na mysli všeobecné informácie o hrozbách s minimálnym prínosom, ktoré treba prácne analyzovať na získanie potrebných informácií. Naproti tomu reporty o kyberzločine spoločnosti ESET umožňujú získať komplexnejší prehľad o monetizačných taktikách, infraštruktúre a správaní operátorov v praxi. ESET sa nezameriava len na známe ransomvérové skupiny, ale sleduje a zoskupuje operátorov – kriminálnikov, ktorí stoja za útokmi, a ponúka vám presné a praktické poznatky o ich operáciách v reálnom svete. Spracované poznatky zo skutočných incidentov bez zbytočných informácií uľahčujú bezpečnostným tímom odhaľovanie hrozieb a umožňujú účinné operatívne reakcie.
Reporty o kyberzločine vám pomôžu priorizovať ochranné opatrenia, odhaliť nedostatky v zabezpečení a overiť existujúce investície, pretavujúc zistené poznatky do jasných odporúčaní a pokynov na konfiguráciu.
Bezpečnostný tím môže na základe týchto informácií pripravovať mesačné súhrny pre vedúcich pracovníkov, v ktorých poskytuje prehľad najnovšej aktivity ransomvéru a infostealerov a upozorňuje na kľúčové trendy, významné incidenty a nové hrozby, aby mohli vyhodnotiť riziko a stanoviť priority, čo sa týka investícií do bezpečnostných opatrení.
ESET AI Advisor využíva komplexné poznatky o kyberzločine na vysvetlenie incidentov a správania útočníkov a bezpečnostným tímom a pracovníkom s rozhodujúcimi právomocami okamžite sprístupňuje cenné informácie o hrozbách.
Zobrazit Galériu
