O efektach specjalizacji działań cyberprzestępców i nowych sposobach ich działania, potrzebnie podnoszenia świadomości użytkowników biznesowych oraz podejściu do bezpieczeństwa IT mówi David Brillat, Sales Engineering Manager w firmie Forcepoint.
Na jakiego rodzaju informacje najczęściej „polują” cyberprzestępcy?
Wektor ataku to zwykle pochodna rodzaju działalności prowadzonej przez daną firmę. Każda powinna w indywidualny sposób – w oparciu o znaczenie danych dla biznesu – ocenić krytyczność poszczególnych rodzajów danych. Warto zastanowić się jakie efekty może mieć wyciek różnych rodzajów informacji. Może to być utrata wizerunku, pozycji konkurencyjnej, szans rynkowych, czy efektów prowadzonych badań. W miarę jednak jak na czarnym rynku przybywa wykradzionych różnym podmiotom danych, ich wartość maleje.
Tym, co w szczególny sposób interesuje cyberprzestępców są dane osobowe. Im bardziej kompletne, tym więcej warte. Dotyczy to także informacji na temat stanu zatrudnienia, obsady stanowisk oraz danych umożliwiających wytypowanie osób, które staną się celem kolejnych ataków. Na kradzieży danych osobowych koncentrują się przede wszystkim ataki ogólnego zasięgu. Przykładowo, coraz częściej atakowane są jednostki służby zdrowia. Są one – z perspektywy cyberprzestępców – perspektywiczne. Jeśli chodzi o wartość zgromadzonych danych prywatnych nie ustępują znacząco sektorowi finansowemu, a są od niego zdecydowanie mniej dojrzałe jeśli chodzi o podejście do ochrony informacji poufnych. Nie należą do rzadkości również wyspecjalizowane, precyzyjnie ukierunkowane ataki zlecone.
Aby włamać się do firmowej infrastruktury informatycznej cyberprzestępcy najczęściej wykorzystują ataki prowadzone za pośrednictwem witryn internetowych lub poczty elektronicznej. Jednocześnie, skoro ataki stają się coraz bardziej złożone, to można być niemal pewnym, że prędzej, czy później cyberprzestępcy faktycznie dostaną się do firmowej infrastruktury. Krytyczna staje się więc ochrona ruchu wychodzącego – tak, aby żadne z poufnych informacji nie wyciekły z organizacji i to pomimo naruszenia jej bezpieczeństwa.
W jaki sposób w ostatnich miesiącach zmienił się charakter i sposób prowadzenia ataków wymierzonych w bezpieczeństwo firmowych środowisk IT?
Cyberprzestępcy korzystają z coraz bardziej zaawansowanych i wyrafinowanych narzędzi. Działają też w sposób bardziej wyspecjalizowany, wręcz skomercjalizowany. Różne, dobrze zorganizowane grupy specjalizują się w odmiennych rodzajach działań i etapach ataków. Skala zagrożeń systematycznie wzrasta. Po drugiej stronie barykady znajdują się zaś dziś organizacje, które często posiadają wiele, różnego rodzaju narzędzi z zakresu bezpieczeństwa IT. Często nie dysponują one jednak wystarczającą ilością zasobów, aby skutecznie zarządzać setkami incydentów bezpieczeństwa i efektywnie wykorzystywać posiadane rozwiązania ochrony. Potrzebna staje się tu zmiana podejścia do bezpieczeństwa IT.
Na czym więc polega Państwa propozycja podejścia do bezpieczeństwa IT?
Tworzymy mechanizmy analityczne, które – dzięki przetwarzaniu danych wewnętrznych oraz tych, pochodzących spoza organizacji – będą w stanie wspierać firmy w podejmowaniu racjonalnych działań z zakresu bezpieczeństwa. Koncentrujemy się na rozwijaniu – działających w czasie rzeczywistym – systemów monitorowania bezpieczeństwa opartych o specyficzne metryki. Dostarczamy też narzędzia pozwalające łatwo i trafnie zinterpretować uzyskane w ten sposób informacje.
Chodzi o to, aby osobom odpowiedzialnym za bezpieczne funkcjonowanie infrastruktury zapewnić narzędzia pozwalające wcześnie wykrywać i neutralizować zagrożenia, zanim będą one eskalowane do rangi poważnych incydentów. Inaczej mówiąc, lepiej jest mieć 100 atakujących, którym uda się dostać do naszej sieci na kilka minut, niż jednego, buszującego w niej bez naszej wiedzy przez pół roku. Aby takie podejście było realne, niezbędna staje się możliwość szybkiego oszacowania ryzyka i zrozumienia skali szkód potencjalnie powiązanych z każdym z wykrywanych incydentów. Dlatego wprowadzamy na rynek nowe rozwiązania, wyposażone w rozbudowaną warstwę wizualizacji i kontekstowego informowania o incydentach. Pokazujemy klientowi, że ma dziś 5 incydentów bezpieczeństwa, ale jeden z nich ma krytyczne znaczenie i to nim powinien zająć się natychmiast.
Jakie elementy środowiska IT statystycznej firmy powinny zostać lepiej zabezpieczone?
Zakładamy, że podstawą bezpieczeństwa każdej organizacji powinna być ochrona kanałów, za pośrednictwem których najczęściej realizowane są ataki. Aby włamać się do firmowej infrastruktury informatycznej cyberprzestępcy najczęściej wykorzystują ataki prowadzone za pośrednictwem witryn internetowych lub poczty elektronicznej. Jednocześnie, skoro ataki stają się coraz bardziej złożone, to można być niemal pewnym, że prędzej, czy później cyberprzestępcy faktycznie dostaną się do firmowej infrastruktury. Krytyczna staje się więc ochrona ruchu wychodzącego – tak, aby żadne z poufnych informacji nie wyciekły z organizacji i to pomimo naruszenia jej bezpieczeństwa. Z naszych analiz wynika, że w 99% przypadków szkodliwy kod, już w ciągu kilku minut po zainfekowaniu komputera będzie próbował zainicjować połączenie z serwerem Command & Control – aby zgłosić działanie, pobrać dodatkowe elementy kodu lub wysłać wykradzione dane.
W sytuacji, gdy stosowane przez cyberprzestępców narzędzia dysponują funkcjami pozwalającymi na ominięcie mechanizmów sandboxingu, znaczenia nabierać będzie analiza kodu wykonywanego na poziomie CPU. Warto też zwrócić uwagę na ochronę urządzeń podłączonych do Internetu Rzeczy. Budowa tej infrastruktury i fakt wykorzystania urządzeń wyspecjalizowanych na poziomie sprzętu i warstwy oprogramowania, mogą oznaczać, że większość ataków będzie ukierunkowana na warstwę sieci.
Przy takim podejściu potrzebna staje się całościowa analiza ruchu pozwalająca ocenić, jakie elementy infrastruktury zostały zaatakowane oraz jakie są efekty tych ataków także w warstwie biznesowej. Pozwala to zrozumieć kontekst poszczególnych incydentów. Krytyczne znaczenie ma więc ochrona wszystkich warstw – sieci, poczty elektronicznej oraz danych. Stawiamy też nacisk na to, aby zapewnienie właściwych informacji oraz wskazanie, które obszary wymagają pilnej interwencji, odbywało się w sposób automatyczny. Poza silnikami przetwarzania, kluczowe znaczenie ma tu warstwa prezentacji. Informacje na temat wykrytych zdarzeń, połączone z danymi generowanymi przez inne rozwiązania bezpieczeństwa – jak SIEM, czy IPS – pozwalają na zapewnienie użytkownikom łatwego, kontekstowego dostępu do informacji o aktualnej sytuacji.
Jak zmieniać będą się mechanizmy analityczne wbudowane w systemy bezpieczeństwa?
W sytuacji, gdy stosowane przez cyberprzestępców narzędzia dysponują funkcjami pozwalającymi na ominięcie mechanizmów sandboxingu, znaczenia nabierać będzie analiza kodu wykonywanego na poziomie CPU. Warto też zwrócić uwagę na ochronę urządzeń podłączonych do infrastruktury Internet of Things. Potencjalnie, stanowią one szerokie źródło danych. Tego typu infrastruktura będzie więc stawać się celem ataków. Jej budowa i fakt wykorzystania urządzeń wyspecjalizowanych na poziomie sprzętu i warstwy oprogramowania, mogą oznaczać, że większość ataków będzie ukierunkowana na warstwę sieci.
Gdyby miał Pan zaproponować uniwersalną receptę na zwiększenie bezpieczeństwa firmowych danych, to jaki element systemu ochrony byłby jej podstawą?
Nawet najlepsze i najbardziej rozbudowane systemy bezpieczeństwa nie zadziałają bez zaangażowania użytkowników systemów biznesowych. Potrzebne staje się dziś edukowanie ich. Muszą zdawać sobie oni sprawę ze skali zagrożeń i – w obliczu potencjalnych ataków – podejmować racjonalne działania. Podnoszenie świadomości użytkowników powinno być elementem strategii bezpieczeństwa zwłaszcza w czasach, gdy ataki stają się coraz bardziej złożone, a do ich umożliwienia wystarczy, że konkretna osoba, w konkretnym momencie kliknie w link zawarty w spreparowanej wiadomości e-mail. Często niezbędna staje się zmiana sposobu pracy, procesów biznesowych i kultury organizacyjnej. Może być to cena bezpieczeństwa firmowych danych.
