5 lekcji, które powinniśmy wynieść z ubiegłego roku w celu poprawy bezpieczeństwa w 2021
Data publikacji: 11.01.2021
Ubiegły rok był wyjątkowy dla wszystkich, także specjalistów zajmujących się cyberbezpieczeństwem.
Pomimo tego, że pandemia pokrzyżowała wiele planów oraz zafundowała niespodziewane zdarzania, możemy wyciągnąć z tego doświadczenia kilka bardzo ważnych lekcji, na przykład dotyczących zachowania bezpieczeństwa w sieci.
Potrzeba szybkiego przejścia w tryb pracy zdalnej i zmiana w sposobie obsługi klienta, jeszcze bardziej podkreśliły znaczenie cyfrowej transformacji oraz krytyczną potrzebę skutecznego cyberbezpieczeństwa. Stawka nie może być większa: ryzyko cybernetyczne w dzisiejszym środowisku jest niczym innym jak wyzwaniem egzystencjalnym dla organizacji.
A więc, czego konkretnie nauczyliśmy się w ciągu ostatnich 12 miesięcy, co może sprawić, że rok 2021 będzie bezpieczniejszy i pełen sukcesów dla nas wszystkich?
1. Cyberprzestępcy idealnie dopasowują swoje działania do panującej sytuacji
W marcu firma Barracuda Networks odnotowała 667-procentowy wzrost liczby e-maili phishingowych związanych z pandemią COVID. Z czasem ta liczba spadła, jednak uzmysłowiła nam coś bardzo ważnego: cyberprzestępcy są mistrzami w dostosowywaniu swoich kampanii w celu uzyskiwania maksymalnych wyników działań. Odnotowano próby kradzieży danych osobowych przy użyciu podszywania się pod podmioty związane z pandemią, wykorzystywano na przykład fałszywe powiadomienia rządowe i WHO. Nakłaniano użytkowników do wysyłania pieniędzy na „fundacje charytatywne” oraz inne organizacje walczące z wirusem. Podjęto nawet próby wykorzystania okoliczności pandemii do przeprowadzania ataków BEC.
Pamiętajmy, że cyberprzestępcy reagują najszybciej, a więc zawsze musimy być przygotowani do obrony. W tym celu powinniśmy stosować wielowarstwowe zabezpieczenia poczty e-mail obejmujące:
– ochronę linków URL,
– kontrolę reputacji,
– analizę behawioralną,
– emulację procesora w piaskownicy,
– narzędzia oparte na sztucznej inteligencji.
Nie zapominajmy, że wszystkie te narzędzia ochrony muszą iść w parze ze zwiększaniem świadomości bezpieczeństwa wśród pracowników.
2. SD-WAN zyskuje na znaczeniu w trakcie „lockdownu”
W kwietniu 2020, czyli w szczytowym okresie pandemii, mniej więcej połowa Brytyjczyków pracowała z domu. Podobne statystyki powtórzyły się w Stanach Zjednoczonych i całej Europie. Ze względu na to, że każdy pracownik zdalny ma teraz własne, odrębne biuro, kwestia SD-WAN stała się jeszcze bardziej istotna. Podczas gdy VPNy zmagają się z nagłym wzrostem ruchu, a cyberprzestępcy coraz bardziej koncentrują się na słabych punktach w bezpieczeństwie pracowników zdalnych, architektura sieci zaczyna nabierać coraz większego znaczenia. Raport Barracuda Networks z czerwca ujawnił, że 23% globalnych firm zdążyło już wdrożyć SD-WAN, a kolejne 51% jest w trakcie wdrażania lub planuje to zrobić w przeciągu najbliższych 12 miesięcy.
Właściwie wdrożone rozwiązanie SD-WAN może obniżyć koszty i znacznie zwiększyć wydajność połączeń między lokacjami oraz między lokacjami a chmurą. Ważne, aby od samego początku bezpieczeństwo było budowane narzędziami jednego dostawcy, zamiast wdrażania oddzielnego urządzenia lub usługi w chmurze.
3. Atakujący wykorzystujący ransomware często „polują na grubego zwierza”
Termin „polowanie na grubego zwierza (ang. “big-game hunting”) powstał w 2019 roku i odnosi się do grup cyberprzestępców wykorzystujących ataki typu ransomware przeciwko dużym firmom, przypominające kampanie APT (ang. advanced persistent threat). Wraz z pojawieniem się pandemii, liczba takich organizacji zaczęła gwałtownie wzrastać, a ich celem stały się zdalne punkty dostępowe (np. dla RDP). Na ich korzyść działa fakt, że obecnie zespoły bezpieczeństwa są często pochłonięte innymi pilnymi zadaniami, na przykład w miejscach takich jak szpitale, gdzie główny wysiłek wszystkich pracowników skupia się na ratowaniu zdrowia i życia pacjentów.
Atakujący w ten sposób mogą wykorzystywać tzw. „techniki życia poza lądem (ang. „living off the land”), aby pozostać w ukryciu, kraść dane uwierzytelniające do ich późniejszego wykorzystania i wydobywać informacje w celu „podwójnego wymuszenia”. W związku z tym należy pamiętać, aby ciągle zwiększać poziom zabezpieczeń, najlepiej stosując: narzędzia wykorzystujące sztuczną inteligencję bazującą na behawioralnych metodach wykrywania ataków phishingowych, skanery podatności w celu wykrywania luk w wystawionych systemach i aplikacjach oraz zaawansowane zapory ogniowe do wykrywania nietypowego ruchu wewnętrznego. Warto uzupełnić wszystko o kopie zapasowe zgodnie z najlepszym modelem 3-2-1.
4. Coraz częściej spotykamy się z atakami na aplikacje internetowe przez zwiększony ruch użytkowników w Internecie
Pandemia wymusiła na wielu organizacjach potrzebę docierania do klientów w nowy sposób. Wystarczy pomyśleć o swojej lokalnej restauracji, która obecnie musi sprzedawać produkty i gotowe dania online, aby utrzymać się na powierzchni. Aplikacje internetowe były w tym roku sercem wielu pośpiesznie opracowanych strategii cyfrowych, jednak stanowiły również rosnące zagrożenie dla organizacji. Według najnowszego raportu firmy Verizon „Data Breach Investigations Report”, serwery aplikacji internetowych stały się celem około 40% analizowanych naruszeń, ponadto były wektorem ataków hakerskich w ponad 80% przypadków włamań, realizowanych z wykorzystaniem ujawnionych podatności w zabezpieczeniach, czy też ataków typu Credential Stuffing (kradzież danych dostępowych) lub metodą Brute Force (w celu złamania słabych haseł).
Skutecznie przeprowadzony atak na aplikację internetową może prowadzić do zablokowania jej działania, przejęcia kont klientów/użytkowników lub naruszenia (kradzieży, utraty) danych. Aby zapobiec wynikającym z tego szkodom finansowym i reputacyjnym, organizacje zachęcane są przede wszystkim do inwestowania w zapory sieciowe aplikacji internetowych (narzędzia typu Web Application Firewall). Wiele z tych rozwiązań jest już dostępnych jako usługa (ang. as-a-service).
5. Gdy VPN przestaje dawać radę, Zero Trust wchodzi do gry
Jak już wspomniano, sieci VPN zostały bardzo mocno nadwyrężone podczas pandemii. Systemy obciążone zwiększoną liczbą użytkowników okazały się wąskim gardłem w zabezpieczeniach, a nie czynnikiem umożliwiającym bezpieczne prowadzenie biznesu. Problem stanowią zarówno opóźnienia w scentralizowanej infrastrukturze sieciowej, jak i ograniczona możliwość dostarczania użytkownikom końcowym (pracownikom zdalnym) odpowiednich aktualizacji bezpieczeństwa.
W niektórych przypadkach cyberprzestępcy wykorzystują luki w sieciach VPN, aby dostać się do sieci korporacyjnych. Prawdą jest też, że do VPN może uzyskać dostęp każdy haker, któremu udało się zdobyć (dzięki phishingowi) dane logowania użytkownika lub przeprowadzić z sukcesem atak typu Brute Force.
Dlatego też coraz więcej organizacji poszukuje wsparcia w rozwiązaniach typu Zero Trust do obsługi infrastruktury IT opartej na chmurze oraz rozproszonej siły roboczej. Wtórując zasadzie „nigdy nie ufaj, zawsze sprawdzaj”, model Zero Trust opiera się na uwierzytelnianiu wieloskładnikowym (ang. MFA – multi-factor authentication) oraz polityce najmniejszego uprzywilejowania, aby tylko uprawnieni użytkownicy i urządzenia mieli dostęp do potrzebnych im zasobów korporacyjnych. Rozwiązanie wspiera osoby pracujące w dowolnym miejscu, w dowolnym czasie i na dowolnym urządzeniu.
Źródło: www.blog.barracuda.com
Autor: Phil Muncaster (Barracuda Networks)