Вследствие на много фактори, особено в последната година, кибератаките, на които ставаме жертва, вече не само в офисите ни, но и от нашите домове, са все по-чести и все по-опасни. И колкото по-дигитализиран е един свят, толкова по-улеснено е нашето всекидневие и толкова повече възможности за атака има – CCTV камери, смарт устройства, автономни автомобили и дори газопреносните, водопреносните и други подобни мрежи.
Рансъмуер се превръща в предпочитан метод за атака, особено, когато е насочен към критично важни инфраструктурни системи, от които зависи осигуряването на вода, електричество, гориво или други важни услуги. Скорошният пример с Colonial Pipeline е доказателство за това. В подобни ситуации дори и съвсем кратките забавяния могат да нанесат непоправими щети. Това е причината много компании, жертва на подобни атаки, да не намират друг изход, освен да заплатят, за да минимизират щетите.
Най-общо рансъмуер атаките могат да могат да бъдат разделени на опортюнистични и целенасочени.
Първите, като например WannaCry, таргетират произволно и масово голямо количество потенциални жертви и прилагат фишинг, социално инженерство или експлойт комплекти (exploit kit), налични в dark web. Успехът им се дължи на две основни причини – много компании неглижират нуждата от извършването на редовно архивиране на данните, което означава, че, ако определена информация стане достояние на хакерите, тя може да бъде загубена завинаги. Другата причина е и предоверяването на традиционните антивирусни решения, които нямат възможността да следят за всяка актуална версия на рансъмуер файловете, които често се преобразяват.
От друга страна целенасочените атаки са към специфични организации, най-често избрани поради възможностите си да плащат големи откупи и критичността на техните операции. При тях нападателите прилагат персонализирани тактики, техники и процедури (TTP). Такава беше и атаката срещу Colonial Pipeline. Тези нападатели са много креативни, често полагат големи усилия, за да могат да експлоатират уязвимости, като същевременно набелязват най-ценните данни за криптиране и съхранение за откуп. Те също са изключително търпеливи, като регулярно увеличават привилегиите за заобикаляне на системите за сигурност. Така могат да останат незабелязани в продължение на месеци – или повече – преди да внедрят полезния товар на рансъмуера. През това време нападателите често се насочват към архивираните данни (ако са налични), така че организацията да не може да възстанови файлове, след като са били криптирани. Според „Доклада за рансъмуер заплахите на Unit 42” за 2021 г. най-високият поискан откуп в периода между 2015 – 2019 г. е 15 милиона долара. През 2020 г. вече се е удвоил до 30 милиона долара.
Жертви обаче вече са не само тези компании. В епохата на IoT, облачните и мобилните решения и на все по-популярната работа от дома, всеки е потенциална мишена.
Преди около два месеца Verkada – стартъп, занимаващ се с видео сигурност, беше атакуван и в резултат на това нападателите са получили достъп до кадри на живо от близо 150 000 камери, свързани с IoT, позиционирани до болнични легла в интензивни отделения, в затвори, в класни стаи и други. Вероятният начин, по който нападателите са получили достъп, е типичен – целили са се в конкретни потребителско име и парола на администраторски профил. Чрез него са могли да се движат незабелязано в мрежата все едно са член на екипа, извършващ поддръжка на камерите.
Проблемът, когато говорим за киберсигурност при IoT, е, че все още няма единодушие за това кой трябва да носи отговорност за сигурността. Дали производителят трябва фабрично да създаде защитени устройства или пък потребителят е длъжен да подсили защитата – частните лица да променят паролите по подразбиране за устройствата в домовете им, а компаниите да отстраняват твърдо кодирани пароли и да подсилят защитата на крайните точки на свързани в мрежата IoT устройства. Въпреки натиска, все още няма въведени конкретни насоки и стандартизация по този казус. Все пак има консенсус, според който на IoT устройствата, особено тези, използвани от големи корпорации и на държавно ниво, трябва да се гледа по същия начин, както на традиционните ИТ системи.
Въпреки засиленото внимание, за съжаление, зловредните атаки само увеличават своя брой. Затова е добре да постъпваме умно с умните ни устройства. Ето и някои насоки:
- Каталогизиране на свързаните устройства в нашата мрежа – идентифицирайте всяко устройство в мрежата (включително и BYOD) и разберете какво прави. Това включва камери, принтери, звънци на вратата, аудио-визуално оборудване, HVAC системи или нещо друго, което се свързва с интернет и / или е смарт устройство.
- Централизиране на управлението на устройствата – IoT устройствата често се произвеждат с вградени или твърдо кодирани пароли – което ги прави лесни цели. Заменете ги със силни, уникални пароли и автоматизирайте съхранението, ротацията и управлението на идентификационните данни, за да сведете до минимум риска от човешка грешка.
- Деактивиране на автоматичния root достъп – тoй обикновено е вграден в IoT устройства като охранителни камери. Това ниво на достъп ще е необходимо понякога, но ще е нужно дори доверените потребители да преминат през няколко проверки, за да удостоверят своята самоличност и да получат достъп.
- Прилагане на концепцията за „най-малка привилегия“ – ограничаването на достъпа на хората и устройствата в мрежата е един от най-добрите начини да намалите повърхността на атаката и да се защитите от нападателите. Преди да предоставите достъп, винаги проверявайте самоличността, проверявайте устройството, след това ограничавайте достъпа само до необходимото – и го премахвайте, когато повече не е нужно.
- Сигурен отдалечен достъп – за да противодействате на присъщите слабости на IoT, ограничете отдалечения достъп (за актуализации на фърмуера, поддръжка и други) до проверени страни, местоположения и установени портове.
Без значение дали говорим за рансъмуер атаки, или такива на IoT устройства в дома или в офиса ни, има един общ знаменател – всяко устройство, крайна точка, сървър или система, свързани с интернет, представляват потенциална уязвимост.
Ако искате да погледнете през очите както на хакерите, така и на отбраняващите се, за да разберете най-добре какво стои зад една атака и как да се защитите занапред, регистрирайте за организираната от CyberArk виртуална симулация – Attack and Defend – the Endpoint Threat на 24 юни. По време на събитието участниците ще могат да се запознаят със сценарии от реалната практика в два отбора – на атакуващи и на отбраняващи се.
съдържание от CyberArk