Cyberatak jest jak gra w szachy. Przestępca planuje i wykonuje ruchy, starając się przewidzieć nasze działania, podczas gdy my musimy nie tylko przewidzieć i blokować te ruchy, ale także stworzyć strategie, które zmuszą go do popełnienia błędu.

Na przykład w ramach kampanii phishingowych cyberprzestępcy zazwyczaj podszywają się pod znane firmy kurierskie, banki czy operatorów telekomunikacyjnych. Takie działanie ma zwiększyć prawdopodobieństwo, że ofiara kliknie niebezpieczny link zawarty w wiadomości lub załącznik, co pozwoli im wyłudzić od ofiary cenne dane, takie jak dane logowania czy informacje bankowe.

Ataki phishingowe mogą też prowadzić do zainstalowania na urządzeniu ofiary oprogramowania ransomware, czyli takiego, które szyfruje pliki na urządzeniu ofiary i żąda okupu za ich odszyfrowanie. Jeśli okup nie zostanie zapłacony, pliki mogą zostać usunięte lub upublicznione. Warto mieć przy tym na uwadze rosnącą liczbę przypadków, w których ofiara płaci okup, ale nigdy nie otrzymuje kluczy deszyfrujących, potrzebnych do przywrócenia dostępu do danych. W jeszcze poważniejszych przypadkach oprogramowanie ransomware trwale usuwa dane z dysków znajdujących się w komputerach i serwerach, pomimo zapłacenia okupu.

Zdaniem ekspertów Fortinet jednym z czynników wpływających na wzrost liczby takich ataków jest wdrożenie modelu work from anywhere (WFA) w przedsiębiorstwie. Pracownicy łączą się z zasobami firmowymi ze słabo zabezpieczonych sieci domowych i urządzeń, co ułatwia przestępcom przeprowadzenie ataku. Badanie Fortinet wykazało, że prawie dwie trzecie firm doświadczyło naruszenia danych z powodu luk w zabezpieczeniach pracy zdalnej.

Zdaniem ekspertów jedną z bardzo skutecznych metod obrony przed powyższymi atakami, która pomaga nam w tej swoistej grze z przestępcami, jest cyber deception, czyli stosowanie podstępu.

Cyber deception - co to jest?

Cyber deception to strategia polegająca na wprowadzeniu atakującego w błąd, poprzez tworzenie fałszywych celów - systemów, danych czy sieci. Ma to na celu odwrócenie uwagi przestępcy od prawdziwych celów oraz umożliwienie monitorowania i analizowania ich działań.

Eksperci Fortinet radzą, aby w ramach tego mechanizmu zabezpieczeń w przedsiębiorstwie stworzyć fałszywą sieć, pozornie łatwą do „zdobycia” dla hakerów. Celowo należy w niej zapewnić dostęp do atrakcyjnie wyglądających dla cyberprzestępców plików, które powinny być nie do odróżnienia od tych przesyłanych w prawdziwej sieci (ale oczywiście ich kopia powinna zawierać nieprawdziwe informacje, aby ewentualny wyciek nie przyniósł przykrych konsekwencji).

Dzięki powyższej metodzie, próbując zaszyfrować fałszywe pliki, cyberprzestępcy demaskują siebie oraz swoje zamiary, a także ujawniają mechanizm podjętego ataku ransomware, zanim zdołają wyrządzić jakiekolwiek szkody w prawdziwym systemie produkcyjnym przedsiębiorstwa.

Cyber deception w praktyce

Zdaniem ekspertów Fortinet wdrożenie cyber deception w firmowej sieci powinno przebiegać w następujący sposób:

• Wdrażanie mechanizmów takiego cyfrowego podstępu rozpoczyna się od skonfigurowania na każdym urządzeniu końcowym lub serwerze fałszywego, udostępnionego w sieci dysku (partycji).

• Ten pseudosystem i zawarte w nim pliki zostają ukryte przed użytkownikami i wykorzystywanym przez nich oprogramowaniem, aby uniknąć generowania fałszywych alarmów.

• Zasoby te powinny zostać udostępnione w sieci jako odrębny serwer plików, ale zawierający wyłącznie fałszywe dane i generujący fałszywy ruch. Warto pamiętać, aby fałszywe konta czy pliki wyglądały atrakcyjnie dla przestępców.

• Serwer ten powinien być też zintegrowany ze świadomymi stosowania mechanizmu cyber deception rozwiązaniami ochronnymi, aby te niezbyt przeszkadzały w zaatakowaniu takiego serwera, ale jednocześnie ze szczególną uwagą go obserwowały, co pozwoli nam na kontrolę takiego ataku.

• Przy zastosowaniu tej metody, gdy ransomware zaatakuje urządzenie końcowe, zacznie szyfrować pliki najpierw na fałszywym dysku, co powinno zostać wykryte przez mechanizm cyber deception.

• Mechanizm ten powinien spowolnić proces szyfrowania i jednocześnie wykorzystać jedno z istniejących narzędzi ochronnych do automatycznego zablokowania złośliwego kodu, a przez to ograniczania szkód lub zapobiegnięcia im w ogóle.

• Możemy także stworzyć fałszywe komunikaty błędów, które zmylą przestępców i skłonią ich do zmiany taktyki, co pozwoli nam na lepsze zrozumienie ich działania.

• Mechanizmy cyber deception powinny dostarczać informacji umożliwiających prześledzenie drogi, którą przestępcy dostali się do firmowej sieci, a także odkryć taktyki, narzędzia i procedury przez nich wykorzystywane.

• Urządzenie końcowe, które zostało poddane atakowi należy automatycznie odizolować od reszty sieci.

• Istotne jest, aby każdy element infrastruktury umożliwiającej zabezpieczanie środowiska IT za pomocą metody cyber deception był zintegrowany z narzędziami ochronnymi innych dostawców, m.in. z zaporami sieciowymi, rozwiązaniami zapewniającymi kontrolę dostępu do sieci i systemami audiowizualnymi nowej generacji.

Inne metody obrony przed cyberatakami

Warto w tym miejscu przypomnieć, że podstawowe metody obrony przed cyberatakami to:

• Systematyczne tworzenie kopii zapasowych danych, czyli backup, obrazów dysków (serwerów i stacji roboczych) oraz plików i przechowywanie ich poza siecią, aby nie mogły dosięgnąć ich mechanizmy szyfrujące dane. Jak zauważają eksperci Fortinet takie podejście umożliwi odzyskanie zaszyfrowanych plików, ale nie uchroni przed szantażem ich upublicznienia.

• Regularne skanowanie urządzeń podłączanych do sieci pod kątem ewentualnego zainfekowania złośliwym oprogramowaniem.

• Regularne aktualizowanie oprogramowania. Żadne oprogramowanie nie jest wolne od luk bezpieczeństwa, a ich odkrycie i wykorzystania to tylko kwestia czasu.

• Korzystanie z silnych haseł i autoryzacji dwu lub wieloetapowej.

• Edukacja pracowników na temat bezpieczeństwa w sieci.

Foto: Freepik. Artykuł na podstawie materiałów prasowych