Rok 2011 jeszcze nie minął, a już widać, że jest dla cyberprzestępców rokiem niezwykle pracowitym. Nie można stwierdzić, że incydenty bezpieczeństwa IT nie były zgłaszane - wszystkie znalazły się w nagłówkach gazet, rzetelnie opublikowane przez przedsiębiorstwa, przeciwko którym te ataki były wymierzone.
Podsumowując, wszystkie te ataki ujawniły miliony dokumentów i prywatnych informacji o klientach oraz poufnych danych przedsiębiorstw. Jedyną dobrą stroną tego jest fakt, że firmy zaczęły brać sprawy w swoje ręce i stały się bardziej aktywne w kwestii bezpieczeństwa. Zgłaszają wszelkie włamania tuż po ich wykryciu i w większości przypadków bezzwłocznie informują swoich klientów i innych zainteresowanych o tym, co się wydarzyło.
Przyjrzyjmy się podobieństwom między tymi incydentami i nowym wzorcom, którymi się kierują.
Pierwsza diagnoza, jaką możemy postawić na podstawie tych ataków, brzmi: włamania te zostały starannie zaplanowane, zaaranżowane i wykonane. Mają wysoki poziom złożoności, który kwalifikuje je jako Advanced Persistent Threats (APT), skonstruowane specjalnie przeciwko konkretnym przedsiębiorstwom. Wielkość firm, których one dotyczyły jest imponująca. Z wyjątkiem HBGary, ofiarą ataków padały olbrzymie korporacje zatrudniające ponad 10 000 pracowników, operujących znacznymi kapitałami, informacjami o klientach i poufnymi danymi – innymi słowy żyła złota dla cyberprzestępców.
Atakującymi są świetnie wyszkoleni eksperci bezpieczeństwa, których kuszą wyzwania i profity finansowe. Ataki zostały zaplanowane i zaaranżowane z precyzją operacji wojskowych. Przed przeprowadzeniem właściwego ataku hakerzy szczegółowo odtwarzają całą architekturę sieci wybranej organizacji w celu przeprowadzenia symulacji ataku we własnym środowisku laboratoryjnym. Jak dowiedziono w przypadku sprawy HBGary, przestępcy wykazują się niezwykłą cierpliwością i determinacją. Biorą również pod uwagę ryzyko wiążące się z ich akcją, między innymi lata pozbawienia wolności.
Kolejnym punktem wspólnym tych włamań jest zastosowanie technik inżynierii społecznej. Obecnie cyberprzestępcy manipulują osobami pracującymi wewnątrz firmy, „hakując ludzkie umysły”, aby włamać się do systemów przedsiębiorstwa. W przypadku Epsilonu, podstępem skłoniono jednego z pracowników do otwarcia phishingowej wiadomości e-mail i kliknięcia na znajdujący się w niej link. Dzięki temu hakerzy zyskali dostęp do tożsamości systemowej pracownika i wykorzystali ją do połączenia się z korporacyjną bazą danych.
Niestety, użytkownicy zawsze byli najsłabszym ogniwem w systemie zabezpieczeń organizacji. Zawsze można znaleźć użytkownika podatnego na podstęp: może to być nowy, niedoinformowany pracownik lub rozgadana sekretarka, która udziela zbyt wielu informacji. Kiedy hakerzy dostaną się do systemu, działają po cichu. Pozostają niewykrywalni, kradnąc jak najwięcej informacji aż do momentu, kiedy ich obecność zostaje dostrzeżona i korporacja zaczyna śledztwo. Czasami trwa to latami.
Co więcej, ci cyberprzestępcy już nie są samotnymi amatorami. Należą do dobrze zorganizowanych grup, które przypominają siatki terrorystyczne – mają pieniądze, motywacje i cele. W celu stworzenia oryginalnego ataku opartego na socjotechnice i pozyskania danych mają do dyspozycji wysoki poziom inteligencji oraz dużo czasu i niezbędnych zasobów. To, jak duże będą straty, zależy tylko od jednego - jak daleko atakujący się posunie?
Warte kradzieży są nie tylko dane finansowe. Coraz częściej zauważamy, że atakujący częściej szukają ogólnych informacji o klientach niż poszczególnych wykazów lub danych kart kredytowych. W rzeczy samej te informacje mogą być bardzo dochodowe dla spamerów.
Jeżeli w rekordzie klienta w bazie danych przechowywane są informacje takie, jak nazwa użytkownika połączona z nazwiskiem i adresem e-mail, to już jest to bardzo cenna informacja. Takie dane mogą być użyte do skonstruowania spersonalizowanej wiadomości spamowej, zawierającej dane użytkownika, różne szczegóły i zainteresowania, co wygląda bardzo wiarygodnie. Szanse na to, że użytkownik otworzy spersonalizowaną wiadomość spamową i kliknie na nią, są dużo większe niż w przypadku otrzymania ogólnego spamu. To z kolei powoduje wzrost zysków płynących z kampanii spamowej. Weźmy przykład wysłania e-maila do 500 000 odbiorców z ofertą sprzedaży jakiegoś produktu. Jeżeli tylko 1 odbiorca na 1000 zamówi ten produkt, to już daje 500 nowych zamówień. Teraz można wyobrazić sobie ogrom zysków, jaki może przynieść spamerowi 70 milionów adresów e-mail wraz z indywidualnymi informacjami o ich właścicielach.
Poza korzyściami materialnymi, jakie przynosi sprzedaż informacji na czarnym rynku, warto wspomnieć o konsekwencjach finansowych ataków, jakie ponosi organizacja w związku z własnością intelektualną i utratą jakości marki. Na przykład w sprawach HBGary lub Wikileaks, w których to doszło do publikacji w internecie poufnych e-maili i tajemnic państwowych, włamanie spowodowało olbrzymi uszczerbek w reputacji obu organizacji. W ostatnim ataku na Lockhead Martin – największy koncern zbrojeniowy w Stanach Zjednoczonych – konsekwencje mogły być zdecydowanie gorsze, ponieważ atakujący mierzyli w ściśle tajne, rządowe projekty oraz plany militarne, mogące potencjalnie skompromitować sam Pentagon. Na szczęście podobno nie udało się wykraść żadnych informacji.
Przedsiębiorstwa nie powinny łudzić się, że zagrożenie atakami ich nie dotyczy. Wymierzone ataki są coraz popularniejsze i żadna firma nie jest w pełni bezpieczna. Korporacje powinny tworzyć jak najwięcej barier ochronnych oddzielających ich sieci i zasoby od cyberprzestępców.
Ochrona zaczyna się od wdrożenia dogłębnej strategii bezpieczeństwa w sieci, stacjach roboczych oraz w licznych urządzeniach łączących się do sieci. Przedsiębiorstwa muszą stosować szereg warstw bezpieczeństwa, włączając w to zaawansowane firewalle oraz systemy Intrusion Prevention System (IPS) niezbędnych do wykrycia skomplikowanych zagrożeń. Konieczne są wszechstronne rozwiązania bezpieczeństwa stacji roboczych i urządzeń mobilnych. Należy też stosować technologie zapobiegające wyciekom danych, aby chronić zbiory informacji. Aby zapewniać ochronę, przedsiębiorstwa potrzebują solidnej, dobrze skonstruowanej polityki bezpieczeństwa. Taka polityka musi być dopasowana do wymagań biznesowych i być zrozumiała dla pracowników organizacji. Co więcej, zachęcam korporacje, aby przyjrzały się na nowo sposobom, w jaki udostępniają przechowywane dane, a następnie przemyślały, jak najlepiej je chronić.
Po zabezpieczeniu i zamknięciu tych „frontowych drzwi” przed hakerami, firmy muszą zająć się zabezpieczaniem i zamykaniem ich odwiecznego problemu „tylnych drzwi”, czyli samych użytkowników. Błąd ludzki jest jedynym problemem bezpieczeństwa, którego sama technologia nie rozwiąże i na który nie ma aktualizacji oprogramowania naprawiającej usterkę. W interesie pracodawcy jest aktywne angażowanie, trening i edukacja jego pracowników, aby zmienić ich w prawdziwych i świadomych strażników bram korporacji.
„Cogito ergo sum” powiedział francuski filozof René Descartes – „myślę, więc jestem”. Jestem pewien, że ta siedemnastowieczna maksyma mogłaby znaleźć zastosowanie w nowoczesnej informatyce. Użytkownicy jako jednostki myślące są integralną częścią procesu bezpieczeństwa. Tylko wyszkolona i świadoma kadra pracownicza w połączeniu z solidnym systemem bezpieczeństwa oraz dobrze określoną polityką bezpieczeństwa mogą pokonać współczesnych hakerów. Miejmy nadzieję, że przedsiębiorstwa wyciągną wnioski z tych lekcji, co zaowocuje skutecznym unikaniem ataków w nadciągających miesiącach.
O autorze
Tomer Teller jest ewangelistą bezpieczeństwa w firmie Check Point Software Technologies. Podczas swojej 6-letniej kadencji Tomer pracował zarówno jako badacz i programista w wielu projektach na wielką skalę, jak i wykładowca w głównym biurze Check Point oraz podczas licznych konferencji poświęconych bezpieczeństwu IT. Specjalizując się w wysoko- i niskopoziomowym programowaniu, Tomer poświęca swój wolny czas wielu różnym projektom i badaniom dotyczących bezpieczeństwa. Tomer posiada tytuł inżyniera informatyki i jest dumnym posiadaczem patentu w zakresie luk bezpieczeństwa w przeglądarkach.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
Baidu udostępnia sklep z aplikacjami dla Androida działający w przeglądarce
|
|
|
|
|
|