[P] ESET: Despre suprafața de atac cibernetic - riscuri ale stilului de lucru hibrid însoțite de sfaturi

1 săptămână in urmă 5

​Cu siguranță, nu e prima oară când auziți sintagma „suprafață de atac cibernetic”. Aceasta ne ajută să înțelegem cum funcționează atacurile cibernetice și unde sunt cel mai expuse companiile. Suprafața de atac informatic a crescut în mod vădit de la începutul pandemiei, lucru care a atras după sine probleme specifice. Din păcate, companiilor le este tot mai dificil să își definească cu exactitate adevărata dimensiune și complexitate a suprafeței lor de atac. Astfel, își lasă activele digitale și fizice expuse actorilor malware specializați în crearea de atacuri persistente.

Din fericire, implementarea unor bune practici poate ajuta organizațiile să-și îmbunătățească vizibilitatea asupra suprafeței de atac și, odată cu aceasta, poate aduce o mai bună înțelegere a ceea ce este necesar pentru a o minimiza și a o securiza cât mai bine.

Cum definim suprafața de atac a unei companii?

În linii mari, suprafața de atac este reprezentată de activele fizice și digitale pe care o companie le deține, ce ar putea fi compromise pentru a duce la bun sfârșit un atac cibernetic. Actorii malware pot avea diferite scopuri în minte, de la implementarea ransomware-ului și furtul de date, până la recrutarea sistemelor într-un botnet, descărcarea troienilor bancari sau instalarea malware-ului pentru minarea de cripto-monede. Astfel, suprafața de atac devine mai mare în cazul unei ținte mai ample și cu mai multe vulnerabilități, ce pot fi ulterior exploatate.

Există două categorii principale când vine vorba de suprafață de atac:

Suprafața de atac digitală

Aici sunt incluse toate componentele hardware și software, alături de componentele conexe conectate la rețea. Printre acestea se numără:

Aplicațiile: acestea pot servi drept un punct de intrare util în sistemele și datele IT critice ale companiei

Codul software: din păcate, o mare parte din acesta este format din componente terțe, care pot conține malware sau vulnerabilități.

Porturile: atacatorii obișnuiesc să scaneze porturile deschise și să verifice dacă serviciile ascultă pe vreun anumit port (de exemplu, portul TCP 3389 pentru RDP). Dacă aceste servicii nu sunt configurate corespunzător sau conțin erori, vulnerabilitățile de la acest nivel pot fi imediat exploatate.

Serverele: ar putea fi atacate prin exploatarea vulnerabilităților descoperite sau inundate de trafic prin atacuri DDoS.

Site-urile web: din păcate, acestea prezintă mulți vectori de atac specifici, inclusiv vulnerabilități la nivel de cod și configurări greșite. Lacunele la acest nivel conduc la riscul eliminării frauduloase a paginii web sau la implantarea unui cod rău intenționat pentru drive-by și alte atacuri (spre exemplu, formjacking - integrarea de cod malițios pentru extragerea frauduloasă a datelor de plată introduse în formularele online de cumpărare din magazinele online).

Certificate: acestea sunt deseori expirate, permițându-le atacatorilor să profite de acest lucru.

Iar lista nu se încheie aici, deoarece mai există multe alte zone de risc. Ca să evidențiem amploarea suprafeței digitale de atac, aruncați o privire la datele relevate de următoarea cercetare făcută asupra companiilor aflate pe lista Financial Times Stock Exchange Index 30 în 2020:

  • 324 certificate expirate
  • 25 de certificate care folosesc algoritmul de hash SHA-1 învechit
  • 385 de formulare nesigure din care 28 au fost utilizate pentru autentificare
  • 743 posibile site-uri aflate în stadiu de testare, expuse în internet
  • 46 de framework-uri web cu vulnerabilități cunoscute
  • 80 de cazuri de utilizare a versiunii vechi PHP 5.x
  • 664 versiuni de server web cu vulnerabilități cunoscute

Suprafața fizică de atac

Aceasta cuprinde toate dispozitivele endpoint ce pot fi accesate de un atacator în mod „fizic”: calculatoare desktop, hard disk-uri, laptopuri, telefoane/dispozitive mobile, memorii USB.

Angajații pot fi, de asemenea, considerați o parte importantă a suprafeței fizice de atac, întrucât pot fi manipulați prin campanii de inginerie socială (phishing și variantele sale). Mai mult decât atât, aceștia sunt responsabili de activitățile denumite generic „shadow IT”, care presupun utilizarea neautorizată de aplicații și dispozitive, care ocolesc filtrele de securitate ale companiei. Prin folosirea acestor instrumente neaprobate sau slab securizate, angajații ar putea expune organizația la amenințări suplimentare.

Devine suprafața de atac din ce în ce mai mare?

Companiile își construiesc resursele informatice și digitale de mulți ani. De la debutul pandemiei, s-au înregistrat investiții la scară largă care să sprijine munca de la distanță și să mențină funcționale operațiunile comerciale, în acest moment de extremă incertitudine a pieței. Astfel, s-a extins, de fapt, suprafața de atac la nivel de:

  • Stații de lucru folosite remote (laptopuri, desktopuri)
  • Aplicații și infrastructură de tip cloud
  • Dispozitive IoT și 5G
  • Coduri terțe și DevOps
  • Infrastructură de muncă la distanță (VPN-uri, RDP etc.)

Din nefericire, nu pare că putem remedia cursul evenimentelor. Specialiștii arată că multe organizații au fost deja împinse dincolo de un „prag” de utilizare a fluxurilor de lucru digitale care le va schimba operațiunile pentru totdeauna. Acest lucru favorizează:

  • Atacuri noi de phishing care vor căuta alte căi prin care să exploateze lipsa de conștientizare a securității în rândul angajaților
  • Apariția unor noi programele malware și vulnerabilități care să vizeze serverele, aplicațiile și restul sistemelor
  • Exploatarea configurărilor greșite (în conturile cloud, spre exemplu)
  • Furtul parolelor sau atacuri brute pentru realizarea de conectări frauduloase
  • Furtul certificatelor web

În crearea de atacuri persistente, există sute de vectori de atac în joc la care actorii malware pot apela oricând, dintre care unii sunt extrem de populari. Între ianuarie 2020 și iunie 2021, ESET a găsit 71 de miliarde de astfel de încercări de compromitere via RDP-uri configurate greșit.

Cum pot companiile să abordeze corect riscurile specifice suprafeței de atac

Suprafața de atac are o importanță fundamentală pentru a pune în practică cele mai bune metode de securitate cibernetică. Pașii cei mai de bază pentru o protecție proactivă sunt înțelegerea dimensiunii suprafeței de atac și adoptarea unor măsuri adecvate în direcția reducerii sau gestionării acesteia. Vom prezenta în cele ce urmează câteva sfaturi.

În primul rând, este nevoie să fie înțeleasă dimensiunea suprafeței de atac prin audituri ale activelor și ale stocării, prin teste de penetrare, scanări ale vulnerabilității și prin alte activități similare. Dimensiunea suprafeței de atac și a riscurilor cibernetice asociate pot fi reduse prin următoarele măsuri:

  • Aplicarea unor patch-uri, corecții și configurări specifice de management de risc
  • Consolidarea endpoint-urilor și renunțarea la hardware-ul vechi
  • Actualizarea software-ului și a sistemelor de operare
  • Gestionarea vulnerabilităților
  • Segmentarea rețelelor
  • Folosirea celor mai bune practici DevSecOps
  • Adoptarea unui model de securitate zero trust
  • Reducerea riscului din lanțul de aprovizionare
  • Implementarea de măsuri de securitate a datelor (de exemplu, criptare puternică)
  • Managementul puternic al verificării identității/accesului
  • Înregistrarea și monitorizarea prin log-uri a sistemelor
  • Implementarea de programe de instruire care să sporească conștientizarea riscurilor

Starea permanentă de flux a mediului IT corporativ poate fi pusă pe seama mai multor considerente: se utilizează pe scară largă VM-uri, containere și micro-servicii, există schimbări constante în numărul de angajați și în traficul de hardware și software. Așadar, e nevoie de instrumente agile și inteligente care funcționează pe baza datelor, în timp real, pentru a gestiona și înțelege suprafața de atac. „Vizibilitatea și controlul” ar trebui să fie principalele priorități ale oricărei companii.

Portofoliul ESET deține soluții antivirus și antimalware, cu protecție pe mai multe niveluri, capabile să depisteze din timp atacurile ransomware, astfel încât să nu fie afectate resursele și reputația companiei. Produsul ESET PROTECT Advanced este conceput în jurul nevoilor IMM-urilor, oferind prin modulul ESET Dynamic Threat Defense, protecție de tip cloud-sandbox pentru sisteme, împotriva amenințărilor ransomware sau zero-day. În plus, criptarea completă a hard disk-ului întărește protecția datelor stocate pe laptopuri, în caz de furt sau pierdere. Produsul răspunde, așadar, provocării de a gestiona și proteja rețelele IT business în fața amenințărilor cibernetice în continuă evoluție.

Citeşte Articolul Întreg pe Sursă