Archiwum wg Tagów | "fortinet"

fortinet logo

Tags: , ,

Trzy lata po WannaCry – czy ransomware nadal jest groźny?

Dodany 27 maja 2020 przez admin

W ciągu ostatnich tygodni krajobraz cyberzagrożeń wywrócił się do góry nogami. Analitycy obserwują spadek liczby tradycyjnych metod ataku, ponieważ cyberprzestępcy skupili uwagę na pracownikach zdalnych. Według ekspertów w nieodległej przyszłości możemy spodziewać się stale rosnącej popularności oprogramowania typu ransomware. Trzy lata po globalnym kryzysie wywołanym przez atak WannaCry okazuje się, że narzędzia do wymuszania okupów są wciąż skuteczne i często wykorzystywane przez cyberprzestępców – zwłaszcza w obecnej sytuacji, gdy pracownicy zdalni często pracują na niewłaściwie zabezpieczonych urządzeniach.

Uwaga całego świata od kilku tygodni koncentruje się na pandemii COVID-19. Firmy dostosowują się do nowych realiów i przenoszą pracowników w tryb pracy zdalnej. Mogły nie mieć więc odpowiednio wiele czasu, aby właściwie zadbać o bezpieczeństwo danych. Cyberprzestępcy o tym wiedzą i wciąż sondują środowiska sieciowe pod kątem luk w zabezpieczeniach, które mogą posłużyć jako brama wejścia do sieci firmy.

Specjaliści z FortiGuard Labs firmy Fortinet zaobserwowali w ostatnich tygodniach znaczny wzrost liczby ataków phishingowych wymierzonych w osoby fizyczne oraz nowo powstałych złośliwych stron internetowych. Oto co analitycy z FortiGuard Labs – Derek Manky, Aamir Lakhani i Douglas Santos – sądzą na temat obecnej sytuacji związanej z oprogramowaniem szyfrującym.

Czy ransomware jest dzisiaj wciąż jednym z najpoważniejszych zagrożeń?

Derek Manky: Ataki wymuszające okup wciąż spędzają sen z powiek specjalistom ds. bezpieczeństwa. Dynamika występowania tego oprogramowania nie wykazuje żadnych oznak spowolnienia. Natomiast jeśli mówimy o obronie przed nim, narzędzia ochronne są tak skuteczne, jak zespół, który nimi zarządza. Wszystko, począwszy od błędów w konfiguracji rozwiązań zabezpieczających, a skończywszy na zbyt szybkim rozroście środowiska, w którym są wdrożone, może osłabić skuteczność ochrony. Ale w przypadku ransomware’u największy problem nadal stanowi czynnik ludzki.

Aamir Lakhani: Istnieją zagrożenia, które są bardziej powszechne niż ransomware. Jednak to właśnie ten rodzaj ataku jest jednym z najgroźniejszych z uwagi na konsekwencje dla przedsiębiorstw, jakie niesie ze sobą – może je całkowicie sparaliżować. W rzeczywistości ransomware nie jest skomplikowanym ani wyrafinowanym oprogramowaniem. Natomiast, paradoksalnie, może to uczynić je jeszcze bardziej niebezpiecznym, ponieważ stosujący je przestępcy nie muszą posiadać rozległej wiedzy. Zestawy narzędzi do przeprowadzenia ataku mogą być pobierane z internetu w modelu usługowym RaaS (Ransomware-as-a-Service) i modyfikowane nawet przez osobę z minimalną wiedzą programistyczną. Większość z nich nie jest realnym zagrożeniem dla dużych firm, ponieważ rozwiązania ochronne zdołają je wykryć i zablokować. Jednak biorąc pod uwagę obecne uwarunkowania – wzrost liczby pracowników zdalnych, przepracowane zespoły IT i nowe, w dużej mierze niezweryfikowane wcześniej zasady bezpieczeństwa – przedsiębiorstwa stały się nagle znacznie bardziej podatne na atak.

Dlaczego cyberhigiena i „czynnik ludzki” nadal są ważne?

Derek Manky: Problemem nie jest brak świadomości – ona jest zakorzeniona w ludzkim zachowaniu. Natomiast świadomość i działanie to dwie bardzo różne rzeczy. Cyberprzestępcy tworzą obecnie dobrze przygotowane e-maile, kierunkują ataki przeciwko konkretnym osobom w przedsiębiorstwie. Taki rodzaj ataku jest znany jako spear phishing, a celem bywa wysoko postawiona osoba w strukturach firmy. Dlatego też często działanie to nazywa się „phishingiem wielorybów”. Jednak, bez względu na to, kto jest celem ataku, każdy jest podatny na manipulacje z wykorzystaniem starannie spreparowanych wiadomości e-mail.

Douglas Santos: Kiedy mówimy o czynniku ludzkim, wskazujemy nie tylko te osoby naiwnie klikające na linki lub otwierające złośliwe dokumenty. Dotyczy to również kadry kierowniczej, która może nie rozumieć zagrożeń lub nie wie, jak je powstrzymać. Metody ataku rozwijane się znacznie szybciej, niż większość z nas jest w stanie je poznać. Systematycznie powiększa się także luka kompetencyjna, brakuje specjalistów do spraw cyberbezpieczeństwa. To trudne wyzwanie.

Jak ransomware będzie się rozwijał w 2020 roku?

Derek Manky: Należy spodziewać się większej liczby ukierunkowanych ataków – bardzo niebezpiecznych, ponieważ są specjalnie dostosowywane do określonych systemów wewnętrznych przedsiębiorstwa. Innym czynnikiem wpływającym na rosnącą liczbę ataków ransomware jest dostępność narzędzi w modelu usługowym. W bieżącym roku obserwujemy też jak cyberprzestępcy wykorzystują do swoich celów pandemię COVID-19. Pokazuje to, że ewolucja oprogramowania ransomware nie polega wyłącznie na atakach celowych, ale bazuje też na nastrojach społecznych.

Aamir Lakhani: Będziemy świadkami znaczącego wzrostu liczby ataków ransomware. Pandemia COVID-19 wymusiła na przedsiębiorstwach wiele zmian. Dotyczą one m.in. migracji danych w chmurze, zasad udzielania zdalnego dostępu do zasobów i większego uzależnienia od aplikacji internetowych. W sektorze IT wiele osób pracuje pod ogromną presją. Podobnie dzieje się w wielu innych branżach, które muszą utrzymać działanie swoich środowisk informatycznych – ochronie zdrowia, produkcji czy transporcie. Cyberprzestępcy rozumieją, że przedsiębiorstwa często wolą zapłacić okup, niż pozwolić sobie na spowolnienie działalności lub jej przestój.

Źródło: Fortinet

Komentarzy (0)

fortinet logo

Tags: , , ,

Firma zatrudniająca 100 osób może otrzymać średnio 9 złośliwych maili dziennie

Dodany 14 maja 2020 przez admin

Przeciętny pracownik dziennie otrzymuje średnio 121 e-maili. Według analityków FortiGuard Labs oznacza to, że do firmy zatrudniającej 100 osób statystycznie trafia dziewięć wiadomości ze złośliwym oprogramowaniem w ciągu dnia, a kliknięcie w niebezpieczny link przez choćby jednego pracownika może mieć katastrofalne skutki dla całego przedsiębiorstwa. W dalszym ciągu głównym zagrożeniem dla biznesu jest ransomware, zaś w ostatnim czasie pracownicy muszą dodatkowo stawiać czoła zintensyfikowanym atakom socjotechnicznym takim jak phishing, często wykorzystującym motyw koronawirusa.

 

Nieszczelna ochrona przed atakami

Nawet jeżeli w przedsiębiorstwie wdrożone zostanie rozwiązanie chroniące pocztę elektroniczną przed złośliwymi wiadomościami, część phishingowych e-maili wciąż może się przez nie przedostać. Według specjalistów Fortinet jedna na 3 tys. wiadomości zawiera złośliwe oprogramowanie (w tym ransomware), zaś jedna na 4 tys. ma załącznik z takim kodem, który nie był wcześniej znany. Z tego powodu firmy muszą mierzyć się z zaawansowanymi i niespotykanymi dotąd zagrożeniami, zaś pracownicy – jeszcze uważniej niż kiedykolwiek – powinni sprawdzać otrzymywane e-maile i być wyczuleni na wszelkie podejrzane zawarte w nich elementy.

Eksperci Fortinet zbadali również, że jedna na 6 tys. wiadomości zawiera podejrzany adres URL. Nie każdy z tych linków musi prowadzić bezpośrednio do złośliwej zawartości, wiele z nich może stać się pomostem dla przyszłej kampanii ransomware lub próbą działania phishingowego, które ma na celu zdobycie cennych i poufnych danych. Oczywiście liczba otrzymywanych e-maili zależy w dużym stopniu od branży i wykonywanej pracy, ale szacuje się, że przeciętny pracownik otrzymuje ich dziennie 121.[1] Według statystyk oznacza to, że firma zatrudniająca sto osób otrzymuje dziennie średnio dziewięć zainfekowanych maili, w tym: cztery wiadomości ze złośliwym oprogramowaniem, trzy z nieznanym wcześniej złośliwym kodem oraz dwie zawierające podejrzane łącza URL. Problem jest o tyle znaczący, że blokowanie wszystkich podejrzanych lub nieznanych adresów może negatywnie wpłynąć na biznes. Ważne jest zatem, aby przedsiębiorstwa korzystały z rozwiązań ochronnych nowej generacji w celu wyeliminowania tych zagrożeń.

Świadomość ryzyka

Wraz z dynamiką rozwoju biznesu powiększają się jego zasoby, jak np. ilość przetwarzanych danych, które są atrakcyjne dla cyberprzestępców. Należy zatem sprawdzić, czy informacje te są odpowiednio chronione i czy zostały podjęte wszelkie możliwe działania w tym zakresie. Następnie warto przyjrzeć się lukom w zabezpieczeniach aplikacji, które mogą zostać wykorzystane, oraz przeanalizować, jakiego rodzaju złośliwe oprogramowanie atakuje konkretne środowiska. Istotne może okazać się także sprawdzenie, które ataki socjotechniczne, takie jak phishing, mogłyby ominąć obecny system bezpieczeństwa IT.

Na koniec ważne jest, aby pamiętać o regularnym uszczelnianiu zabezpieczeń oraz ich dostosowywaniu do stale zmieniających się warunków, ponieważ nawet najbardziej „cyberświadoma” firma jest narażona na działania hakerów. Oczywiście, aby dowiedzieć się jak duże jest ryzyko powodzenia ataku, należy zweryfikować poprawność pracy obecnie używanego narzędzia do ochrony poczty elektronicznej oraz sprawdzić czy jego dostawca wciąż zapewnia wsparcie na poziomie gwarantującym zabezpieczenie przed najnowszymi rodzajami zagrożeń.

[1] https://www.campaignmonitor.com/blog/email-marketing/2019/05/shocking-truth-about-how-many-emails-sent/

Źródło: Fortinet

Komentarzy (0)

fortinet logo

Tags: ,

Telemedycyna coraz popularniejsza – co z bezpieczeństwem danych pacjentów?

Dodany 07 maja 2020 przez admin

Telemedycyna odgrywa coraz większą rolę w systemie ochrony zdrowia. Konsultacje prowadzone w sposób zdalny stają się coraz powszechniejsze w sytuacji, kiedy utrudniony jest osobisty kontakt z lekarzem. Koncepcja opieki na odległość przynosi wiele oczywistych korzyści, ale też wymaga od szpitali i przychodni zachowania niezbędnych procedur dotyczących bezpieczeństwa oraz wdrożenia zapewniających je rozwiązań.

Potencjalne ryzyko naruszenia poufności danych wynika z tego, że przetwarzające je aplikacje i urządzenia w placówce ochrony zdrowia współpracują ze sobą, aby połączyć się z siecią „zdalnych pacjentów”. W związku z tym w szpitalach i przychodniach powinny być wdrażane rozwiązania minimalizujące ryzyko udanego cyberataku i umożliwiające zachowanie zgodności z przepisami o ochronie danych osobowych.

Problemem może być sieć pacjenta

Administratorzy IT w placówkach ochrony zdrowia nie mają wglądu w ustawienia konfiguracyjne sieci, z którymi łączą się podczas telekonsultacji. – Pacjenci, korzystając z aplikacji do wideokonferencji lub przesyłania wiadomości, używają zazwyczaj prywatnych urządzeń, zaprojektowanych przede wszystkim z myślą o wydajności, a nie bezpieczeństwie. Są one często podłączone do niewłaściwie zabezpieczonych sieci domowych, a w skrajnych przypadkach do publicznych sieci Wi-Fi – mówi Jolanta Malak, dyrektor Fortinet w Polsce.

Cyberprzestępcy mają świadomość, że jednostka medyczna nie jest w stanie zarządzać zabezpieczeniami infrastruktury u osób trzecich. Wiedzą też, że za pośrednictwem użytkowników mogą spróbować uzyskać dostęp do medycznej sieci i cennych danych. Placówki ochrony zdrowia powinny więc przede wszystkim zabezpieczać własną infrastrukturę i w ten sposób minimalizować ryzyko wycieku wrażliwych informacji. W pierwszej kolejności powinny być wdrażane rozwiązania zawierające mechanizmy weryfikacyjne tożsamości pacjentów. Zdarzają się bowiem sytuacje, w których ktoś podszywa się pod inną osobę, aby zdobyć informacje o jej stanie zdrowia, a następnie wykorzystać do szantażowania jej lub w innym nieuczciwym celu.

Aby zminimalizować ryzyko takiego wycieku danych, można zastosować podobne rozwiązania jak np. w bankowości elektronicznej – powiązanie konta pacjenta z numerem telefonu komórkowego i adresem e-mail, a następnie weryfikację dwuetapową podczas rejestracji. W trakcie rejestracji pacjent może także ustawić pytanie pomocnicze (nie powinno ono dotyczyć znanych innym faktów z jego życia), na które trzeba odpowiedzieć podczas logowania.

Podobne zabiegi pozwolą placówkom ochrony zdrowia zachować pewien stopień kontroli nad tym, kto zwraca się po poradę – podkreśla Jolanta Malak. – Nie mają one wpływu na to, jak zabezpieczona jest sieć i urządzenia zdalnego pacjenta. Mogą za to z pewnością zadbać o weryfikację tożsamości i bezpieczeństwo udostępniania danych.

Jakie rozwiązania stosować?

Wraz ze zmianami w sposobie funkcjonowania systemu ochrony zdrowia oraz rosnącą popularnością pracy zdalnej, przychodnie i szpitale muszą aktywnie poszukiwać rozwiązań, dzięki którym dane przesyłane w ramach usług telemedycznych będą bezpieczne. Oprócz wdrożenia infrastruktury SD-WAN, która ma na celu zabezpieczenie rozproszonych sieci bez uszczerbku dla ich wydajności, zespoły IT w placówkach medycznych powinny rozważyć następujące rozwiązania wskazane przez ekspertów Fortinet:

  • Zabezpieczenie urządzeń końcowych – zapewnia możliwość sprawowania kontroli nad komputerami i sprzętem mobilnym dzięki kompleksowym informacjom dotyczącym stanu zabezpieczeń oraz gwarantuje proaktywną ochronę z wykorzystaniem bezpiecznego zdalnego dostępu poprzez wbudowaną sieć VPN. Rozwiązanie to powinno być połączone z systemem zarządzania urządzeniami końcowymi, co umożliwia skalowalne i scentralizowane zarządzanie nimi.
  • Produkty do zarządzania tożsamością i dostępem (IAM) – są przeznaczone do potwierdzania tożsamości użytkowników i urządzeń w momencie ich połączenia z siecią poprzez uwierzytelnianie wieloskładnikowe oraz weryfikację posiadania stosownych certyfikatów.
  • Rozwiązania do zarządzania urządzeniami bezprzewodowymi – zawierają pakiety ustawień konfiguracyjnych punktów dostępowych, dzięki czemu zapewniają bezpieczną łączność między zdalnymi lokalizacjami, a sieciami placówek medycznych. Dodatkowo, ich zespoły IT powinny również rozważyć połączenie bezprzewodowych punktów dostępowych z zaporami sieciowymi.
  • Rozwiązania wyposażone w zintegrowane mechanizmy zapewniające poufność rozmów telefonicznych – technologia ta może sprostać dużemu natężeniu ruchu w komunikacji głosowej, zarówno pod względem jej bezpieczeństwa, jak i wydajności.
  • Rozwiązania uwierzytelniania sieciowego – umożliwiają wielu pracownikom zdalnym bezpieczny dostęp do sieci ich pracodawcy.
  • Zapory sieciowe następnej generacji – konsolidują różne rozwiązania ochronne, takie jak automatyczne zabezpieczenia przed zagrożeniami i inspekcja ruchu SSL.

Wprowadzenie nowatorskich rozwiązań do sieci placówek ochrony zdrowia znacznie zwiększa jakość opieki nad pacjentem. Dzięki telemedycynie lekarze nadal są w stanie pomagać nawet tym, którzy z różnych powodów nie mogą dotrzeć do przychodni. Narzędzia te stale się rozwijają i stają ważniejsze niż kiedykolwiek wcześniej – dlatego tak ważnym wyzwaniem jest ich odpowiednie zabezpieczanie.

Źródło: Fortinet

Komentarzy (0)

fortinet logo

Tags: , , , ,

Nawet 600 nowych zagrożeń phishingowych dziennie związanych z koronawirusem

Dodany 23 kwietnia 2020 przez admin

W minionych tygodniach analitycy z należącego do firmy Fortinet FortiGuard Labs zaobserwowali znaczący wzrost cyberataków wykorzystujących nawiązania do pandemii koronawirusa i choroby COVID-19. Specjaliści wykrywają nawet 600 nowych zagrożeń phishingowych każdego dnia, zaś liczba wirusów wzrosła w marcu 2020 roku o 131% w porównaniu z marcem 2019.

Pandemia, podobnie jak inne zdarzenia o globalnym zasięgu, jest katalizatorem powstawania nowych cyberzagrożeń. Przestępcy są świadomi, że czasy gwałtownych zmian mogą powodować poważne zakłócenia w funkcjonowaniu przedsiębiorstw i instytucji, które skupiają się wówczas głównie na zapewnieniu ciągłości działania, zaś procedury bezpieczeństwa bywają zaniedbywane. Działania ze strony cyberprzestępców były więc w obecnej sytuacji spodziewane, jednak zaskakuje ich skala.

Cyberprzestępcy wykorzystują nagłe zmiany w cyfrowym świecie

Liczba użytkowników niezabezpieczonych urządzeń, podłączonych do Internetu, jest bezprecedensowa. W każdym gospodarstwie domowym z globalnej sieci korzysta kilka osób, w tym dzieci, które przez pewien czas zajmują się zdalną nauką, a resztę czasu spędzają na rozmowach z przyjaciółmi. Często też całe rodziny angażują się w gry wieloosobowe, rozmowy z bliskimi za pośrednictwem mediów społecznościowych, a także strumieniowo odtwarzają muzykę i filmy.

Taka sytuacja to woda na młyn cyberprzestępców, którzy bynajmniej nie wykorzystują tej sytuacji do relaksu. W ostatnim czasie analitycy z FortiGuard Labs obserwują średnio około 600 nowych kampanii phishingowych dziennie. W ich treści przekazywane są fałszywe informacje na temat pandemii, zaś styl komunikacji to żerowanie na ludzkim strachu i empatii. Często w złośliwych wiadomościach pojawia się temat dostępu do trudno osiągalnych środków medycznych czy też wsparcia technicznego dla pracowników zdalnych. Organizacja „Trolling the Dark Web” ujawniła natomiast takie cyberoszustwa związane z pandemią, jak np. oferty dostarczania chlorochiny i innych leków oraz urządzeń medycznych – wszystkie żerujące na strachu związanym z koronawirusem.

Niestety, wielu użytkowników ma niewłaściwie niezabezpieczone urządzenia prywatne, z których realizują służbowe obowiązki, a nierzadką sytuacją jest całkowity brak jakiejkolwiek ochrony. Phishing jest wymierzony przede wszystkim w nich. Oszuści przygotowali nawet ataki socjotechniczne ukierunkowane na dzieci, jak np. fałszywe oferty gier online czy darmowych filmów. Wiele pirackich stron oferuje obecnie możliwość oglądania ostatnich hitów kinowych za darmo, jednocześnie infekując złośliwym oprogramowaniem urządzenie użytkownika. Tym bardziej więc należy uważać na wszelkie „darmowe” okazje.

Phishing to tylko wierzchołek góry lodowej

Większość ataków phishingowych wykorzystuje jako złośliwy „ładunek” narzędzia typu ransomware (szyfrujące dane i żądające okupu za ich odzyskanie), trojany zdanego dostępu (Remote Access Trojan) i inne złośliwe oprogramowanie, za pomocą którego można uzyskać zdalny dostęp do urządzeń podłączonych do sieci. Znacznie wzrosła także liczba oszustw finansowych powiązanych z tematem pandemii, nawet z użyciem narzędzi w modelu usługowym MaaS (Malware-as-a-Service) przeznaczonych dla początkujących cyberprzestępców, tzw. script kiddies.

A jako że w czasie izolacji ludzie szukają kontaktu z innymi za pomocą komunikatorów, wideoczatów i za pośrednictwem mediów społecznościowych, cyberprzestępcy zyskują nowe możliwości działania. Domowe urządzenia bowiem nie muszą być atakowane bezpośrednio. Wszystkie są podłączone do sieci domowej, co otwiera wiele dróg ataku, a ostatecznym celem jest uzyskanie dostępu do zasobów firmowych. W ten sposób prywatne urządzenie pracownika zdalnego (takie jak tablet, konsola do gier, aparat cyfrowy oraz sprzęt z kategorii smart home jak system alarmowy czy oświetleniowy) może stać się bramą do sieci przedsiębiorstwa i umożliwia rozprzestrzenienie się złośliwego oprogramowania na urządzenia kolejnych pracowników. Wynikające z tego kłopoty mogą być równie poważne, co konsekwencje ataku ransomware, a w efekcie spowodować długotrwały przestój w działalności firmy.

Nagły wzrost liczby wirusów

Analitycy FortiGuard Labs zaobserwowali znaczny przyrost liczby wykrytych wirusów, spośród których wiele znajdowało się w złośliwych załącznikach do phishingowych wiadomości. Na przykład, w I kwartale 2020 r. udokumentowano: wzrost o 17% liczby wirusów w styczniu, 52% w lutym i 131% w marcu (w porównaniu z danymi z analogicznych miesięcy 2019 r.).

Co ciekawe, jednocześnie widać spadek liczby botnetów (w styczniu o 66%, lutym – o 65%, marcu – o 44% w porównaniu rok do roku). Podobnie liczba ataków wykrywanych przez systemy ochrony przed włamaniami (IPS) spadła w marcu o 58% w porównaniu z marcem roku 2019. Widać więc wyraźnie, że cyberprzestępcy reagują na kryzys, dostosowując do niego strategie ataków.

Pracownicy zdalni pod ostrzałem

Istotne jest, aby administratorzy IT w przedsiębiorstwach podejmowali działania mające na celu ochronę pracowników zdalnych i pomagali im zabezpieczyć swoje urządzenia oraz sieci domowe. Zacząć należy od działań edukacyjnych, aby pracownicy zdalni i ich rodziny byli świadomi zagrożeń (Fortinet udostępnił szereg bezpłatnych kursów dla telepracowników z zakresu bezpieczeństwa). Następnie należy zapewnić szyfrowaną łączność z firmą z wykorzystaniem wirtualnej prywatnej sieci VPN. Warto też rozważyć dostarczenie pracownikowi licencji stosowanego w firmie oprogramowania do zwalczania złośliwego kodu, aby mógł je zainstalować na prywatnym sprzęcie. Być może pracownicy będą zainteresowani także konsultacjami w jaki sposób upewnić się, że ich domowe routery i punkty dostępowe Wi-Fi są odpowiednio zabezpieczone.

Oczywiście konieczne jest także zapewnienie ochrony w firmowej infrastrukturze. Szczególnie zalecane jest skorzystanie z wieloskładnikowego uwierzytelniania i systemów jednokrotnego logowania (Single-Sign On), jak też nieustanna weryfikacja, czy z siecią łączą się wyłącznie uprawnione do tego urządzenia. Ochronę przed phishingiem oraz ransomware’em zapewnią dodatkowe narzędzia zabezpieczające bramy poczty elektronicznej.

Autor: Derek Manky, Chief of Security Insights & Global Threat Alliances w firmie Fortinet

Komentarzy (0)

fortinet logo

Tags: , , ,

„Szatan” szyfruje pliki – uwaga na ransomware

Dodany 05 lipca 2019 przez admin

Ransomware o nazwie „Satan” pojawił się po raz pierwszy na początku 2017 roku. Od tego czasu jego autorzy stale doskonalą to narzędzie, aby skuteczniej atakować ofiary i maksymalizować zyski z przestępczego procederu. W ostatnim czasie analitycy z laboratorium FortiGuard firmy Fortinet odkryli kampanię z jego wykorzystaniem, w której jako dodatkowego narzędzia użyto oprogramowania do cryptojackingu.

Jak działa „Satan”?

Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na urządzeniu ofiary, a następnie żąda okupu za udostępnienie klucza umożliwiającego ich odblokowanie. „Satan” działa zarówno na urządzeniach z systemem Windows, jak i Linuksem. Ponadto wykorzystuje liczne luki, aby rozprzestrzeniać się w sieciach publicznych i zewnętrznych. Specjaliści z Fortinet wykryli nowy wariant, który wykorzystywał jeszcze więcej podatności.

Najważniejszą aktualizacją, którą zaobserwowano w FortiGuard, jest dodanie kilku eksploitów odpowiedzialnych za zdalne wykonywanie kodu aplikacji internetowych, które są również zaimplementowane w wersji dla Linuksa – wyjaśnia Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce.

Aby się rozprzestrzeniać, „Satan” dokonuje przekierowania adresów IP, a następnie próbuje przeskanować i wykorzystać całą listę swoich eksploitów na każdym napotkanym adresie. Ponadto może on skanować komputer pod kątem wykorzystania niektórych aplikacji, takich jak Drupal, XML-RPC, narzędzia firmy Adobe itp. Najprawdopodobniej jego celem jest zebranie statystyk ich wykorzystania, które mogą być wykorzystane do kolejnych ataków. Autorzy ransomware mogą go łatwo aktualizować w celu zaimplementowania eksploita przeciwko jednej z tych aplikacji, jeśli zauważą, że ma ona wystarczająco wielu użytkowników. W dodatku „Satan” jest już dostępny w modelu RaaS (Ransomware-as-a-Service), co umożliwia korzystanie z niego przez większą liczbę cyberprzestępców. Przekłada się to na większą częstotliwość i skalę ataków.

Z kolei użyty jako dodatkowa funkcja cryptojacking pozwala na wykorzystanie mocy obliczeniowej urządzenia – wbrew jego użytkownikowi – w celu wydobywania kryptowalut. Proceder ten oznacza dla ofiary szybsze zużywanie się podzespołów, zwłaszcza procesora, oraz zwiększony pobór energii, w konsekwencji prowadzący do naliczania wyższych rachunków za prąd.

Ransomware nie traci na popularności

Ataki z wykorzystaniem złośliwego oprogramowania służącego do wymuszania okupów należą do najbardziej spektakularnych, jakie miały miejsce w ostatnich latach. Przykładowo, cyberprzestępcy używający ransomware WannaCry zaatakowali za jego pomocą w 2017 roku cele w ponad stu państwach. Wśród ofiar znalazły się znane firmy i instytucje.

Według przeprowadzonego przez Fortinet badania, ransomware to najpoważniejszy problem, z jakim borykają się działające w Polsce firmy. Aktywności tego rodzaju złośliwego oprogramowania doświadczyła ponad połowa z nich, a 47% wskazuje na nie jako na największe możliwe zagrożenie bezpieczeństwa IT. Według danych Fortinet najczęściej występującym ransomware w Polsce w ostatnim czasie był GandCrab.

Ransomware jest także niebezpieczny dla użytkowników prywatnych. – Atak zazwyczaj poprzedzony jest rozesłaniem phishingowej wiadomości e-mail, w której zawarty jest link prowadzący do pliku ze złośliwym oprogramowaniem lub zainfekowanej strony – wyjaśnia Robert Dąbrowski. – Dlatego jednym z najważniejszych elementów cyberhigieny jest zasada, aby nie otwierać podejrzanych wiadomości, ani tym bardziej nie klikać na zawarte w nich hiperłącza.

Źródło: Fortinet

Komentarzy (0)

fortinet logo

Tags: ,

Najpopularniejsze metody cyberataków na firmy w Polsce

Dodany 09 czerwca 2019 przez admin

Analitycy z laboratorium FortiGuard firmy Fortinet sprawdzili, jakie narzędzia były wykorzystywane przez cyberprzestępców do ataków na działające w Polsce firmy. Za część z nich odpowiada złośliwe oprogramowanie znane na całym świecie, jak GandCrab czy Zeroaccess. Globalną karierę zrobił też opracowany w Polsce wirus o swojsko brzmiącej nazwie… Prosiak.

GandCrab – najpopularniejszy ransomware

Ransomware to popularne wśród cyberprzestępców narzędzie blokujące urządzenie ofiary i szyfrujące zgromadzone na nim dane, a następnie żądające okupu za odzyskanie do nich dostępu. Jedne z najsłynniejszych cyberataków, do których doszło w ostatnich latach – WannaCry oraz Petya/NotPetya – należą właśnie do tej rodziny złośliwego oprogramowania.

Tymczasem w Polsce najczęściej występował ransomware o nazwie GandCrab. W drugiej połowie 2018 r. odnotowano ponad 1500 przypadków aktywności jego różnych wariantów. GandCrab był w tym samym czasie także najczęściej występującym oprogramowaniem szyfrującym na świecie, z ponad 3 milionami przypadków ataku.

Widoczny jest znaczny spadek aktywności WannaCry, który w 2017 r. doprowadził do paraliżu wielu instytucji na całym świecie i spowodował straty wycenione przez ekspertów na 8 miliardów dolarów. W drugiej połowie 2018 r. nie znalazł się już w gronie najczęstszych ataków ransomware w Polsce. Z kolei na całym świecie odnotowano w tym czasie tylko 16 tysięcy przypadków z jego wykorzystaniem.

Unikalnym ransomware występującym w Polsce wydaje się być Shade, który pojawił się około 2014 r. i jest rozprzestrzeniony przez malspam – a więc spam zawierający złośliwy załącznik, najczęściej plik w formacie zip, prezentowany odbiorcy jako coś, co należy jak najszybciej otworzyć. W Polsce w omawianym czasie odnotowano 228 przypadków Shade, nie był natomiast zauważony w podobnej skali na całym świecie.

Szczególnie interesujące były ataki ransomware, w których przestępcy próbowali podszywać się pod rosyjskie spółki naftowo-gazowe, w szczególności „PAO NGK Slavneft”. Prawdopodobnie ich celem było uderzenie w część tego segmentu przemysłu – mówi dr Paolo Di Prodi, analityk z firmy Fortinet.

Polski Prosiak podbija świat

Interesującym przypadkiem jest pochodzące z Polski złośliwe oprogramowanie o nazwie Prosiak. Jest to wirus, którego aktywność odnotowano najczęściej nie tylko w Polsce (ponad 270 tysięcy przypadków), ale też na świecie (prawie 28 milionów przypadków).

Prosiak jest backdoorem, a więc narzędziem, które cyberprzestępca tworzy po to, aby później za jego pomocą (przez „tylne drzwi”) dostać się do wybranego za cel systemu.

Backdoory mogą pojawiać się także w inny sposób, np. w wyniku pomyłki w kodzie lub są celowo tworzone przez producentów oprogramowania, aby później za ich pomocą np. naprawiać błędy. Oczywiście w tej sytuacji istnieje ryzyko, że taka intencjonalnie pozostawiona furtka zostanie odkryta przez cyberprzestępców i wykorzystana do nielegalnych celów.

Uwaga na luki w produktach Adobe i Microsoft

Sondy FortiGuard odnotowały w Polsce największą aktywność eksploitów, a więc złośliwego oprogramowania wykorzystującego luki w zabezpieczeniach, związanych z oprogramowaniem Adobe Reader i Acrobat oraz z pakietem MS Office. Cyberprzestępcze grupy wykorzystujące te narzędzia to m.in. Cobalt Group czy Goblin Panda.

Liczba przypadków wykrycia aktywności eksploita PDF/CVE_2013_2729.E!exploit wyniosła prawie 102 tysiące. Natomiast aktywność eksploitów wykorzystujących luki w pakiecie Office odnotowano ponad 41 tysięcy razy.

Niebezpieczne botnety

Botnet jest to grupa zainfekowanych złośliwym oprogramowaniem komputerów lub urządzeń IoT, za pomocą których cyberprzestępca może rozpowszechniać inny malware, wysyłać spam lub przeprowadzać ataki typu DDoS (Distributed Denial of Service – rozproszona odmowa usługi). Właściciele przejętych urządzeń nie wiedzą, że służą one do cyberprzestępczej aktywności.

Według danych Fortinet dwa najpopularniejsze botnety obecne w Polsce (po ponad 6 milionów odnotowanych przypadków aktywności) to H-worm i Zeroaccess.

H-worm jest wykorzystywany w ukierunkowanych atakach na międzynarodowy przemysł energetyczny, jednak zaobserwowano, że jest on również wykorzystywany szerzej – jako sposób przeprowadzania ataków poprzez malspam i złośliwe linki.

Z kolei botnet Zeroaccess został odkryty co najmniej około maja 2011 r. Szacuje się, że pakiet odpowiedzialny za jego rozprzestrzenianie był obecny w co najmniej 9 milionach systemów na całym świecie. W grudniu 2013 r. koalicja pod przewodnictwem Microsoftu próbowała bez powodzenia zniszczyć sieci dowodzenia i kontroli botnetu.

Świadome zarządzanie ryzykiem

Niestety często od naruszenia bezpieczeństwa do momentu jego wykrycia upływają długie miesiące. W tym czasie cyberprzestępcy są w stanie poczynić duże spustoszenie w zasobach firmy, gdyż mają dostęp do poufnych danych, m.in. o finansach. – Nasze wcześniejsze badanie pokazało, że aż 95% przedsiębiorstw działających w Polsce na przestrzeni minionych dwóch lat doświadczyło cyberataku – mówi Jolanta Malak, dyrektor polskiego oddziału Fortinet. Na szczęście po zarządach firm widać stopniowy wzrost świadomości problemu. Cyberbezpieczeństwo staje się w firmach kluczowym elementem szerszej strategii zarządzania ryzykiem i wychodzi już poza kwestie związane tylko z informatyką.

Metodologia badania

Przedstawione dane pochodzą z czujników laboratorium FortiGuard rozmieszczonych na terenie Polski i zostały zebrane od 1 czerwca do 31 grudnia 2018 r. Zaprezentowano łączną liczbę przypadków wykrycia zagrożenia przez urządzenia FortiGate (za przypadek traktowano sytuację, gdy sygnatura pliku została rozpoznana przez mechanizm antywirusowy lub silnik IPS wykrył podejrzane połączenie).

Źródło: Fortinet

Komentarzy (0)

fortinet logo

Tags: ,

Badanie Fortinet – 74% przedsiębiorstw doświadczyło naruszenia bezpieczeństwa systemów przemysłowych

Dodany 02 czerwca 2019 przez admin

Trend, w ramach którego w firmach łączone są ze sobą systemy z dziedziny technologii informacyjnej (IT) oraz operacyjnej (OT), pomimo licznych zalet, niesie ze sobą również duże ryzyko pod względem cyberbezpieczeństwa. Według opublikowanego przez Fortinet raportu o bezpieczeństwie technologii operacyjnych, 74% przedsiębiorstw doświadczyło w ostatnim roku naruszenia bezpieczeństwa tych systemów.

Technologie operacyjne i informacyjne od początku ich istnienia były zarządzane osobno, ale przez ostatnich 12–18 miesięcy coraz częściej obserwuje się próby połączenia tych dwóch środowisk. Wykorzystywanie analizy danych czy uczenia maszynowego w systemach OT usprawniło ich produktywność oraz skuteczność, a dodatkowo zwiększyło szybkość reakcji na zagrożenia.

Specjaliści od OT muszą jednak zdawać sobie sprawę z efektów, jakie to połączenie ma wpływ na cyberbezpieczeństwo w kontekście krytycznej infrastruktury. Te firmy, które nie biorą cyberbezpieczeństwa pod uwagę, ryzykują utratę wszystkich zalet, jakie przynosi połączenie OT z IT.  Każda przerwa w działaniu systemów przemysłowych, spowodowana przez ataki hakerskie, może mieć poważne konsekwencje, nawet dla ludzkiego zdrowia i życia.

 Główne cyberzagrożenia związane z OT

Fortinet przeprowadził badanie wśród firm działających w branży produkcyjnej, opiece zdrowotnej, sektorze energetycznym, usługach komunalnych oraz transporcie, które zatrudniają ponad 2,5 tys. pracowników. Wyniki pokazują najbardziej zagrożone obszary OT i najczęstsze rodzaje cyberataków.

 

W ciągu ostatnich 12 miesięcy 74% przedsiębiorstw związanych z OT było ofiarą włamania i kradzieży danych – dla wielu firm miało to poważne skutki, takie jak utrata zysków, wrażliwych informacji i reputacji.

Według ankietowanych najczęstsze formy zagrożeń dla systemów OT to złośliwe oprogramowanie, phishing, spyware oraz włamania na urządzenia mobilne. Te rodzaje ataków utrzymują się z następujących powodów:

  • Słaba widoczność: 78% przedsiębiorstw ma ograniczone możliwości podglądu aktualnego stanu zabezpieczeń technologii operacyjnej, stąd zespoły ds. cyberbezpieczeństwa nie mogą dostatecznie szybko wykrywać podejrzanej aktywności i reagować na nią.
  • Niedobór personelu: niewystarczająca liczba specjalistów to jeden z największych problemów w branży cyberbezpieczeństwa. Również brak wyszkolonych kandydatów na stanowiska ochrony OT budzi niepokój liderów tego sektora, którzy chcą wdrożyć nowe zabezpieczenia.
  • Gwałtowne zmiany: 64% ankietowanych zgadza się, że trudno nadążyć im za wszystkimi zmianami w dziedzinie cyberbezpieczeństwa. Jednocześnie obawiają się, że spowolnienie transformacji może oznaczać utratę przewagi nad konkurencją.
  • Złożoność sieci: Środowiska sieci OT są bardzo skomplikowane – wymagają monitorowania i zabezpieczenia od 50 do nawet 500 urządzeń, z których wiele pochodzi od różnych producentów. Oznacza to duże trudności, gdyż każde urządzenie przechowuje inne dane i jest inaczej skonfigurowane pod kątem zabezpieczeń.

 

Jak zwiększyć bezpieczeństwo OT?

Firmy wykorzystujące technologie operacyjne mogą podjąć zróżnicowane działania, aby poprawić swoją ochronę i zminimalizować ryzyko związane z przerwami w działaniu w wyniku ataków. 62% z nich zadeklarowało, że chce w tym roku znacząco zwiększyć budżet przeznaczony na cyberbezpieczeństwo, a 70% zamierza zmodyfikować strategię bezpieczeństwa przez powołanie dyrektora ds. bezpieczeństwa informatycznego (CISO) odpowiedzialnego za zabezpieczenia OT – obecnie tylko 9% osób na tym stanowisku zarządza ochroną OT.

Fortinet zbadał też różnice pomiędzy przedsiębiorstwami, które przez ostatnie 12 miesięcy nie doświadczyły żadnych ataków a tymi, które wykryły ich ponad sześć. Te pierwsze wykorzystywały wachlarz metod zapewniających wzmożoną ochronę, między innymi:

  • wielostopniowa autoryzacja,
  • kontrola dostępu bazująca na rolach,
  • segmentacja sieci,
  • przeprowadzanie oceny zgodności zabezpieczeń,
  • zarządzanie i analiza wypadków.

Dalsze łączenie systemów OT z IT będzie wymagało uwzględnienia tych metod. Dzięki temu osoby odpowiedzialne w firmach za bezpieczeństwo informatyczne uzyskają również lepszy wgląd w środowisko OT, przez co będą mogły zredukować ryzyko ataków – mówi Jolanta Malak, dyrektor Fortinet w Polsce.

Źródło: Fortinet

Komentarzy (0)

fortinet logo

Tags: ,

Sześć sposobów, jak stworzyć i stosować bezpieczne hasło

Dodany 18 maja 2019 przez admin

Specjaliści ds. cyberbezpieczeństwa stale zwracają uwagę na konieczność stosowania odpowiednio silnych i zróżnicowanych haseł do różnych kont online. Problem jest o tyle istotny, że wykradzione lub słabe dane dostępowe odpowiadają za aż 81% przypadków naruszeń bezpieczeństwa – wynika z raportu „Data Breach Investigation” firmy Verizon. W dodatku 83% użytkowników internetu przyznaje się, że stosuje to samo hasło do wielu kont.

Silne hasło na pierwszej linii obrony

Tworzenie silnych haseł i regularne ich aktualizowanie jest pierwszą linią obrony w zabezpieczaniu zarówno informacji osobistych, jak i firmowych. Jest to podstawowy element cyberhigieny, który każdy pracownik i każda osoba prywatna możne z łatwością wdrożyć. Używanie tych samych haseł w różnych serwisach społecznościowych lub usługach online jest nie tylko jednym z najpowszechniejszych, ale i najpoważniejszych zagrożeń dla bezpieczeństwa w internecie. – Wystarczy naruszenie jednego konta, a nazwa użytkownika i hasło trafiają w niepowołane ręce. Cyberprzestępcy wiedzą, że te same hasła są często wykorzystywane w wielu miejscach i zaczną je łączyć z innymi możliwymi kontami, aż trafią na takie, które wykorzystuje te same dane uwierzytelniającemówi Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce.

Przeciętny adres e-mail w Stanach Zjednoczonych jest powiązany z aż 130 kontami. Wiele osób zapisuje więc w tej sytuacji hasła na kartce papieru lub przechowuje ich listę w niezabezpieczonych plikach na swoich komputerach. W ten sposób dane uwierzytelniające mogą łatwo dostać się w niepowołane ręce – bez względu na to, czy zostaną zagubione, czy też przechwycone przez cyberprzestępców.

123, qwerty

Jedne z najczęściej używanych rodzajów haseł to imiona członków rodziny, nazwy ulubionych zespołów sportowych lub muzycznych oraz różne warianty ciągów znaków „123456789” czy „qwerty”. Najlepiej unikać podobnych kombinacji. Specjaliści Fortinet radzą ponadto, aby w hasłach nie zawierać swojej daty urodzin, numeru telefonu czy maskowanych w prosty sposób słów – jak np. „H@$ło”.

Warto pamiętać, że cyberprzestępcy mają bazy danych zawierające najczęściej używane słowa, zwroty czy kombinacje cyfr, które mogą pomóc w szybkim dopasowaniu hasła do adresu mailowego.

Jak odpowiednio zabezpieczyć konta?

Podstawową zasadą jest, że im dłuższe i bardziej złożone hasło, tym trudniej je złamać. Powinno być ono trudne do odgadnięcia nawet dla kogoś, kto zna dane osobowe  właściciela, imiona jego dzieci lub zwierząt czy adres zamieszkania.

Według ekspertów Fortinet podczas tworzenia lub aktualizacji haseł warto pamiętać o sześciu zasadach:

  • Używanie wieloetapowej weryfikacji dostępu. I to wszędzie, gdzie możliwe. Ta metoda pozwala na potwierdzenie tożsamości właściciela konta przez wykorzystanie kombinacji kilku zabezpieczeń: hasła SMS, tokenu czy odpowiedzi na pytanie pomocnicze.
  • Odrębne hasło dla każdego konta. Dzięki temu, nawet jeśli dane jednego konta zostaną wykradzione, pozostałe przypisane do tego samego adresu e-mail mogą pozostać w tym przypadku bezpieczne.
  • Zmiana haseł co trzy miesiące. Listy wykradzionych danych trafiają do darknetu często dopiero jakiś czas po ich wykradzeniu. Systematyczna zmiana haseł pozwala uniknąć sytuacji, kiedy ktoś włamie się na nasze konto za sprawą wycieku danych sprzed kilku miesięcy.
  • Dyskretne wprowadzanie haseł. Podczas logowania warto się rozejrzeć, czy np. nie znajdujemy się w polu widzenia kamery lub czy ktoś obcy nie patrzy się w nasz ekran. Szczególną ostrożność warto zachować, logując się do serwisów bankowości elektronicznej.
  • Ostrożność podczas pobierania plików. Pochodzące z nieznanego źródła pliki mogą zawierać złośliwe oprogramowanie, w tym tzw. keyloggery służące do wykradania haseł.
  • Używanie menedżera haseł przechowującego je w chmurze. Jest to szczególnie ważne w sytuacji, kiedy użytkownik zarządza wieloma kontami. Narzędzia do zarządzania hasłami umożliwiają bezpieczne przechowywanie ich zaszyfrowanej listy w chmurze, do której można uzyskać dostęp z dowolnego urządzenia. Wystarczy zapamiętać tylko jedno bardzo silne hasło, aby uzyskać do niej dostęp. Wówczas można też stosować bardzo silne hasła dla wszystkich kont, ponieważ nie trzeba koniecznie ich zapamiętywać.

Źródło: Fortinet

Komentarzy (0)

fortinet logo

Tags: , ,

Fortinet przedstawia pierwszy w branży układ SD-WAN ASIC

Dodany 02 maja 2019 przez admin

Fortinet, globalny dostawca rozwiązań do ochrony cyberprzestrzeni, rozszerzył ofertę SD-WAN o nowe rozwiązania, w tym pierwszy w branży specjalizowany układ scalony ASIC SD-WAN, który pomoże firmom w budowaniu bezpiecznych sieci.

 

Organizacje coraz częściej wykorzystują sieci rozległe definiowane programowo (SD-WAN), aby zapewnić sobie szybszą i tańszą łączność. Podstawowym wyzwaniem dla większości z nich (72%) w tym obszarze jest bezpieczeństwo, na co wskazuje badanie firmy Gartner. Aby temu zaradzić, Fortinet wprowadził do oferty szereg innowacyjnych rozwiązań.

SoC4 SD-WAN ASIC

W odpowiedzi na coraz większą popularność aplikacji wielochmurowych i SaaS, Fortinet zaprezentował pierwszy w branży specjalizowany układ SoC4 SD-WAN ASIC. Zapewnia on bardzo szybką identyfikację ponad 5000 rodzajów aplikacji, których dane przesyłane są przez sieć rozległą oraz optymalizację ich transferu. W efekcie można liczyć na płynne korzystanie z kluczowych dla firmy aplikacji.

FortiGate 100F Next Generation Firewall

W tej zaporze sieciowej nowej generacji zastosowano układ SoC4 SD-WAN ASIC, dzięki czemu połączono funkcjonalność SD-WAN oraz zaawansowaną ochronę w jedno spójne rozwiązanie. Użytkownicy mogą liczyć na dziesięciokrotnie szybsze działanie w porównaniu z ofertą konkurencji. FortiGate 100F Next Generation Firewall wykorzystuje też zintegrowany interfejs 10G, co ułatwi przyszłą rozbudowę bez konieczności zakupu dodatkowego urządzenia.

Nowe funkcje SD-WAN w ramach FortiOS 6.2

Wielu klientów rezygnuje z wieloprotokołowej technologii MPLS na rzecz połączeń szerokopasmowych. Ponieważ taka zmiana może negatywnie wpłynąć na efektywność pracy użytkowników, nowe funkcje SD-WAN w systemie FortiOS 6.2 między innymi optymalizują transfer danych w sieci rozległej WAN i zapewniają lepszą wydajność dla narzędzi ujednoliconej komunikacji. Dostępna jest również funkcja obliczania na żądanie przepustowości sieci WAN i agregacji łączy w celu szybszego przesyłania pakietów. Dzięki temu użytkownicy mogą w każdej chwili liczyć na najwyższą wydajność aplikacji.

Nowe usługi bezpieczeństwa Fortinet 360

Coraz więcej operacji w sieciach rozległych odbywa się w ich warstwie brzegowej (WAN Edge). Aby uprościć zarządzanie nimi, Fortinet zapewnia głęboką integrację pomiędzy siecią SD-WAN i rozwiązaniami dostępowymi w oddziałach przedsiębiorstw. Umożliwia to m.in. układ SoC4 SD-WAN ASIC, który wpływa na przyspieszenie transmisji danych pomiędzy brzegiem sieci WAN, punktami dostępowymi i przełącznikami. Fortinet zaprezentował także pakiet usług Fortinet 360 Protection Services zapewniających orkiestrację i zarządzanie środowiskiem SD-WAN, nawet w sieciach o najbardziej skomplikowanej architekturze. Dodatkowo funkcjonalność rozwiązania FortiManager rozszerzono o obsługę wszelkiego rodzaju środowisk (wdrażanych lokalnie i wielochmurowych), dzięki czemu możliwe jest zarządzanie transmisją danych na brzegu sieci WAN.

Fortinet Secure SD-WAN jako jedyne rozwiązanie do budowy sieci rozległych zdefiniowanych programowo otrzymało ocenę „Recommended” w niedawnym raporcie NSS Labs.

Źródło: Fortinet

Komentarzy (0)

fortinet logo

Tags: , ,

Dziewięć etapów cyberataku na firmę

Dodany 14 marca 2019 przez admin

Cyberprzestępcy są w stanie w krótkim czasie wykraść z firmowej sieci znaczące ilości cennych danych. Zrozumienie tego, jak przebiega cyberatak i jakie podatności są wykorzystywane przez hakerów, może zminimalizować ryzyko, że firma padnie jego ofiarą.

Świadomość tych zagrożeń pozwala organizacjom wdrożyć odpowiednie rozwiązania ochronne. Aby to ułatwić, organizacja MITRE[1] zaproponowała klasyfikację przebiegu ataku hakerskiego. Jego kluczowe elementy to:

  • Uzyskanie wstępnego dostępu: wykorzystanie znanych podatności, tworzenie fałszywych stron internetowych i aplikacji lub skutecznie przeprowadzony atak phishingowy pozwalają przestępcom ustanowić punkt zaczepienia do dalszego ruchu wewnątrz sieci.
  • Rozpoczęcia działania: na tym etapie atakujący uruchamia plik, komendę lub skrypt, aby rozpocząć rekonesans sieci i proces wykrywania kolejnych luk w zabezpieczeniach.
  • Utrzymanie się w sieci: kiedy cyberprzestępca ustanowił już punkt zaczepienia, jego następnym krokiem jest uniknięcie wykrycia. Pozwala mu to nadal poszukiwać potencjalnych celów w sieci.
  • Rozszerzanie uprawnień: uzyskanie podstawowego dostępu nie pozwala hakerom dowolnie przeszukiwać sieci. Aby poruszać się po niej i dostać się do zasobów wartych kradzieży, zdobywają wyższe uprawnienia.
  • Omijanie zabezpieczeń: atakujący muszą omijać rozwiązania ochronne w trakcie poruszania się po sieci, zwłaszcza podczas wykradania danych. Korzystają więc z takich działań jak np. imitowanie standardowych zachowań ruchu sieciowego lub dezaktywowanie rozwiązań zabezpieczających.
  • Uzyskanie uwierzytelnienia: wiele organizacji chroni kluczowe informacje i inne zasoby za pomocą odpowiednio rozbudowanego uwierzytelnienia. Dane są przechowywane w rejestrze lub w plikach, które atakujący mogą wykorzystać do swoich celów. Niestety dotarcie do nich nie zawsze jest trudne. – Istnieją techniki, które pozwalają cyberprzestępcom przechwycić ruch sieciowy, aby wykraść dane uwierzytelniające. Mogą też manipulować kontami, dodając lub modyfikując ich uprawnienia – tłumaczy Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce.
  • Wyszukiwanie zasobów: nie wszystkie dane znajdują się w tym segmencie sieci, do którego się włamano. Wiele dotychczasowych kroków jest przez cyberprzestępcę powtarzanych, dzięki czemu jest on w stanie określić lokalizację najbardziej wartościowych zasobów i poruszać się pomiędzy różnymi segmentami sieci w fizycznych oraz wirtualnych centrach danych.
  • Gromadzenie i wykradanie danych: atakujący dotarł już do poszukiwanych przez siebie zasobów. Na tym etapie chce wydostać je z sieci bez wykrycia swojej aktywności. Jest to często najbardziej skomplikowany etap całego procesu i może dotyczyć ogromnych ilości danych. Jeśli jednak cyberprzestępca do tego momentu dokładnie wykonał każdy element ataku, jest w stanie pozostać w firmowej sieci przez miesiące. W tym czasie będzie powoli przesyłał dane do innych lokalizacji w jej obrębie, będących pod mniej rygorystycznym nadzorem, by ostatecznie przenieść je poza sieć.
  • Zarządzanie i kontrola: Ostatnim krokiem atakującego jest całkowite zatarcie śladów. Cyberprzestępcy chcą być pewni, że nie będzie można ich namierzyć, podążając śladem skradzionych informacji. Wykorzystują w tym celu np. odpowiednie serwery proxy czy maskowanie danych.

Naruszenie bezpieczeństwa prowadzące do utraty danych może nastąpić w ciągu kilku minut lub godzin, a jego wykrycie często zajmuje tygodnie i miesiące. Do tego czasu sprawcom uda się zniknąć, a skradzione informacje już dawno przepadną lub zostaną sprzedane na czarnym rynku – mówi Robert Dąbrowski. – Skutecznym sposobem, aby sprostać temu wyzwaniu, jest porzucenie tradycyjnego podejścia opartego na pojedynczych narzędziach ochronnych i wprowadzenie zintegrowanej architektury zabezpieczeń.

[1] https://www.mitre.org/, amerykańska organizacja non-profit zajmująca się m.in. cyberbezpieczeństwem

Źródło: Fortinet

Komentarzy (0)

Zdjęcia z naszego Flickr'a

Zobacz więcej zdjęć

POWIĄZANE STRONY

ELASTYCZNY WEB HOSTING