Zakaj hekerji izbirajo svoje tarce (mogoce ste to vi)

Vsaka organizacija, s katero sodelujem, mi sprva pove isto: "Nismo zares tarca. Zakaj bi se kdo lotil nas?" To prepricanje je ena najnevarnejsih predpostavk v kibernetski varnosti. Po osemnajstih letih penetracijskega testiranja in opazovanja delovanja resnicnih napadalcev vam lahko povem, da je izbira tarc hkrati bolj sistematicna in bolj oportunisticna, kot vecina ljudi misli. Razumevanje, kako in zakaj napadalci izbirajo tarce, je bistveno za posteno oceno lastnega tveganja.

Oportunisticni napadi

Vecina kibernetskih napadov sploh ni ciljnih. Napadalci mecejo siroke mreze in skenirajo celoten internet za znane ranljivosti in nizko visece sadje. Uporabljajo avtomatizirana orodja za identifikacijo izpostavljenih storitev, nezakrpanih sistemov in privzetih poverilnic na milijonih IP-naslovov. Ce ima vasa organizacija kakrsne koli internetno izpostavljene sisteme, vas že vsak dan skenirajo, pretipavajo in testirajo avtomatizirane napadalne infrastrukture.

• Nezakrpani sistemi - Ko je kriticna ranljivost objavljena, napadalci zacnejo s masovnim skeniranjem za ranljive sisteme v nekaj urah. Videl sem organizacije, kompromitirane z ranljivostmi, za katere so bile zakrpe na voljo ze mesece, preprosto zato, ker so zaostali s posodobitvami. Okno med razkritjem ranljivosti in masovnim izkoriščanjem se nenehno krajsa. Pri nedavnih kriticnih ranljivostih so se oboroženi exploiti pojavili v stirindvajsetih urah po razkritju.
• Privzete poverilnice - Presenetljivo je, koliko produkcijskih sistemov se vedno tece s privzetimi uporabniskimi imeni in gesli. Omrežne naprave, upravljavski vmesniki, podatkovne baze, IoT naprave: med penetracijskimi testi redno najdem kriticne sisteme, dostopne z admin/admin ali podobnimi privzetimi poverilnicami. Napadalci to vedo in sistematicno preizkusajo privzete poverilnice na vsaki izpostavljeni storitvi.
• Izpostavljene storitve - Storitve, ki bi morale biti notranje, kot so RDP, vrata podatkovnih baz, administrativni vmesniki ali razvojna okolja, so pogosto izpostavljena internetu. Vckasih gre za napacno konfigurirano pravilo požarnega zidu, vckasih za spregledano oblacno varnostno skupino, vckasih za zacasno izjemo, ki je postala trajna. Vsaka izpostavljena storitev je vabilo za avtomatizirane napade.

Ciljni napadi

Ko napadalci namenoma izberejo dolocene organizacije, njihove motivacije obicajno spadajo v predvidljive kategorije. Razumevanje teh vam pomaga oceniti, ali vasa organizacija ustreza profilu.

• Financna motivacija - Operaterji izsiljevalske programske opreme specificno ciljajo organizacije, ki si ne morejo privosciti podaljsanih izpadov: zdravstvene ustanove, proizvodna podjetja, logisticna podjetja. Raziskujejo tarce, razumejo prihodke in temu ustrezno dolocijo zahteve. Sodeloval sem s podjetji, ki so odkrila, da so napadalci tedne preslikavali sisteme varnostnih kopij, preden so namestili izsiljevalsko programsko opremo.
• Dostop do dobavne verige - Ce zagotavljate storitve vecji organizaciji, imate VPN dostop do partnerjeve omrežja ali vasa programska oprema tece v podjetniskih okoljih, postanete odskocna deska. Nekateri najunicojorejsi vdori so se zaceli s kompromitacijo manjsega dobavitelja. Med ocenami redno prikazujem, kako bi dostop do sistemov dobavitelja izkoristili za dosego primarne tarce.
• Konkurencna prednost - Poslovne skrivnosti, intelektualna lastnina, raziskovalni podatki, seznami strank: vse to ima konkretno vrednost za konkurente. Državno sponzorirane skupine ciljajo organizacije v vseh sektorjih. Ce razvijate lastniško tehnologijo ali konkurirate na obcutljivih trgih, je to resnicna kategorija groženj.
• Haktivizem - Organizacije z visoko javno vidnostjo ali kontroverznimi stalisci lahko privabijo ideolosko motivirane napadalce. Ti napadi so pogosto manj sofisticirani, a so lahko zelo moteci in skodljivi za ugled.

Mit o malih podjetjih

Mala podjetja so nesorazmerno ciljana, ker imajo obicajno sibkejso obrambo, manj spremljanja in pocasnejsi odziv na incidente. Za oportunisticne napadalce je malo podjetje z nezakrpanim VPN-jem enako privlacno kot veliko podjetje z isto ranljivostjo. Za operaterje izsiljevalske programske opreme je malo podjetje, popolnoma odvisno od IT sistemov in brez preizkusene strategije varnostnih kopij, enostaven zasluzek.

Ali ste tarca?

Posteno si zastavite ta vprasanja:

• Ali obdelujete ali hranite dragocene podatke, kot so informacije o strankah, financni zapisi, zdravstveni podatki ali intelektualna lastnina?
• Ali ste del kriticne dobavne verige ali zagotavljate storitve vecjim organizacijam?
• Ali bi operativni izpad vaso organizacijo stal veliko denarja ali skodoval vasim strankam?
• Ali ste javno vidni, delujete v regulirani industriji ali ste vpleteni v kaj kontroverznega?
• Ali imate internetno izpostavljene sisteme, ki bi jih bilo mozno odkriti s preprostim skeniranjem?

Ce ste na katero koli od teh vprasanj odgovorili pritrdilno, ste tarca. Vprasanje ni, ali boste ciljani, ampak ali boste pripravljeni, ko se bo to zgodilo.

Kaj lahko storite

Razumevanje vasega profila groženj je prvi korak k ustrezni obrambi. Zmanjsajte svojo napadalno povrsino z minimiziranjem izpostavljenih storitev in vzdrzevanjem strogega upravljanja popravkov. Uvedite mocno avtentikacijo povsod, zlasti na internetno izpostavljenih sistemih. Spremljajte znake kompromisa, namesto da predpostavljate, da je vas obod neprebojn. In razmislite o rednem varnostnem testiranju za identifikacijo in odpravo slabosti, ki bi jih napadalci izkoriščali. Organizacije, ki se najbolje obnese, niso tiste, ki predpostavljajo, da so varne. So tiste, ki priznavajo tveganje in izvajajo premisljene, dosledne korake za njegovo zmanjsanje.