Najskuteczniejsze metody zatrzymania ataku sieciowego

0

W 2017 roku proste ataki sieciowe odeszły w zapomnienie. W odpowiedzi na coraz większą popularność zabezpieczeń typu UTM, przestępcy konstruują skomplikowane, działające wieloetapowo zagrożenia. Składają się one z fragmentów kodu, które dopiero po jakimś czasie połączone razem tworzą malware. Mało tego, nie bez znaczenia jest fakt, że właśnie tego typu oprogramowanie, bez kontaktu ze swoim twórcą jest nieaktywne. Dopiero poprzez ruch zwrotny i zaraportowanie statusu w jakim znajduje się cyfrowy robak, umożliwia jego właścicielowi rekonesans i potencjalne sterowanie atakiem.

W tym miejscu nasuwa się pytanie, jak ten wirus dostaje się do nas, skoro popularność zabezpieczeń sieciowych z roku na rok wzrasta. Odpowiedzi jest wiele, ale najważniejsza jest jedna. To właśnie człowiek, tak zwany element ludzki i jego ciekawość, ściąga na nas większość zagrożeń. A dobrze przygotowany, często określany jako „celowany”, atak jest najbardziej skuteczny.

Jak wygląda scenariusz takiego działania? Załóżmy, że cyberprzestępca postanowił włamać się do systemów IT danego przedsiębiorstwa. Zaczął więc od zebrania wszelkich informacji na temat tej firmy i jej pracowników. W jednym z serwisów społecznościowych zaobserwował dużą aktywność paru pracowników. Następnie przestępca, wybrał celowo osobę na wysokim stanowisku która publikuje dużo informacji. Następnie sprawdził sieć kontaktów pracownika, którego wziął na celownik. Zaobserwował do jakich grup „cel” należy.

W sposób banalnie prosty przestępca, stosując fałszywy adres mailowy, dołączył do takiej grupy. Następnie w obrębie już samej grupy, wysłał swojemu „celowi” prywatną wiadomość. Pierwsza z nich była zupełnie czysta i niepozorna, mająca za cel tylko i wyłącznie uwiarygodnienie swojej osoby. W kolejnej informacji prywatnej haker, jedynie poparł jedną z wypowiedzi swojego celu. Dzięki temu zdobył jeszcze większe zaufanie. Kolejna prywatna wiadomość dotyczyła nowości którą potencjalna ofiara powinna być zainteresowana, ponieważ temat jest żywo dyskutowany na grupie na Facebooku. Link jednak był zainfekowany, cel pobrał niewinny plik pakietu biurowego. I od tego się zaczęło, to właśnie bardzo dobrze przygotowany atak typu „Drive-by download” rozpoczął piramidę budowania całego łańcucha ataku. Służbowy komputer, przeglądanie Internetu w domu, poza działaniem firmowej zapory sieciowej spowodowało, że przestępca poznał dane do logowania uprzednio wybranego pracownika. W tym momencie otrzymał klucz do sieci docelowej.

Patrząc na powyższy scenariusz, bardzo łatwo doceniamy aspekt szkolenia pracowników. To właśnie edukacja ma zapewnić jak najmniejszą ilość pobrań elementów które są podejrzane. Szkolenia dotyczące bezpieczeństwa poruszania się po Internecie, powinny nauczyć pracowników, jak walidować wszelkie kontakty w cyfrowym świecie.

W tym miejscu należy również ostrzec przed nadmiernym eksponowaniem swoich działań w sieci. Konieczne jest też uświadomienie jak można modelować swoją prywatność, bo przecież większość serwisów społecznościowych na to pozwala. Wystarczy wyłączyć możliwość pośredniego „widzenia” swoich danych dla znajomych naszych znajomych.

A dodatkowo, analizując ten scenariusz, powinniśmy wiedzieć, że ruch zwrotny pozwalający na komunikacje z właścicielem kodu można w dobrych urządzeniach UTM wyłączyć jedną komendą.

Warto też zwrócić uwagę na fakt, że gdyby nasz klient ‘klient-cel” był wyposażony w oprogramowanie klasy EDR (Endpoint Detection and Response), które skutecznie działa nawet na maszynach wyniesionych poza działanie sieci macierzystej, do infekcji by nie doszło.

Kolejnym istotnym elementem bezpieczeństwa sieciowego jest świadomość tego co się dzieje na styku naszej sieci. Tutaj najlepszą analogią do najwyższej klasy rozwiązań bezpieczeństwa sieciowego będą drzwi antywłamaniowe. Dobre drzwi maja rygle na wielu poziomach oraz mechanizm umożliwiający podanie przesyłki jedynie poprzez niewielkie ich uchylenie. Posiadają również wizjer, bo przecież dzięki temu widzimy komu otwierać, a komu nie. A to zależne jest od wielu czynników np. od pory. Oczywistą sprawą jest to, że o godzinie 23:30 nie otworzymy nikomu kto będzie miał czapkę listonosza, bo wiemy, że o tej porze żaden listonosz nie pracuje. Natomiast sąsiad który o tej właśnie porze wraca z pracy nie będzie potencjalnym zagrożeniem. I właśnie tak powinien wyglądać UTM, ma posiadać wielopłaszczyznowe ochrony, najlepiej od wielu różnych dostawców, aby dywersyfikacja napływu informacji była jak największa. Ma posiadać możliwość regulacji ruchu i koniecznie musi posiadać graficzny podgląd tego co się dzieje. Administrator musi widzieć, kto usiłuje się dostać do sieci oraz kto i w jaki sposób jest aktywny wewnątrz sieci.

To właśnie rozwiązania firmy WatchGuard w konfiguracji Total Security Suite, zapewniają tego typu bezpieczeństwo – system wyposażony w oprogramowanie Threat Detection and Response, przeznaczony do ochrony przed wszelkiego typu ransomware. Warto zwrócić na nie szczególną uwagę, jeśli chcemy, aby nasi użytkownicy byli zawsze zabezpieczeni przed atakami.

Więcej informacji o systemie Threat Detection Response znajduje się pod poniższym linkiem: www.watchguard.com/wgrd-products/security-services/threat-detection-and-response


Autor: Wojciech Pietrow, Business Development Manager, Bakotech

PODZIEL SIĘ

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ