JAV kibernetinio saugumo bendruomenė 2020 metus palydi su dideliu pasipiktinimu ir pralaimėjimo jausmu: nustatyta, kad tarnybinių stočių valdymui plačiai naudojama „SolarWinds“ programinė įranga buvo išnaudota kaip Trojos arklys, per kurį į tarnybines stotis pavyko įrašyti kenkėjišką programinę įrangą, per kurią piktadariams – anot JAV pareigūnų, valdomiems Rusijos vyriausybės – pavyko gauti prieigą ir šnipinėti pačias jautriausias JAV ir kitų šalių institucijas bei įmones.
Asociatyvi „Pixabay“ nuotr.
Žala vertinama taip rimtai, kad ekspertai kibernetinę ataką vertina kaip galimai skaudžiausią per visą istoriją.
Kokia yra šio išpuolio vykdymo prigimtis ir kaip nuo jos apsisaugoti? Apie tai savo komentarą pateikė kibernetinio saugumo bendrovės „TeraSky Baltic“ ekspertas Giedrius Meškauskas.
Anot skaitmeninių sistemų saugumo specialisto, „SolarWinds“ ataka išsiskiria tuo, jog sugebėta prieiti prie labai rimtų institucijų ir įmonių. Pasinaudojant trečia šalimi įsilaužėliai į sistemą patenka nepastebėti. Šiuo atveju su „SolarWinds“ programinės įrangos atnaujinimu – tuo, kuriuo apsauginės sistemos pasitiki ir įsileidžia visiškai netikrindamos.
Tačiau ar pati schema – kažkas naujo kibernetinių nusikaltimų pasaulyje? Manau, kad tikrai ne. Labai panaši schema mums žinoma iš Ukrainoje praūžusio ir labai daug žalos padariusio „NotPetya“ kirmino, kuris paplito per Ukrainos mokesčių deklaravimo „MEDoc“ programinės įrangos atnaujinimą. Tik jei „NotPetya“ atveju schema naudota duomenų sunaikinimo tikslu, dabar galutinis tikslas buvo šnipinėjimas. Tačiau realiai jokio skirtumo, kam tu panaudosi sukurtus prieigos prie serverių kanalus, atakos pobūdis išlieka tos pats. Tokios atakos vadinamos „supply chain attack“, „value-chain“ arba „third-party attack“.
Amerika jau pranešė, kad „SolarWinds“ ataka gali būti Rusijos kontroliuojamų programišių darbas. Tačiau ar taip yra iš tiesų? Valstybės remiamose atakose yra sunku įrodyti sąryšį, nebent atakų braižas arba naudotos priemonės yra žinomos iš ankstesnių išaiškintų atakų. Šiuo atveju buvo naudota nauja kenkėjiška programinė įranga gavusi pavadinimą SUNBURST. Tokioms atakoms atlikti reikalingi dideli pajėgumai, tiek kompetencijos, tiek resursų prasme. Amerika apkaltino APT29 grupuotę dar vadinamą „Cozy Bear“, tikėtina, kad turėdama kažkokios informacijos daugiau nei yra paviešinta, bet gali būti ir tik dėl to, kad minėta grupuotė yra Rusijos valstybės remiama ir jau ne pirmą kartą taikosi į Amerikos valstybinio sektoriaus IT tinklus bei specializuojasi sunkiai aptinkamose (angl. low and slow) informacijos šnipinėjimo atakose.
Gal būt šiuo atveju svarbesnis klausimas yra kaip apsisaugoti nuo tokių atakų.
Įmonėms, kurios valdo jautrią informaciją, duomenų saugumui reikia skirti daug daugiau dėmesio, nei dabar dažnai skiriama. Viena klaidų – saugumą organizuoti arčiau tinklo perimetro, mažinant jį arčiau duomenų. Tad patekus tiesiai į tinklo lygį, kuriame laikomi duomenys, kaip padaryta „SolarWinds“ atakos atveju, galima daug lengviau atlikti šoninį judėjimą ir duomenų vagystę, be didesnio pavojaus būti sučiuptam.
Tinklo segmentavimas, prieigos teisių ribojimas, vidinių ugniasienių naudojimas ir viso to valdymas stipriai sumažina atakuotojo šoninio judėjimo tinkle galimybę , o šiuolaikiniai EDR (angl. Endpoint Detection and Response) sprendimai gebantys aptikti kenkėjišką veiklą įrenginyje, leistų kibernetinio saugumo specialistams laiku aptikti kenkėjišką veiklą ir ją užkardinti.
„Galima palyginti su banku – neapsiribojama stipria pastato išorės apsauga, kiekvienas seifas turi savo apsaugą, kiekvienos durys rakinamos, o prie jų prijungiama signalizacija. Tad net patekęs į pastatą, tu turėsi labai daug vargo, kol ateisi iki reikiamo seifo. Bet jeigu radai galimybę patekti tiesiai į seifo vidų – tik apsaugos gebėjimas pamatyti, kad yra įsibrovimas, leis sumažinti žalą“, – sakė G.Meškauskas.