Norint įsilaužti į įmonę ar ją suparalyžiuoti, šiandien reikia tik šiek tiek noro ir interneto ryšio. Programišių forumuose įsigiję kibernetinėms atakoms reikalingus įrankius, organizuoti išpuolius prieš žinomus verslus dabar gali ir taksistai, ir net pilnametystės nesulaukę paaugliai.
Norint įsilaužti į įmonę ar ją suparalyžiuoti, šiandien reikia tik šiek tiek noro ir interneto ryšio. Programišių forumuose įsigiję kibernetinėms atakoms reikalingus įrankius, organizuoti išpuolius prieš žinomus verslus dabar gali ir taksistai, ir net pilnametystės nesulaukę paaugliai. Naujausius kibernetinių nusikaltimų ypatumus pristatančio kibernetinio saugumo „Telia“ eksperto Andriaus Ribinsko teigimu, atremti šiuos mėgėjų bandymus pavyksta toli gražu ne kiekvienai organizacijai, o dėl to labiausiai kaltas žmogiškųjų išteklių ir kompetencijų trūkumas.
Asociatyvi pranešimo autorių pateikta nuotr.
„Kažkada bendrovė galėjo jaustis saugi turėdama antivirusinę, ugniasienę ir du IT specialistus. Bet kibernetinio nusikalstamumo mastai pasikeitė – ryte įmonės darbuotojų prisijungimus gali pavogti „fišingo“ ataka, o vakare jau gali tekti sukti galvą dėl užšifruotų kompiuterių ir milžiniškos išpirkos reikalavimo. Nuo to šiandien apsaugoti gali tik daug budrių ir patyrusių akių, kurios organizacijos sistemas prižiūri kiaurą parą. Tačiau nenorintys steigti papildomų etatų bei pirkti brangių įrankių taip pat turi alternatyvą – visą saugumo operacijų centrą (SOC) su specialistais šiomis dienomis galima tiesiog „išsinuomoti“ už fiksuotą mėnesinį mokestį“, – teigia „Telia“ kibernetinio saugumo centro techninis vadovas Andrius Ribinskas.
„Fišingo“ atakos nesitraukia
Nepaisant to, kad skaitmeninėje erdvėje populiarėja įvairios naujos išpuolių schemos, „fišingo“ atakų ir toliau nemažėja. Kaip rodo kasmet šio sukčiavimo tipo apžvalgą atliekančių „Interisle Consulting“ analitikų duomenys, nuo pernai „fišingo“ svetainių padaugėjo per 50 tūkst., o internete kuo toliau, tuo lengviau darosi įsigyti specializuotų šios atakos instrumentų.
Būsimieji sukčiai dažnai viename pakete gauna įtikinamus melagingų laiškų paruoštukus, serverius, kuriuose patalpintos gerai žinomų tinklapių klastotės, ir net atakos statistikos stebėjimo įrankius. Tai smarkiai supaprastina prisijungimo duomenų išgavimą ir socialinę inžineriją, kai apsimetus vadovu bandoma darbuotoją įtikinti atlikti bankinį pavedimą į sukčiaus sąskaitą ar atlikti kitą pavojingą veiksmą.
„Telia“ SOC paslauga padeda apsisaugoti nuo šių atakų realiuoju laiku stebėdama ir analizuodama el. pašto srautus, Naudojant specializuotus SOC komandos įrankius, pavyzdžiui SIEM (Security Information and Event Management) sistemas. Šie įrankiai centre dirbantiems specialistams leidžia anksti aptikti tokius įtartinus ženklus, kaip nežinomas siuntėjas ar neįprastas laiško turinys, ir nedelsiant įspėti nukentėjusiuosius, kad jie kuo greičiau pasikeistų prisijungimus. Kita vertus, įsigijusiems SOC paslaugą prieiga prie kenkėjiškos laiško nuorodos organizacijos ugniasienėje užblokuojama dar net nespėjus kam nors iš kolektyvo „pasimauti“ ant šio sukčių kabliuko“, – pasakoja „Telia“ atstovas.
Daugėja išpirkos prašymų
2022 m. prasidėjus karui Ukrainoje ir trumpam sumažėjus išpirkos reikalaujančių atakų (angl. ransomware), pernai jos grįžo su trenksmu. Skaičiuojama, kad vien per 2023 m. įmonės už savo duomenų dešifravimą nusikaltėliams sumokėjo beveik milijardą eurų. Prie 2,4 karto išaugusių šių išpuolių apimčių smarkiai prisidėjo nesunkiai internete prieinami, nuo keliasdešimt iki kelių tūkstančių eurų kainuojantys šifravimo įrankiai, kurie įgalina terorizuoti verslus net nepatyrusius ir greito uždarbio ieškančius asmenis.
Maža to, kadangi dalis įmonių įprato reguliariai daryti savo duomenų kopijas ir taip vengti mokėti išpirkas už savo duomenų atgavimą, kibernetiniai nusikaltėliai vis dažniau pradeda naudoti naują kozirį – grasinimą paviešinti privačią organizacijos informaciją, jei jų norima suma nebus sumokėta.
Pasak eksperto, kenksmingą kodą į organizacijos tinklą programišiai gali bandyti infiltruoti per užkrėstus elektroninio laiško prisegtukus ar pasinaudojant įvairiais sistemų pažeidžiamumais, o atakos žala dažnai tiesiogiai priklauso nuo aptikimo ankstumo. SOC naudojama XDR (Extended Detection and Response) technologija apjungia duomenis iš visų organizacijos sistemų ir padeda labai greitai pastebėti neįprastą veiklą, pavyzdžiui, staigų failų šifravimą ar masinį duomenų perkėlimą. Tai specialistus įgalina akimirksniu izoliuoti paveiktus įrenginius, blokuoti kenksmingus IP adresus ar sustabdyti įtartinus procesus, žalą sumažinant iki minimumo.
DDoS atakas galima tiesiog užsakyti
Pasaulyje daugėjant menkai apsaugotų daiktų interneto (IoT) įrenginių, tokių kaip robotai siurbliai, stebėjimo kameros ar išmanieji šaldytuvai, kibernetiniams nusikaltėliams darosi lengviau organizuoti paskirstytas paslaugų trikdymo atakas (DDoS). Sujungę milijonus užgrobtų prietaisų į „botnetu“ vadinamą bendrą tinklą, piktavaliai įmonės serverius gali bandyti apkrauti dideliu srauto kiekiu ir taip paralyžiuoti jos veiklą. Tai šiandien daroma ne tik politiniais sumetimais – DDoS prenumeratos paslaugos suteikia galimybę tokią ataką gali užsakyti net bendrovės konkurentams.
„Telia“ SOC apsaugo nuo DDoS atakų, nuolat stebėdamas tinklo srautą ir identifikuodamas nebūdingą veiklą, pvz., staigų ir neįprastai didelį užklausų skaičių. Aptikus potencialią ataką, SOC komanda gali peradresuoti srautą per valymo (angl. scrubbing) centrus ir taikyti srauto filtravimą. Be to, be būtinybės įsikišti klientui SOC gali dinamiškai taikyti IP blokavimą ar geografinius apribojimus, užkirsdamas kelią užpuolikų prieigai. Papildomai, SOC specialistai gali kreiptis į įmonės interneto paslaugų tiekėjus ir bandyti pasiekti, kad srautas būtų nukreiptas arba filtruojamas dar jų pačių infrastruktūroje.
Dažnai pamirštama apie vidines grėsmes
Nors kibernetinių dūrių dažniausiai laukiama iš išorės, JAV mobiliojo ryšio operatoriaus „Verizon“ skaičiavimais, maždaug penktadalį atakų įgyvendina organizacijai priklausantys asmenys. Tokius išpuolius aptikti itin sunku, nes pakenkti darbovietei darbuotojai gali bandyti be virusų ar kitų tradicinių kibernetinių ginklų, o tiesiog atlikdami neleistinus veiksmus jiems prieinamose sistemose.
„Pradėję dirbti su nauju klientu, mes kurį laiką stebime jo darbą skaitmeninėje erdvėje ir stengiamės nustatyti, kas būdinga vienam ar kitam darbuotojui. Tai mus įgalina greitai pastebėti neatitikimus bei imtis veiksmų. Pavyzdžiui, jei to niekada anksčiau nedariusi įmonės buhalterė bandys slapčia prisijungti prie ryšių su klientais valdymo sistemos (CRM) bei nusikopijuoti jos duomenis, turint tikslą juos perduoti konkurentams, SOC akimirksniu pastebės šią anomaliją. Buhalterės prieiga bus apribota, o apie incidentą bus informuoti kompanijos atstovai“, – pavyzdį pateikia A. Ribinskas.
Turėti pažeidžiamumų darosi prabanga
Įmonių veikloje daugėjant elektroninių išteklių, auga ir potencialių saugumo spragų skaičius. Programišiai gali bandyti įsiskverbti pačiais įvairiausiais keliais – tiek per netinkamai sukonfigūruotą spausdintuvą, tiek per eilę metų neatnaujintą serverio programinę įrangą. Automatizuotos priemonės, skenuojančios bendrovės tinklą, nusikaltėliams leidžia labai greitai aptikti neapsaugotus įrenginius ar sistemas bei tai panaudoti duomenų vagystei.
Kaip teigia „Telia“ SOC technologijų vadovas,apsisaugoti nuo pažeidžiamumų galima tik reguliariai atliekant pažeidžiamumų patikras, ką įgyvendinti neturint specializuotų įrankių ir žinių gali būti sudėtinga užduotis. SOC už klientą nustato potencialiai pavojingas silpnąsias jų infrastruktūros vietas ir pateikia rekomendacijas, kokių sistemų atnaujinimus būtina atlikti kuo greičiau, kaip pakeisti įvairių įrenginių nustatymus ir pašalinti tinklo konfigūracijos klaidas. Tokie auditai su konkrečiais sprendimais iki minimumo sumažina potencialų atakų mastą ir organizacijai padeda sukurti sparčiais besikeičiančias grėsmes atlaikantį saugumo pagrindą.
