În mare parte din variantele de abordare a riscurilor de securitate cibernetică se folosește termenul de „suprafață de atac cibernetic” sau ceva asemănător. Înțelegerea funcționării atacurilor și identificarea celor mai expuse zone ale organizațiilor sau companiilor este de o importanță vitală.
În timpul pandemiei, suprafața de atac informatic a crescut, probabil, mai amplu și mai rapid decât în orice alt interval, și a atras după sine multiple probleme specifice. Devine din ce în ce mai dificil pentru companii să determine cu exactitate adevărata dimensiune și complexitate a suprafeței lor de atac. O consecință directă a acestui neajuns este expunerea activelor fizice și digitale vulnerabile în fața atacurilor din ce în ce mai persistente ale actorilor malware specializați.
Din fericire, sunt disponibile și la îndemâna companiilor, strategii de bune practici de securitate, cu care se poate face un upgrade pentru vizibilitatea suprafeței de atac. Astfel, companiile au unelte pentru a identifica și a înțelege pașii necesari pentru a securiza și a minimiza cât mai bine aria vulnerabilă.
Care este suprafața de atac a unei companii?
La nivel general, suprafața atacului este compusă din activele fizice și digitale pe care o organizație le deține, și care pot facilita un atac de securitate prin vulnerabilitățile asociate. Scopul final al actorilor malware ar putea fi oricare. Iată câteva exemple: descărcarea troienilor bancari, recrutarea sistemelor într-un botnet, instalarea de aplicații dăunătoare (pentru minarea de cripto-monede) sau atacurile de tip ransomware și de furt de date. Un lucru este sigur: interesul atacatorilor este strâns legat de mărimea suprafeței de atac. Cu cât ținta este mai amplă, cu atât mai multe vulnerabilități pot fi exploatate.
Să aruncăm o privire în detaliu către două categorii principale ale suprafeței de atac:
Suprafața fizică de atac
Aceasta subsumează toate dispozitivele endpoint pe care un atacator le-ar putea accesa „fizic”, spre exemplu: hard disk-uri, laptopuri, calculatoare desktop, memorii USB, telefoane/dispozitive mobile.
Privind și din alt unghi, angajații unei companii pot fi considerați participanți la suprafața de atac. Aceștia riscă să devină potențiale victime ale manipulării prin inginerie socială (atacuri tip phishing și derivate ale sale). Involuntar, factorul uman reprezentat de personal contribuie la expunerea companiei la amenințări suplimentare prin activitățile denumite generic „Shadow IT” (care presupun utilizarea neautorizată și nesecurizată de aplicații și dispozitive, care ocolesc nivelurile de siguranță ale companiei).
Suprafața de atac digitală
Este formată din toate componentele hardware, software și componentele conexe conectate la rețeaua unei organizații. Iată câteva exemple:
Aplicații: vulnerabilitățile din aplicații sunt, din păcate, un fapt cunoscut și pot deveni puncte de acces (spre sistemele și datele IT critice) pentru atacatori.
Codul software: unul din factorii cu risc crescut îl reprezintă alcătuirea curentă a codului software (părți terțe din componența sa pot conține malware sau vulnerabilități).
Porturi: atacatorii scanează porturile deschise și verifică anumite corespondențe între servicii și porturi, cum ar fi aplicația Remote Desktop Protocol cu portul TCP 3389. Astfel, orice greșeală de configurare sau de cod poate fi exploatată cu ușurință.
Servere: acestea ar putea fi inundate de trafic în atacuri de tip DDoS sau ar putea fi ținte pentru atacuri prin exploatări de vulnerabilități.
Site-uri web: configurările defectuoase și erorile la nivel de cod, cu mulți vectori de atac specifici înscriu site-urile web în paleta de atac. Lacunele enumerate conduc la expunerea în fața unor acțiuni malware de tip formjacking (integrarea de cod malițios pentru extragerea frauduloasă a datelor de plată introduse în formularele online de cumpărare din magazinele online), la eliminarea nedorită și bruscă a paginii web sau la breșe în urma folosirii de cod rău intenționat pentru atacuri tip drive-by.
Certificate: neglijența cu privire la certificatele expirate este un magnet pentru atacatori, care au astfel drumul liber.
Aceasta este o listă succintă a zonelor de risc. Unele dintre ele se regăsesc și în cercetarea din 2020 privind extinderea recentă a suprafeței de atac. Studiul a dezvăluit că, în cazul companiilor listate în Financial Times Stock Exchange Index 30, apar următoarele probleme:
- 324 certificate expirate
- 25 de certificate care folosesc algoritmul de hash SHA-1 învechit
- 743 posibile site-uri aflate în stadiu de testare expuse în internet
- 385 de forme nesigure din care 28 au fost utilizate pentru autentificare
- 46 de framework-uri web care prezentau vulnerabilități cunoscute
- 80 de cazuri de utilizare a versiunii vechi PHP 5.x
- 664 versiuni de server web cu vulnerabilități cunoscute
Devine suprafața de atac din ce în ce mai mare?
Deși resursele informatice și digitale ale companiilor au o tradiție de ani de zile, pandemia a adus cu ea creșteri considerabile, fără precedent, în rândul investițiilor. Acestea au avut ca destinatar principal mijloacele de suport pentru noul mod de lucru la distanță și menținerea pe linia de plutire a funcționalității operațiunilor comerciale, pe fondul unor incertitudini extreme ale pieței. Suprafața de atac s-a extins semnificativ, cuprinzând:
- Endpoint-urile folosite în munca de la distanță (de exemplu, laptopuri, desktopuri)
- Aplicațiile și infrastructura de tip cloud
- Dispozitive IoT și 5G
- Utilizarea codului terț și a DevOps
- Infrastructura de lucru la distanță (VPN-uri, RDP etc.)
Astfel se conturează noua formă a mediului de lucru digital. Conform experților, multe companii au identificat și depășit așa zise „praguri” de utilizare a fluxurilor de lucru digitale, care le vor schimba operațiunile pentru totdeauna. Provocările noi atrag riscuri noi pentru suprafața de atac, aceasta fiind și mai expusă la:
- Atacuri de phishing - se vor crea noi metode de exploatare a lipsei de conștientizare a securității datelor la nivelul angajaților
- Programe malware și vulnerabilități noi care să vizeze serverele, aplicațiile și restul sistemelor
- Furtul de parole sau atacuri de tip forță brută (rezultatul fiind conectări frauduloase)
- Exploatarea configurărilor greșite (conturile cloud rămân o zonă vulnerabilă)
- Certificate web furate
- și multe altele
În realitate, există sute de vectori de atac pe care actorii malware specializați îi folosesc în crearea de atacuri persistente, dintre care unii se bucură de o popularitate crescută. Spre exemplu, între ianuarie 2020 și iunie 2021, ESET a găsit 71 de miliarde de încercări de compromitere via RDP configurat greșit.
Cum să abordați corect riscurile specifice suprafeței de atac
Suprafața de atac are o importanță semnificativă pentru a aplica cele mai bune metode de securitate cibernetică. Primii pași către o protecție proactivă sunt înțelegerea dimensiunii sale și adoptarea de măsuri pentru reducerea sau gestionarea acesteia. În continuare, câteva sugestii:
Aplicați următoarele metode de analiză pentru evaluarea dimensiunii suprafeței de atac: teste de penetrare, audituri ale activelor și ale soluțiilor de stocare folosite, scanări ale vulnerabilității și alte activități similare.
Reduceți mărimea suprafeței de atac, precum si riscul cibernetic asociat, prin:
- Aplicarea de patch-uri, corecții și configurări specifice de management de risc
- Consolidarea endpoint-urilor și renunțarea la hardware-ul vechi
- Actualizarea software-ului și a sistemelor de operare
- Segmentarea rețelelor
- Folosirea celor mai bune practici DevSecOps
- Gestionarea vulnerabilităților
- Reducerea riscului din lanțul de aprovizionare
- Implementarea de măsuri de securitate a datelor (de exemplu, criptare puternică)
- Managementul puternic al verificării identității/accesului
- Adoptarea unui model de securitate zero trust
- Înregistrarea și monitorizarea prin log-uri a sistemelor
- Implementarea de programe de instruire care să sporească conștientizarea riscurilor
Mediul IT corporativ este într-o stare constantă de flux - datorită utilizării pe scară largă a VM-urilor, containerelor și micro serviciilor, precum și a sosirii și plecării continue a angajaților și a traficului permanent de hardware și software. „Vizibilitatea și controlul” sunt cuvinte cheie pentru strategia de apărare și prevenire. Integrarea de instrumente inteligente de analiză a datelor în timp real sunt esențiale pentru o gestionare cât mai acurată a dimensiunii suprafeței de atac.
ESET deține în portofoliu soluții antivirus și antimalware, cu protecție multi-strat integrată, care pot depista atacuri de tip ransomware în timp util, pentru a evita daune în rândul resurselor și a reputației companiei dvs. ESET PROTECT Advanced este o soluție destinată nevoilor IMM-urilor și oferă, prin layer-ul ESET Dynamic Threat Defense: protecție dedicată prin criptare completă a hard disk-urilor (pentru datele stocate pe laptopuri, în caz de furt și pierdere) și protecție de tip cloud-sandbox pentru sisteme (împotriva ransomware-ului și amenințărilor de tip zero-day). Produsul răspunde, așadar, provocării de a gestiona și proteja rețelele IT business în fața amenințărilor informatice tot mai dinamice.
Soluția poate fi testată gratuit de către orice companie, fără nicio obligație ulterioară. Mai multe detalii despre aceasta și descărcarea unei variante de test, disponibile aici.
