StoryEditor

Nechajte ich pohrať sa. Sú to bezpečáci

27.05.2022, 00:00

Kyberzločinecké gangy sú vytrvalé, inovatívne a vyznávajú „beh na dlhé trate“. Obrancovia musia robiť to isté.

S touto myšlienkou úspešne trénuje profesionálov a prednáša po celom svete Joseph Carson, etický hacker s viac ako 25-ročnými skúsenosťami.

Na rok 2022 predpovedá Joseph Carson vzostup modelu, ktorý opisuje ako ransomware-as-a-subscription. Čiže vydierači budú žiadať „výpalné“ za to, že nenapadnú organizáciu.

Podobným výpalným je vyhrážka „nezaplatíš, zaútočíme hrubou silou“. V minulom roku sa s takými hrozbami stretlo aj viacero organizácií na Slovensku.

Najčastejší útok

Ak teda môže zamestnanec čítať e-maily, otvárať dokumenty, browsovať na internete, klikať na odkazy alebo pripojiť zariadenie USB, môže spôsobiť kybernetický útok.

Útočníci tak dokážu zničiť veľkú organizáciu len tým, že sa zamerajú na jedného zamestnanca. Identifikáciu ľahko urobia na so­ciálnych sieťach, prihlasovacie údaje zamestnanca si zakúpia na dark webe.

Pomocou týchto informácií je ľahké vytvoriť phishingový e-mail, ktorý oklame aspoň jednu osobu. Obrana sa prelomí a škodlivý kód prenikne do siete.

Ako u nás doma?

Phishing zostáva najrozšírenejším a najničivejším útokom aj na Slovensku. Medzi zneužívané značky v minulom roku patrili pošta, dopravcovia, banky, ale aj Finančná správa. Okrem toho vás mohli prekliky doviesť najčastejšie na falošné chatovacie aplikácie či inzertné portály.

Ako potvrdzuje štatistika Národného centra kybernetickej bezpečnosti SK-CERT, najčastejšie hlásenými a detegovanými incidentmi za minulý rok na Slovensku bolo získavanie informácií. Takže nepozorní čí naivní používatelia prispeli k tomu, že počet incidentov stúpol na vyše 400-tisíc. Cieľom bolo najmä získavanie bankových údajov.

Je dobré to vedieť

Tradičné technologické riešenia už nezastavia vysoko organizované skupiny kybernetického zločinu. Bežné antivírusové programy často nedokážu zabrániť a odhaliť útoky kvôli jedinečným a rýchlo sa meniacim variantom škodlivého kódu.

Počítače, tablety a smartfóny – čiže koncové body zároveň poskytujú čoraz viac príležitostí na prienik do IT prostredia a prístup k citlivým informáciám.

Bezpečnosť sa takto neustále vyvíja, takže takto dynamicky by sa k nej malo aj pristupovať. A to kladie vysoké nároky na to, ako vzdelávanie a osvetu robiť atraktívne.

image


 

Na sieťach sme nahí

Stojíme proti útočníkom zručným v podsúvaní nepravdivých informácií, ktoré klasické nástroje už nedokážu spoľahlivo odhaliť. Pokročilé útočné techniky využívajú zber informácií z verejne dostupných zdrojov a nekonečnou studnicou sú sociálne siete.

Polovica dospelých Američanov sa obáva množstva svojich osobných informácií, ktoré sú online. Takmer rovnaký podiel (47 percent) pripúšťa, že nerozumejú tomu, čo sa robí s ich zhromaždenými údajmi.

Uvádza to autor knihy Dilema sociálnych médií Michael Goedeker, doktorand v oblasti kybernetickej špionáže. Vydal ju v januári s podnadpisom Odhaľovanie nástrah a rizík skrývajúcich sa za pôvabom používania sociálnych médií. O používaní sociálnych médií hovorí ako „o pohybe na mínovom poli“.

Výzva každý deň

Výskum Michaela Goedekera sa zameriava na globálne kybernetické hrozby, ale koncovka je pozoruhodná. „Mojím cieľom je, aby boli bezpečnostné produkty, procesy, riešenia a obrana proti kybernetickým hrozbám čo najjednoduchšie pochopiteľné a implementovateľné,“ vysvetľuje. A tak publikuje v médiách, píše knihy a na jeho prednášky sa čaká mesiace. V súčasnosti vidí akútne úlohy kybernetickej bezpečnosti v ochrane ľudí a dodávateľského reťazca a znížení závislosti od sociálnych sietí.

Vo vzdelávaní prízvukuje, aké dôležité je duševné zdravie ľudí pri obrane pred propagandou a dezinformačnými útokmi. Ľudia, ktorí sú v spoločnosti a práci doceňovaní, sa vedia lepšie brániť. „O tom, ako sociálne siete ovplyvňujú zdravie, sa v súčasnosti ešte stále dostatočne nediskutuje ani neučí.“

Aj Michael Goedeker upozorňuje na to, že malé a stredné podniky a verejný sektor sú dnes atakované viac ako kedykoľvek predtým. Majú veľa slabých článkov a zároveň sú životne dôležité pre verejnosť aj stabilitu krajiny.

Na veľkosti nezáleží

Hrozby majú rôznu povahu a veľkosť firmy v tomto prípade nehrá dôležitú úlohu. Zvnútra ohrozuje organizácie najčastejšie nevedomosť zamestnancov a "single point of failure" - osoba, na ktorej stojí a zároveň padá základná obrana.

Ako ďalšie ohrozenia vymenováva bezpečnostná odborníčka Zuzana Duračinská zo spoločnosti SecurityScorecard  nedostatočné interné riadenie softvéru tretích strán a neuvedomenie si tohto rizika.

Ako zabaviť riaditeľov

Každá organizácia by sa preto mala otestovať, ako je pripravená čeliť incidentu. Ideálnym nástrojom je kybernetické cvičenie.

Počas dvojhodinového cvičenia sa rýchlo odhalia slabé, ale aj silné stránky pripravenosti organizácie. Zároveň je to ideálna príležitosť pre manažment, aby porozumeli aktuálnym hrozbám a ich reálnemu dopadu.

Cvičenie testuje spoluprácu tímu aj krízové plány „na papieri“, a veľmi rýchlo sa príde na to, ktoré časti potrebujú zlepšenie alebo sú v praxi nevykonateľné. 

Cvičeniu neujde nikto

Manažérske cvičenia - tabletop sú paradoxne určené najmä pre iné oddelenie ako IT, alebo bezpečnosť. Vedie ich profesionál kybernetickej bezpečnosti a účastníci môžu byť všetci vedúci pracovníci, alebo vertikálne celé oddelenie.

„Zaujímavé je, že účastníci často nepotrebujú našu správu so zisteniami, lebo na väčšinu prídu už počas cvičenia sami,“ opisuje zážitky Zuzana Duračinská. Cieľ je dosiahnutý, ak si potrebu kyberbezpečnosti uvedomí top manažment a organizácie naštartujú zmeny.

Hacking gamification

Útočníci totiž stále hľadajú najlacnejší, najrýchlejší a najtajnejší spôsob, ako dosiahnuť cieľ.

„Zostať v obraze a naučiť sa hackerské techniky je jedným z najlepších spôsobov, ako vedieť brániť organizáciu pred kybernetickými útokmi,“  hovorí Joseph Carson. Už roky trénuje zručnosti a oboznamuje profesionálov s novými zraniteľnosťami. V priamom prenose ukazuje techniky, ako útočník prešiel od nuly k úplnej kompromitácii správcu domény a potom k zničujúcemu incidentu.

Vyzbrojení znalosťami si potom účastníci skúšajú etický hack, aby otestovali obranyschopnosti vlastnej organizácie. Bezpečnostný tím by mal takto pochopiť hackerské techniky, penetračné testy aj reakcie na incidenty.

 

 

menuLevel = 1, menuRoute = hn-special, menuAlias = hn-special, menuRouteLevel0 = hn-special, homepage = false
01. júl 2022 00:25