kabtel-cybersecurity-kiberbezbednost-zastita-sophos
Cyber security News & Events news&blog Solutions WiFi Бекап Вработување ИТ Решенија Кибер безбедност Промоции Техничка заштита

Дознајте како се пробиваат сајбер криминалците…

Запознајте ги своите непријатели! Дознајте како се пробиваат сајбер криминалците…

На страницата Sophos News има објавено некои фасцинантни и информативни инсајдерски информации за сајбер криминалците и одговараат на едно навистина практично прашање „Како го прават тоа?“

Во теорија, криминалците можат (и го прават тоа) да искористат која било од илјадници техники за напад, во која сакаат комбинација. Во реалноста, добрата проценка на ризикот покажува дека паметно е да се фокусираат најпрвин на најголемите проблеми, дури и ако се најгламурозните или највозбудливите теми од сајбер безбедноста. Значи, што навистина фунцкионира за сајбер криминалците кога ќе планираат напад? Освен тоа, што прават кога ќе успеат да се пробијат некаде? Колку време се задржуваат во мрежата откако ќе заземат територија? Колку е битно да се открие и да се третира причината за нападот, наместо да се занимавате само со очигледните симптоми?

Експертот на Sophos, Џон Шир, анализираше извештаи за инциденти во 144 реални сајбер напади кои биле истражувани од тимот за брз одговор на Sophos во текот на 2021 година. Она што го откри можеби нема да ве изненади, но сепак е витална информација затоа што навистина се случило, не затоа што можело да се случи.

Имено:

-незаштитени ранливи точки биле место на влез во 50% од случаите

-напаѓачите се задржале во просек подолго од еден месец кога нивна примарна цел не била изнудување ооткуп

-напаѓачите украле податоци во околу 40% од инцидентите (се разбира, не е докажана кражбата на сите податоци, со оглед на тоа дека нема забележливо празно место каде што имало копија од податоците, па вистинскиот број може да е многу поголем.)

-RDP протоколот била користен за странично движење низ мрежата во над 80% од напаѓачите после пробивот.

Интригантно, но можеби не толку изненадувачко, е тоа што колку била помала организацијата, толку подолго се задржувале криминалците пред некој да забележи и да одлучи дека е време да ги исфрли. Во бизнисите со над 250 вработени криминалците се задржале повеќе од седум недели во просек. За споредба, во организации со над 3.000 вработени се задржале помалку од три недели.

Сепак, криминалците кои користеле уценувачки софтвер типично останале скриени пократок период (вообичаено помалку од две недели, наместо над еден месец), не само затоа што нападите биле по природа со ограничено времетраење. Имено, по правило, кога сајбер криминалците ќе ги соберат податоците, не се кријат повеќе и одат во фазата на уценување.

Кој ги прави нападите со уценувачки софтвер толку штетни?

Има мноштво сајбер криминалци кои не се конфронтираат директно со жртвите како што прават оние кои уценуваат. Таквите криминалци вклучуваат и значителна група позната како IABs или брокери за иницијален пристап. IABs не ги добиваат своите незаконски примања со изнудување пари од бизниси после насилен и видлив напад, туку од помагање на други криминалци да извршат таков напад. Тие IAB криминалци може повеќе да им наштетат на бизнисите на подолг рок, отколку напаѓачите со злонамерен софтвер.

Tоа е така затоа што нивната типична цел е да научат што е можно повеќе за вас (вашите вработени, вашиот бизнис, доставувачите и корисниците) во текот на подолг период. Потоа тие заработуваат од продажба на такви информации на други сајбер криминалци.

Со други зборови, ако се прашувате како криминалците со злонамерен софтвер честопати се пробиваат толку брзо, толку темелно ги мапираат мрежите и напаѓаат одлучно, и прават такви драматични барања за откуп, тоа веројатно е така затоа што си купиле сопствен “прирачник“ “Active Adversary Playbook” од други криминалци кои тивко, но темелно се прошетале низ мрежата.

RDP се уште се смета за штетен

Малку добри вести се тоа што RDP (Microsoft’s Remote Desktop Protocol) сега е многу подобро заштитен на компаниско ниво, со помалку од 15% од напаѓачи што користат RDP како влезна точка (една година претходно тој процент беше поголем од 30%.) Но, лошите вести се тоа што многу компании сè уште не го прифаќаат концептот нула доверба или потребата да се знае (Zero Trust или Need-to-know). Многу внатрешни мрежи се уште имаат цинични администратори на системи кои со години ги нарекуваат „мека, млитава внатрешност“, дури и кога изгледаат како да се цврсти однадвор.

Имено, статистиката покажува дека во над 80% од нападите RDP бил злоупотребен за да им помогне на напаѓачите да дојдат од компјутер на компјутер кога веќе ја пробиле надворешната школка, или она што е жаргонски познато како латерално движење.

Со други зборови, дури и ако многу компании изгледа како да и зајакнале своите RDP пристапни портали однадвор (нешто што секако заслужува пофалба), сепак главно се потпираат на т.н. периметарка одбрана како главна алатка за сајбер безбедност.

Но, денешните мрежи, особено во свет во кој сè повеќе луѓе работат од дома во споредба со пред три години, немаат повеќе периметар. (Како аналогија со реалниот свет, замислете колку историски градови имаат ѕидини одоколу, но сега се повеќе туристички атракции отколку што се апсорбиран во модерните градски центри.)

Што да се прави?

Врз основа на тоа што знаеме дека сајбер непријателите тешко ќе нè начекаат тотално неспремни, нашиот едноставен совет е да го прочитате извештајот.

Како што посочува Џон Шир во својот заклучок:
“Сè додека некоја изложена влезна точка е затворена, а сè што направиле напаѓачите за да добијат и да го задржат пристапот е отстрането, буквално речиси секој може да влезе по нив. И веројатно некој ќе влезе.
Запомнете. Ако ви треба помош, не значи дека признавате неуспех ако ја побарате таа помош. После сè, ако вие не ја испитате мрежата за да најдете слаби точки, можете да бидете сигурни дека криминалците ќе ги најдат. Контактирајте нè
за да ви помогнеме.”