Adesea în metodele de adresare a riscurilor de securitate IT, veți auzi menționată sintagma „suprafață de atac cibernetic” sau similar. Este foarte important să înțelegem cum funcționează atacurile și unde sunt cel mai expuse companiile sau organizațiile. Pe perioada pandemiei, suprafața atacurilor informatice a crescut, probabil, mai amplu și mai rapid decât în orice moment din trecut, atrăgând după sine diverse probleme. Organizațiilor le este tot mai greu să își definească precis adevărata dimensiune și complexitate a suprafeței lor de atac, lăsându-și activele digitale și fizice expuse actorilor malware specializați în crearea de atacuri persistente.
Organizațiile își pot îmbunătăți vizibilitatea asupra suprafeței de atac și, odată cu aceasta, pot obține o mai bună înțelegere a ceea ce este necesar pentru a o minimiza și a o securiza cât mai bine, prin implementarea unor bune practici.
Cum se definește suprafața de atac a unei companii?
Initial, suprafața atacului poate fi definită sub forma activelor fizice și digitale pe care o organizație le deține, care ar putea facilita un atac cibernetic. Scopul final al actorilor malware ar putea fi oricare, de la implementarea ransomware-ului și furtul de date, până la recrutarea sistemelor într-un botnet, descărcarea troienilor bancari sau instalarea malware-ului pentru minarea de cripto-monede. Însă, cu cât suprafața de atac este mai mare, cu atât este și ținta pe care o iau în calcul atacatorii.
Există două categorii principale ale suprafeței de atac:
Suprafața de atac digitală
Aceasta subsumează toate componentele hardware, software și componentele conexe conectate la rețeaua unei organizații. Printre acestea se numără:
Aplicații: vulnerabilitățile din aplicații pot oferi atacatorilor un punct de intrare facil în sistemele, cu access la datele IT critice.
Codul software: o mare parte din acesta este compilat din componente terțe, care pot conține malware sau vulnerabilități.
Porturi: atacatorii scanează porturile deschise și verifică dacă serviciile ascultă pe un anumit port (de exemplu, portul TCP 3389 pentru RDP). Vulnerabilitățile de acest nivel pot fi imediat exploatate.
Servere: acestea ar putea fi atacate prin exploatări de vulnerabilități sau inundate de trafic în atacuri DDoS.
Site-uri web: vectorii de atac specifici, inclusiv vulnerabilitățile la nivel de cod și configurările greșite conduc la riscul eliminării frauduloase a paginii web sau la implantarea unui cod rău intenționat pentru drive-by și alte atacuri (de exemplu, formjacking – integrarea de cod malițios pentru extragerea frauduloasă a datelor de plată introduse în formularele online de cumpărare din magazinele online).
Certificate: organizațiile le lasă frecvent să expire, permițându-le atacatorilor să profite de acest lucru.
Pentru a evidenția amploarea suprafeței digitale de atac, luați în calcul această cercetare din 2020 făcută asupra companiilor aflate pe lista Financial Times Stock Exchange Index 30, constatându-se următoarele:
- 324 certificate expirate
- 25 de certificate care folosesc algoritmul de hash SHA-1 învechit
- 743 posibile site-uri aflate în stadiu de testare expuse în internet
- 385 de forme nesigure din care 28 au fost utilizate pentru autentificare
- 46 de framework-uri web care prezentau vulnerabilități cunoscute
- 80 de cazuri de utilizare a versiunii vechi PHP 5.x
- 664 versiuni de server web cu vulnerabilități cunoscute
Suprafața fizică de atac
Aceasta cuprinde toate dispozitivele endpoint pe care un atacator le-ar putea accesa „fizic”, precum: calculatoare desktop, hard disk-uri, laptopuri, telefoane/dispozitive mobile, memorii USB.
Angajații dvs. pot fi vazuți, de asemenea, ca fiind o parte importantă a suprafeței fizice de atac a organizației, deoarece aceștia pot fi manipulați prin inginerie socială (phishing și variantele sale) în cursul unui atac cibernetic. Mai mult decât atât, aceștia sunt responsabili de activitățile denumite generic „IT shadow”, care presupun utilizarea neautorizată de aplicații și dispozitive, ocolind filtrele de securitate ale companiei. Prin folosirea acestor instrumente neaprobate – și adesea securizate necorespunzător, acestea ar putea expune organizația la amenințări suplimentare.
Devine suprafața de atac din ce în ce mai mare?
Organizațiile își construiesc resursele informatice și digitale de mulți ani. Dar apariția pandemiei a înregistrat investiții la scară masivă, pentru a sprijini munca la distanță și a menține operațiunile comerciale într-un moment de incertitudine extremă a pieței. Această stare a extins, de fapt, suprafața de atac în mai multe moduri evidente:
- Endpoint-urile folosite în munca de la distanță (de exemplu, laptopuri, desktopuri)
- Aplicațiile și infrastructura de tip cloud
- Dispozitive IoT și 5G
- Utilizarea codului terț și a DevOps
- Infrastructura de lucru la distanță (VPN-uri, RDP etc.)
Potrivit experților, multe companii au fost acum împinse dincolo de un „prag” de utilizare a fluxurilor de lucru digitale care le va schimba operațiunile pentru totdeauna. Este o veste potențial proastă din perspectiva suprafeței de atac, pentru că ar putea conduce la:
- Atacuri de phishing care exploatează lipsa de conștientizare a securității în rândul angajaților
- Programe malware și vulnerabilități noi care să vizeze serverele, aplicațiile și restul sistemelor
- Parole furate sau atacuri brute pentru realizarea de conectări frauduloase
- Exploatarea configurărilor greșite (de exemplu, în conturile cloud)
- Certificate web furate, s.a.m.d.
De fapt, există sute de vectori de atac în joc pentru actorii malware specializați în crearea de atacuri persistente. ESET a găsit 71 de miliarde de încercări de compromitere via RDP configurat greșit, între ianuarie 2020 și iunie 2021.
Cum să abordați corect riscurile specifice suprafeței de atac
Suprafața de atac are o importanță fundamentală pentru a pune în practică cele mai bune metode de securitate cibernetică, pentru că înțelegerea dimensiunii sale și adoptarea de măsuri pentru reducerea sau gestionarea acesteia sunt primii pași către o protecție proactivă.
Dimensiunea suprafeței de atac poate fi înțeleasă prin audituri ale activelor și ale stocării, prin teste de penetrare, scanări ale vulnerabilității și prin restul activităților similare.
Reduceți dimensiunea suprafeței de atac și a riscului cibernetic asociat, acolo unde puteți, prin:
- Aplicarea de patch-uri, corecții și configurări specifice de management de risc
- Consolidarea endpoint-urilor și renunțarea la hardware-ul vechi
- Actualizarea software-ului și a sistemelor de operare
- Segmentarea rețelelor
- Folosirea celor mai bune practici DevSecOps
- Gestionarea vulnerabilităților
- Reducerea riscului din lanțul de aprovizionare
- Implementarea de măsuri de securitate a datelor (de exemplu, criptare puternică)
- Managementul puternic al verificării identității/accesului
- Adoptarea unui model de securitate zero trust
- Înregistrarea și monitorizarea prin log-uri a sistemelor
- Implementarea de programe de instruire care să sporească conștientizarea riscurilor
Mediul IT corporativ este într-o stare constantă de schimbare – datorită utilizării pe scară largă a VM-urilor, containerelor și micro serviciilor, precum și a sosirii și plecării continue a angajaților și a traficului permanent de hardware și software. Asta înseamnă că orice încercare de gestionare și înțelegere a suprafeței de atac trebuie întreprinsă cu instrumente agile și inteligente care funcționează pe baza datelor, în timp real. Ca întotdeauna, „vizibilitatea și controlul” ar trebui să fie prioritatea dvs. numărul unu.
ESET deține în portofoliul său soluții antivirus și antimalware, cu protecție multi-strat, care pot depista din timp atacurile ransomware, astfel încât nu afecteze resursele și reputația companiei. ESET PROTECT Advanced este o soluție concepută în jurul nevoilor IMM-urilor, ce oferă prin layer-ul ESET Dynamic Threat Defense, protecție de tip cloud-sandbox pentru sisteme împotriva ransomware-ului și amenințărilor de tip zero-day, precum și protecție dedicată pentru datele stocate pe laptopuri, în caz de furt și pierdere, prin criptare completă a hard disk-urilor. Produsul răspunde, așadar, provocării de a gestiona și proteja rețelele IT business în fața amenințărilor cibernetice în continuă evoluție.
Soluția poate fi testată gratuit de către orice companie, fără nicio obligație ulterioară. Pentru mai multe detalii despre aceasta și descărcarea unei variante de test, dați click aici.