Natychmiastowa pomoc przy ataku hakerskim

Zarządzanie incydentami cyberbezpieczeństwa z natychmiastową reakcją.

Dowiedz się więcej

Obserwując krajobraz raportowanych zagrożeń oraz analizując najpoważniejsze, zgłaszane cyber-incydenty na przestrzeni lat, można zauważyć zmiany w uzyskiwaniu przez hakerów tzw. początkowego dostępu (initial access). Przez wiele ostatnich lat analitycy oraz eksperci ds. cyberbezpieczeństwa stawiali phishing na pierwszym miejscu tego rodzaju zagrożeń. W ostatnim czasie jednak, co raz częściej pojawiają się głosy (m.in. na ostatniej konferencji Oh My Hack 2024), że phishing to już przeszłość i należy przywiązywać większą wagę do innych technik inicjujących ataki.

Czy oznacza to, że podszywanie się nie jest już zagrożeniem?

Dobrym, globalnym, narzędziem pokazującym zestaw aktualnych technik hakerów jest macierz MITRE. Firma MITRE tworzy bazę wiedzy ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) w której opisuje i kategoryzuje zachowania cyber-przetępców, w oparciu o obserwacje faktycznych przeprowadzanych ataków.

Zestaw technik hakerow

Obecnie w rubryce Initial Access widzimy, aż 10 różnych technik uzyskiwania początkowego dostępu i phishing jest w wciąż w niej obecny. Jest zatem aktywnym zagrożeniem. Natomiast jego rola w krajobrazie zagrożeń nieco się zmienia. Analizując raportowane, poważne cyber-incydenty wymierzone w duże podmioty, faktycznie ciężko jest powiązać je z tą formą ataku. Dużo bardziej popularne i skuteczne okazują się sposoby na atakowanie wystawionych do sieci publicznej aplikacji, (które są przeważnie niepoprawnie skonfigurowane) oraz ataki poprzez łańcuch dostaw oraz „zaufane relacje”.

Te wnioski można wyciągnąć dlatego, ponieważ ataki na duże, często będące częścią infrastruktury krytycznej podmioty, są przeprowadzane przez profesjonalne grupy APT (Advanced Persistent Threat), które bywają czasem powiązane nawet z agencjami rządowymi innych krajów (przede wszystkim Rosja, Chiny, Korea itd.) i charakteryzują się „pracami” zaawansowanymi technicznie, długotrwałymi, i wymierzonymi w konkretne podmioty. Ich ofiary z uwagi na swoją rangę, zazwyczaj są dobrze zabezpieczone i posiadają rozbudowane architektury bezpieczeństwa IT. Aby maksymalnie utrudnić prace hakerów wykorzystują zazwyczaj systemy:

I w przypadku posiadania takich zabezpieczeń, phishing zwyczajnie nie zadziała.

Niewątpliwie jednak jest on wciąż popularnym i skutecznym narzędziem, a w tej chwili obserwujemy pewnego rodzaju transformacje jego wykorzystywania. Profesjonaliści, faktycznie, coraz rzadziej z niego korzystają, natomiast cała masa „normalnych hakerów” wciąż go używa i robi to w ogromnej skali. Phishing obecnie najczęściej służy do masowej kradzieży haseł do portali społecznościowych i systemów pocztowych. Wysyłany na szeroką skale, wciąż znajduje ofiary, które połkną haczyk. O ile same kampanie celują w zwykłych fizycznych obywateli, tak ci ludzie są gdzieś zatrudnieni i często mają dostęp, w różnym stopniu, do zasobów firmowych. Używanie tych samych haseł i loginów do różnych kont i inne niebezpieczne praktyki, mogą skutkować przeniesieniem ataku z poziomu pojedynczego użytkownika na całą organizacje.

Jeśli więc Twoja firma/organizacja chciałaby aby phishing nie był jej zmartwieniem polecamy, szkolenia dla pracowników, testy podatności na phishing oraz rozbudowę własnej infrastruktury bezpieczeństwa o oprogramowanie i urządzenia dające realną ochronę. Warto w tym miejscu również zaznaczyć, że mnóstwo ataków odbywa się z pominięciem fazy typu initial access, wykorzystując luki typu “zero day” oraz tzw misconfiguration vulnerabilities, czyli błędne konfiguracje systemów, w tym również systemów bezpieczeństwa IT, tak jak np. miało to miejsce w ostatnio głośnej sprawie ”BreakingWAF”. Sytuacje jak ta pokazują, że nawet mając najlepsze zabezpieczenia, ale nie pamiętając o podstawach i dobrych praktykach ich wdrażania, te drogie rozwiązania są często bezużyteczne.

ASCO Cyber oferuje doradztwo w wyborze, pomoc w prawidłowym wdrożeniu oraz późniejsze zarządzanie dostarczonymi rozwiązaniami. Jeśli zależy Ci na prawdziwej cyber-ochronie, zachęcamy do kontaktu!

 

 

Źródła:

https://attack.mitre.org/matrices/enterprise/

https://www.akamai.com/blog/security-research/what-you-should-know-about-breakingwaf