Ransomware - czy to zagrożenie jest rzeczywiście ważne?

22 czerwca 2021, 08:10
ransomware-2320941_960_720
fot. TheDigitalArtist / pixabay

“Hack dekady” (atak na infrastrukturę krytyczną w USA), atak na Colonial Pipeline czy blokowanie sieci szpitali w trakcie pandemii pokazały nam, jakie są skutki ataków ransomware wymierzanych w infrastrukturę krytyczną państwa. Jednak te ataki – przeprowadzone na wielką skalę i niosące za sobą gigantyczne skutki – nie powinny kształtować naszego myślenia o tego typu cyberzagrożeniach, a tym bardziej nie powinny zniechęcać nas do stosowania odpowiednio przygotowanych zabezpieczeń niezależnie od tego jakiej wielkości organizacją zarządzamy.

Warto pamiętać, że wraz z ewolucją zabezpieczeń i stawianiem kolejnych cyfrowych „fortec” oraz budowania wokół nich „cybermurów” cyberprzestępcy również dostosowywali swoje metody ataków aby unikać zabezpieczeń. Bierzemy udział w niekończącym się wyścigu - w odpowiedzi na działania wrogich podmiotów, skomplikowanie i skalę ataków ransomware, jesteśmy zmuszeni do ciągłego doskonalenia sposobów obrony.

Komórki odpowiedzialne za bezpieczeństwo informatyczne w firmach zmagają się z koniecznością monitorowania stanu swoich systemów ochrony, a jednocześnie muszą zarządzać niekończącym się napływem alertów bezpieczeństwa. Dlaczego ochrona jest takim wyzwaniem? Niestety w wielu wypadkach cyberprzestępcy, bez ponoszenia praktycznie żadnych konsekwencji, prowadzą stały ostrzał naszych środowisk i wyszukują luki w naszych zabezpieczeniach do momentu, w którym choćby jedna z prób nie odniesie sukcesu. Z drugiej strony zespoły bezpieczeństwa muszą być przygotowane na różne, czasem nieznane wcześniej warianty ataków, korzystające z różnych wektorów infekcji. Jak uczy doświadczenie i pokazują trendy w budowie nowoczesnych systemów bezpieczeństwa ochrona musi być wielowarstwowa i powinna wykorzystywać automatyzację dla ograniczenia błędów ludzkich oraz dla zaoszczędzenia czasu, który następnie jest przeznaczony na doskonalenie systemów i odpowiedź na najtrudniejsze ataki.

Ransomware? Czy to zagrożenie jest rzeczywiście ważne?

Za pomocą ataku ransomware cyberprzestępcy blokują dostęp do systemów lub uniemożliwiają odczyt danych. Zazwyczaj taki atak jest powiązany z “ofertą” odzyskania dostępu po opłaceniu okupu przez ofiarę. Jak pokazuje atak na amerykańskiego dostawcę paliw cena może być znacząca – nawet jak dla operatora tak strategicznych dostaw.

Problem ataków ransomware nie jest problem nowym. Pierwsze ataki tego typu na dużą skalę pojawiły się już w latach 90-tych. Od tego czasu wskazywano różne dobre praktyki ochrony, a wśród nich przede wszystkim posiadanie aktualnych backupów danych. Niestety cyberprzestępcy również są świadomi tych metod i próbują je obejść. Wśród nowych technik przez nich stosowanych pojawiło się wykradanie cennych danych z zaatakowanej oragnizacji przed ich zaszyfrowaniem na komputerach ofiary. Dzięki temu możliwe jest “podwójne uderzenie”: żądanie okupu za odszyfrowanie danych oraz groźba upublicznienia wyprowadzonych danych, gdyby firma nie chciała zapłacić za klucz do deszyfracji. W założeniu, opublikowanie danych jest również zagrożeniem dla firmy - może ją narazić na utratę reputacji, straty dla biznesu, a nawet doprowadzić do postępowania o naruszenie regulacji RODO/GDPR, jeśli wykradzione dane podlegają pod tą regulację.

Wróćmy raz jeszcze do przytoczonych przykładów ataków, a w szczególności do tego co się działo po ich zakończeniu, czyli do wyciągania z nich wniosków. Nierzadko kończyły się one licznymi kosztownymi audytami, koniecznością szybkich inwestycji w podniesienie poziomu zabezpieczeń i wprowadzaniem nowych procedur bezpieczeństwa. Są to wysokie koszty, trudne do oszacowania na początku działań, specyficzne dla danej organizacji i skali ataku. Zwykle nie są więc uwzględniane w różnych raportach pokazujących średnie straty spowodowane atakami ransomware. Wpływ ransomware na zaatakowaną organizację jest więc znacznie wyższy niż cytowane w wielu miejscach średnie koszty infekcji…

Bardziej obrazowo? Eksperci ds. bezpieczeństwa wskazują, że przestój spowodowany atakami ransomware wynosi średnio 21 dni. Jednak przymusowe zatrzymanie systemów to tylko początek problemów - jak tylko uda się odzyskać pełną kontrolę nad zablokowanymi systemami konieczne jest przywrócenie całości procesów działających przed atakiem. I tutaj czas potrzebny aby to w pełni zrealizować może szokować - specjaliści szacują, że wynosi on średnio aż 287 dni...

Bezpieczeństwo sieci firmowych

Czego powinny nas nauczyć doświadczenia zaatakowanych organizacji? Przede wszystkim konieczności wzmocnienia świadomości pracowników i postawienia na systemy ochrony, które mogą przerwać atak na jego wczesnym etapie. Skuteczne blokowanie ataków, które ciągle się zmieniają nie może bazować wyłącznie na jednoznacznym atrybucie ataku (np. na hash pliku malware), ale także “na analizie zachowania - w  tym analizie dynamicznej kodu i kontrolowaniu sekwencji działań podejmowanych w czasie ataku, wyszukiwaniu podobieństw i reakcji na pewne podstawowe, i dzięki temu wspólne, cechy działania złośliwego kodu” - stwierdził Tomasz Pietrzyk, szef zespołu inżynierów systemowych Palo Alto Networks w regionie EEUR. Przykładem takiego podejścia jest ochrona przed exploitami, która wykorzystuje podstawowe techniki używane do zainicjowania kodu a nie opiera się na sygnaturze konkretnego exploita.

Kolejnym ważnym atrybutem nowoczesnego systemu ochrony jest wykorzystanie technologii Machine Learning do wykrywania i blokowania ataków zarówno w rozwiązaniach chroniących endpointy, jak i w produktach network security. Jak zwraca uwagę ekspert Palo Alto Networks, w rozwiązaniach tej firmy stosowany jest pierwszy na rynku silnik ML działający bezpośrednio na firewallu, który analizuje pliki przesyłane poprzez firewall jak również skrypty w treści stron web, z którymi łączą się użytkownicy.

Wszystkie te mechanizmy mają wykryć i zablokować maksymalnie dużo prób ataków na ich wstępnym etapie. Właściwe podejście do kompleksowej ochrony organizacji i jej zasobów przed współczesnymi zagrożeniami powinno jednak także umożliwić ograniczenie skutków ataku, który nie zostanie zatrzymany na wstępnym etapie. W takiej sytuacji system ochrony powinien pomagać w zrozumieniu i odtworzeniu cyklu ataku oraz w ograniczeniu jego rozprzestrzenienia się wewnątrz sieci przez jej segmentację i kontrolę punktów styku segmentów. Warto zwrócić uwagę, że skuteczna segmentacja to nie tylko podział na tzw. subnety sieciowe. Jak podkreślił ekspert Palo Alto Networks, segmentacja powinna opierać się też na rozpoznaniu i kontroli aplikacji i użytkowników z wykorzystaniem firewalli oddzielających poszczególne strefy bezpieczeństwa.

Po pierwsze „Zero Trust”

Wielokrotnie podkreślanym przez specjalistów ds. bezpieczeństwa postulatem – zwłaszcza w trakcie pandemii koronawirusa, kiedy biznes zderzony został z koniecznością przeniesienia stanowisk pracy pracowników do ich prywatnych mieszkań - jest konieczność wprowadzenia zasady "zero-trust"- ograniczonego zaufania. Reguła ta, jak podkreśla Tomasz Pietrzyk, „powinna być stosowana niezależnie od środowiska, gdzie pracują użytkownicy oraz niezależnie od tego, gdzie przechowywane i przetwarzane są nasze dane - w lokalnej serwerowni, w zdalnym oddziale firmy, w chmurze publicznej czy w aplikacjach SaaS”.

Na czym więc polega to podejście do bezpieczeństwa?

Rozwiązanie Zero Trust proponowane przez Palo Alto stanowi model bezpieczeństwa opracowany specjalnie z myślą o bezpieczeństwie poufnych danych i krytycznych aplikacji w organizacji. Podstawowym celem jest uniemożliwienie napastnikom zarówno z zewnątrz jak i z wewnątrz organizacji skutecznego narażenia na utratę cennych danych, czy ograniczenia działania aplikacji i systemów, które są krytyczne dla organizacji, za pomocą exploitów, złośliwego oprogramowania oraz ataków opartych na skompromitowanych i przejętych poświadczeniach użytkowników. “Zero Trust” jako podejście do ochrony, powinno być uzupełnione rozwiązaniami, które pozwalają na szybką, automatyczną  analizę ataku i wyizolowanie zaatakowanych hostów z sieci na czas weryfikacji zagrożenia i wdrożenia odpowiedzi na nie. Wśród tych rozwiązań, jak podkreśla ekspert Palo Alto Networks, wyróżniają się produkty z rodziny EDR (Endpoint Detection and Response), a jeszcze lepiej XDR (Extended Detection and Response - np. Palo Alto Networks Cortex XDR), które umożliwiają prewencję oraz przyśpieszają wykrycie ataku i kompleksową analizę przez łączenie danych pochodzących z endpointów z informacjami zebranymi w sieci.

Przy projektowaniu rozwiązań do ochrony przed współczesnymi atakami warto zwrócić również uwagę na automatyzację działań i orkiestrację (zarządzanie współpracą) naszych systemów bezpieczeństwa tak, aby umożliwić natychmiastową, automatyczną reakcję w trakcie ataku - np. automatyczne odcięcie podejrzanych hostów od reszty sieci, włączenie dodatkowych zabezpieczeń, automatyczne przeszukiwanie logów, zaalarmowanie zespołów reagowania na incydenty wraz z podaniem im jak najbardziej rozbudowanego kontekstu zagrożenia, który został już zgromadzony przez systemy ochrony. Automatyzacja i orkiestracja są kluczowe dla uzyskania właściwej skalowalności systemu reakcji - płynne dostosowanie go do większej ilości alertów. Pamiętajmy: czas reakcji na atak, szczególnie na atak typu ransomware, ma kluczowe znaczenie dla ograniczenia jego skutków!

Trudno jest chronić się przed zagrożeniami, o których nic lub niewiele wiemy. Z tego powodu zyskują na znaczeniu źródła wiedzy o zagrożeniach - tzw. Threat Intel. Organizacje i ich systemy ochrony powinny uwzględniać współpracę z Threat Intel. Im bardziej zaawansowane jest wykorzystanie Threat Intel w firmie, tym jej poziom dojrzałości security jest wyższy. Często źródła Threat Intel kojarzone są z działaniami zespołu SOC (Security Operations Center) - tak w istocie jest, ale nawet niewielkie organizacje, które nie posiadają własnego zespołu SOC, mogą korzystać z różnych form Threat Intel - zaczynając od ich najprostszych postaci, czyli tzw. threat feeds (źródeł wskaźników kompromitacji - IoC), które są bezpośrednio “konsumowane” przez produkty systemu ochrony podnosząc jakość wykrywania nowych ataków i wzbogacając kontekst ataku lub korzystając z pomocy specjalizowanych firm, które oferują usługi monitorowania zagrożeń. Przykładem takiej usługi jest MTH - Managed Threat Hunting firmy Palo Alto Networks.

Czy dotyczy to Twojego biznesu?

Ataki ransomware są globalnym wyzwaniem dla organizacji niezależnie od sektora, w którym ono się znajduje. Ze względu na skalę tych ataków i innowacje wprowadzane przez cyberprzestępców nastawionych na zyski finansowe, celem ataku jest praktycznie każdy z nas.

Niewątpliwie jedną z globalnych odpowiedzi na to zagrożenie jest międzynarodowa współpraca między instytucjami i firmami monitorującymi zagrożenia oraz rządami i podległymi im służbami. W efekcie poprawia się skuteczność ścigania i karania grup cyberprzestępców, aczkolwiek nadal w tym zakresie wiele pozostaje do zrobienia.

Wszystkie wyzwania związane z cyberbezpieczeństwem – niezależnie czy pochodzą z wewnątrz czy zewnątrz organizacji oraz bez względu na to, jak rozległy jest wpływ zagrożenia - można sprowadzić do dwóch aspektów: finansowego i biznesowego. Ryzyko finansowe będące następstwem udanych naruszeń może mieć małe prawdopodobieństwo, jednak zakres strat biznesowych, w konsekwencji udanego ataku może być druzgocący dla firmy.

Ryzyka biznesowe związane są przede wszystkim z utratą reputacji i możliwością przejęcia jednego z najważniejszych zasobów współczesnego przedsiębiorstwa, czyli danych - w tym tych poufnych i wrażliwych, jak dane finansowe, informacje dotyczące klientów, pracowników, produktów firmy i planów biznesowych. Wszystko to powoduje nie tylko zakłócenie normalnego funkcjonowania organizacji, ale również naraża ją na znaczne straty.

Przed cyberatakami nie uciekniemy – czy tego chcemy czy nie stały się one integralnym elementem rozwoju technologicznego i cyfryzacji praktycznie wszystkich sfer funkcjonowania państwa i biznesu. Z drugiej strony rozwój technologii ochronnych pozwala zminimalizować wpływ zagrożeń. Oczywiście pod warunkiem, że jesteśmy świadomi ryzyka i właściwie przygotujemy nasze organizacje i chroniące je systemy do odpowiedzi na atak.

 

KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24