Pomimo tego, że nowy rok rozpoczął się zaledwie kilka tygodni temu, wiele firm zdążyło już paść ofiarą ransomware i trafić dzięki temu na pierwsze strony gazet.
Firma Picanol, światowy lider w produkcji krosien tkackich, została zaatakowana przez hakerów kilka tygodni temu. Atak doprowadził do wstrzymania produkcji i wysłania 2300 pracowników z różnych oddziałów na całym świecie do domu po tym, jak ich systemy produkcyjne stały się praktycznie bezużyteczne.
Picanol to nie jedyna ofiara – Asco, Ranson, Oost-Vlaamse politieschool (szkoła policyjna we Flandrii Wschodniej), Uniwersytet w Antwerpii, Oxfam, Uniwersytet w Maastricht oraz Bouwpunt O.V.B. – wszystkie te organizacje ucierpiały w ostatnim czasie w wyniku cyberataków. Dwa tygodnie temu, rada miejska w Willebroek również padła ofiarą ataku i na pewno nie będzie to ostatni taki przypadek...
Oczywiście większość firm, które zostały narażone na szwank w wyniku cyberataku, woli nie upubliczniać tego faktu, więc możliwe, że publicznie dostępne informacje o atakach to tylko wierzchołek góry lodowej. Biorąc pod uwagę kapitał firmy oraz zaufanie udziałowców i klientów, takie podejście jest całkowicie zrozumiałe.
Cyberprzestępczość jako usługa
W sprawozdaniu na temat globalnych zagrożeń opracowanym przez Światowe Forum Ekonomiczne (WEF) w 2020 roku, respondenci (główni interesariusze i światowi liderzy) określają cyberataki skierowane przeciwko infrastrukturze i danym jako jedno z dziesięciu największych zagrożeń cybernetycznych w krótko- i długoterminowej perspektywie czasu.
Cyberprzestępczość jako usługa to nowy model biznesowy, który stale zyskuje na popularności. Odnotowano 300% wzrost liczby cyberataków skierowanych przeciwko urządzeniom internetu rzeczy, a 75% respondentów uważa, że liczba ta będzie tylko rosnąć. (Źródło)
Wszystkie dane sugerują, że w przyszłości cyberataków będzie jeszcze więcej. Ci, którzy nadal uważają, że jest to zjawisko tymczasowe, mogą się zdziwić. Wydaje się jednak, że kwestia odpowiedzialności w organizacjach, firmach i strukturach rządowych jest spychana na drugi plan. Odpowiedzialność za bezpieczeństwo informatyczne powinna jednak spoczywać na wszystkich pracownikach firmy.
Czy zapłaciłbyś okup?
Aby uniknąć strat, firmy, które padły ofiarą ataku ransomware często płacą okup, który może wynosić od tysiąca aż po dziesiątki lub setki tysięcy euro. W wielu przypadkach koszt okupu jest niższy niż koszt przywrócenia środowiska do stanu sprzed ataku.
Przywracanie serwerów i danych jest bardzo czasochłonne, ale zapłacenie okupu niekoniecznie gwarantuje rozwiązanie problemu. Jeśli wszystkie pliki i systemy zostaną odszyfrowane kluczem dostarczonym przez przestępców, czy można naprawdę wierzyć, że systemy są w 100% czyste?
W świecie, w którym hakerzy mają często powiązania z organizacjami przestępczymi, nie można mieć żadnej pewności. Istnieje wiele rodzajów hakerów – black hats, white hats, grey hats, cyberterroryści, haktywiści i wielu innych – każdy z nich ma inne motywacje oraz obiera różne cele i metody. Wielu hakerów ma motywacje finansowe, ale inni są nastawieni na destrukcję i nie oferują żadnej doraźnej pomocy.
Płacenie okupu tak naprawdę oznacza wspieranie tych organizacji przestępczych. Zamiast płacić organizacji przestępczej, lepiej zainwestować te środki w rozwiązania i narzędzia cyberbezpieczeństwa następnej generacji, takie jak zapory sieciowe nowej generacji oraz odpowiednie technologie, takie jak SD-WAN, SDN, piaskownice (sandbox), DLP itp.
Na jakie rozwiązania nowej generacji w zakresie cyberbezpieczeństwa warto postawić?
Rozwiązania cyberbezpieczeństwa pierwszej i drugiej generacji zazwyczaj sprawdzają jedynie sygnatury plików – takie zabezpieczenie nie będzie stanowiło dużego problemu dla hakerów. Współczesne zagrożenia są znacznie bardziej wyrafinowane i dlatego wymagają nowego podejścia.
Nie każdy pracownik musi być ekspertem w dziedzinie cyberbezpieczeństwa, jednak budowanie świadomości u pracowników jest kluczowe i powinno być priorytetem. Skuteczne ataki bardzo często opierają się na czynniku ludzkim – hakerzy są bardzo pomysłowi i z łatwością znajdują nowe sposoby na oszukiwanie pracowników poprzez ukrywanie swojej tożsamości, profesjonalnie wyglądające wiadomości e-mail oraz autentycznie wyglądające linki Office 365 wysłane przez „współpracowników”.
Od czego więc zacząć? Najlepiej zacząć od audytu bezpieczeństwa, który pozwoli ocenić obecne ryzyko i zagrożenia w sieci firmowej. Dopiero po ustaleniu źródeł problemów można zacząć wprowadzać ulepszenia.
Zapory sieciowe nowej generacji i ich funkcje
Z punktu widzenia produktów, zapory sieciowe nowej generacji są dostępne jako urządzenia sprzętowe, maszyny wirtualne lub kontenery Dockera i są dostarczane przez znanych liderów w branży urządzeń sieciowych i zabezpieczeń, takich jak Juniper, Fortinet, Cisco, Checkpoint, Palo Alto, itd. Najlepsze zapory sieciowe nowej generacji łączą w sobie możliwości tradycyjnych zapór sieciowych i funkcjonalności nowej generacji, co pozwala na uwzględnienie większej liczby warstw modelu OSI w procesie kontroli, co z kolei poprawia filtrowanie ruchu sieciowego i umożliwia jego bardziej dogłębną analizę.
Wprowadzenie ich jest konieczne, ponieważ organizacje wdrażają usługi w chmurze SaaS, PaaS i IaaS w pełnej lub hybrydowej konfiguracji chmury. Platformy takie jak Amazon Web Services, Microsoft Azure i Google Cloud zwiększają złożoność konfiguracji.
Zapory sieciowe pierwszej i drugiej generacji mają takie funkcje jak filtrowanie pakietów, inspekcję pakietów w trybie stateful, NAT i PAT, blokowanie adresów URL, a także VPN z QoS, jednak nie wystarczy to do zapewnienia holistycznego podejścia, które jest potrzebne do zwalczania współczesnych zagrożeń.
Jakie funkcje zapór sieciowych nowej generacji są kluczowe w 2020 roku?
Funkcjonalności zapór sieciowych nowej generacji obejmują zapobieganie włamaniom (IPS), kontrolę SSL/TLS i SSH, głęboką kontrolę pakietów, piaskownicowanie, kontrolę przepustowości łącza, wykrywanie złośliwego oprogramowania oparte na reputacji, a także świadomość aplikacji, niezależnie od integracji z systemami zarządzania tożsamością innych dostawców (RADIUS, LDAP). Te specyficzne dla aplikacji możliwości mają zapobiegać rosnącej liczbie ataków na aplikacje, które mają miejsce w warstwach 4–7 modelu OSI.
Przykładowo, zapora sieciowa nowej generacji, dzięki swoim możliwościom antyphishingowym, może sprawdzać adresy URL przesyłane w wiadomościach e-mail i blokować je, jeśli prowadzą do złośliwych stron. Załączniki wysyłane za pomocą wiadomości w sieciach społecznościowych również mogą być skanowane, a dostęp do nich blokowany, jeśli zawierają złośliwy kod.
Usprawiedliwienie braku takich zabezpieczeń jest dużo trudniejsze niż ich wdrożenie, prawda?