Ασφάλεια Συστημάτων

Ο μεγάλος κίνδυνος για τα συστήματα των επιχειρήσεων σήμερα, βρίσκεται στις επιθέσεις που αποφέρουν χρήματα σε αυτούς που τις εξαπολύουν. Τέτοιες επιθέσεις, όπως τα ransomware και η λιγότερο εκτεταμένη περίπτωση του business email compromise (BEC), ακολουθούν μια σειρά βημάτων. Κάποια βήματα είναι κοινά σε όλους τους τύπους επίθεσης και κάποια μοναδικά. Ευτυχώς, σε κάθε ένα από αυτά έχουμε και την ευκαιρία να τις σταματήσουμε.

Επιλογή Στόχου και Αρχική Παραβίαση

Η επιλογή στόχου σε ένα συντριπτικά μεγάλο ποσοστό πραγματοποιείται αυτοματοποιημένα με χρήστη bots που ψάχνουν για διαθέσιμα και εύκολα συστήματα. Όλοι μας είμαστε δυνητικοί στόχοι καθώς δεν υπάρχει κόστος για τον επιτιθέμενο κατά την προσπάθειά του να μας προσεγγίσει.

Στον αντίποδα, υπάρχουν οι επιθέσεις τύπου advanced persistent threats (APT) που κοστίζουν κάποιες εκατοντάδες χιλιάδες έως εκατομμύρια δολάρια στους επιτιθέμενους, πραγματοποιούνται από εξειδικευμένες ομάδες ανθρώπων και ως εκ τούτου, οι οργανισμοί που αποτελούν πιθανό στόχο είναι ελάχιστοι.

Μετά την επιλογή του στόχου, ακολουθούν οι προσπάθειες για την αρχική παραβίαση των συστημάτων που πραγματοποιείται κυρίως με δύο, επίσης πλήρως αυτοματοποιημένους, τρόπους:

• Phishing: Η πιο κοινή μέθοδος πλέον είναι αποστολή phishing email που περιέχουν κακόβουλα link ή επισυναπτόμενα αρχεία στους εργαζόμενους με την ελπίδα κάποιος να “τσιμπήσει”.

• Vulnerabilities: Μια μεγάλη κατηγορία, συστημικών και ανθρώπινων ευπαθειών, που περιλαμβάνει: σφάλματα λογισμικού, ελαττωματικός σχεδιασμός ή λάθος ρυθμίσεις, έλλειψη αναβαθμίσεων σε παλαιό εξοπλισμό, ασθενή passwords κτλ.

Προστασία από phishing

Τα phishing email συνεχώς αυξάνονται σε ποσότητα και επιτήδευση με αποτέλεσμα να γίνεται όλο και πιο δύσκολο κάποιος να τα ξεχωρίσει από τα πραγματικά ακόμα και αν είναι ένα καλά εκπαιδευμένο μέλος Τμήματος Πληροφορικής. Οι διαθέσιμες λύσεις μπορούν να βοηθήσουν στην συντριπτική πλειοψηφία των περιπτώσεων phishing:

• Αξιόπιστες υπηρεσίες email όπως ο Exchange Online που περιλαμβάνουν τα βασικά φίλτρα για την καταπολέμηση spam και phishing email μπορούν να σταματήσουν τον μεγάλο όγκο των συνηθισμένων επιθέσεων από το να φτάσει στον χρήστη.

• Επιπρόσθετες υπηρεσίες ασφάλειας όπως το Microsoft 365 Defender, προσθέτουν ανάμεσα σε άλλα και δυνατότητες Safe Links και Safe Attachments ώστε ακόμα και εάν ένα phishing email περάσει και o χρήστης “τσιμπήσει” και πατήσει το επικίνδυνο link, να μην καταφέρει να εκκινήσει η επίθεση.

• Υπηρεσίες DNS Filtering όπως το Umbrella της Cisco και το Web Titan, επίσης μπορούν να σώσουν την κατάσταση εάν το χρήστης “τσιμπήσει” μπλοκάροντας την πρόσβαση σε γνωστά phishing sites και αναδρομολογώντας την κίνηση σε μια ασφαλή σελίδα.

Τα παραπάνω δεν υποκαθιστούν ένα καλά πληροφορημένο και υποψιασμένο εργαζόμενο. Πλατφόρμες όπως η KnowBe4 που παρέχουν Security Awareness Training μπορούν να εκπαιδεύσουν τους εργαζόμενους στο να αναγνωρίζουν και να αντιμετωπίζουν απόπειρες ηλεκτρονικής απάτης και επιθέσεις.

Εντοπισμός ευπαθειών

Οι ευπάθειες είναι πολυπαραγωντικό θέμα που συνήθως ξεφεύγει από το τι είναι ανθρωπίνως δυνατό να ελεγχθεί. Το μεγαλύτερο, ίσως, πρόβλημα είναι να τις εντοπίσουμε. Η καλύτερη λύση σε αυτή την περίπτωση είναι η τακτική ανάλυση από ένα εργαλείο vulnerability scanning όπως το Frontline Vulnerability Manager της Fortra που ελέγχει για:

• Ελλείψεις σε διορθώσεις και ενημερώσεις των συστημάτων.
• Λάθη στην παραμετροποίηση όπως υπερβολικά πολλά δικαιώματα χρηστών και ανοιχτών θυρών.
• Ασθενή ή default passwords.
• Προβληματικά ή παρωχημένα πρωτόκολλα επικοινωνίας όπως FTP και Telnet.
• Γνωστές ευπάθειες συγκρίνοντας με τα δεδομένα βάσεων όπως οι CVE και NVD.
• Συμμόρφωση σε standards ασφάλειας όπως PCI, HIPAA κτλ.

Προστασία από ευπάθειες

Δυστυχώς, διαδικασίες όπως το vulnerability scanning και τα penetration test τρέχουν σε τριμηνιαία ή ετήσια βάση και ο σκοπός τους δεν είναι η προστασία αλλά ο εντοπισμός των προβλημάτων. Μια σειρά άλλων λύσεων έρχονται για να αναλάβουν την συνεχή προστασία των συστημάτων:

• Αναβάθμιση & Ενημέρωση: Όσο ενοχλητική, τόσο και απαραίτητη διαδικασία για την ασφάλεια των συστημάτων. Μια καλή πρακτική είναι η αυτοματοποίηση της διαδικασίας και ο έλεγχός της από ένα λογισμικό patch management. Ο Microsoft Endpoint Manager περιλαμβάνει ανάμεσα σε πολλές άλλες λειτουργίες και patch management.

• Ασφαλής Πρόσβαση: Ποιος μπορεί να μπει, που μπορεί να μπει και τι μπορεί να κάνει το καθορίζει ένα σύστημα Identity & Access Management (IAM) όπως το JumpCloud και το Azure AD. Σε κάθε περίπτωση, η πρόσβαση όπως και να επιβληθεί καταλήγει να αφορά passwords:
  • Password Management: Ένα καλό password είναι ένα πολύπλοκο, μοναδικό σε χρήση (και χρήστες) password. Η χρήση ενός τέτοιου σχήματος είναι αδύνατο να επιβληθεί σε οποιονδήποτε χωρίς πρώτα να διαθέτει ένα κατάλληλο εργαλείο enterprise password management όπως το Keeper για να διευκολύνει την εφαρμογή του.
  • Multi-Factor Authentication (MFA): Αν ένα password έχει παραβιαστεί τότε μόνο ένα δεύτερο μπορεί να σώσει την κατάσταση. Αυτό μπορεί να έχει τη μορφή (hardware) token όπως το YubiKey ή πιο συχνά ενός One-Time Password (OTP). Λύσεις MFA υπάρχουν τόσο στα πλαίσια ενός ΙΑΜ όσο και αυτόνομες όπως το Duo της Cisco.

• Intrusion Prevention Systems (IPS): Υλοποιείται είτε σε ένα next-generation firewall (network-based IPS) όπως αυτά της Huawei, της Sophos και της Cisco, είτε στο λογισμικό anti-malware των συστημάτων (host-based IPS). Το IPS συνεχώς αναλύει την κίνηση που δέχεται για γνωστές ευπάθειες και επιθέσεις και τις σταματάει απορρίπτοντας την κίνηση.

Μεταφορά και Πυροδότηση Payload

Όταν έχει επιτελεστεί η παραβίαση, σειρά έχει η παράδοση και η εκτέλεση του κακόβουλου λογισμικού. Το λογισμικό πέρα από την κυρίως επίθεση συχνά περιλαμβάνει μηχανισμούς για την παράκαμψη και την απενεργοποίηση των συστημάτων ασφάλειας και την ανακάλυψη άλλων πιθανών στόχων στο δίκτυό μας.

Το βασικό εργαλείο αντιμετώπισης από τη στιγμή που η επίθεση έχει φτάσει μέσα στο σύστημα είναι τα anti-virus / anti-malware / endpoint protection (EPP) λογισμικά. Εάν το κακόβουλο λογισμικό πχ. ένα ransomware, είναι “γνωστό”  ακόμα και ένα κλασικό signature-based anti-virus μπορεί να σταματήσει την επίθεση. Δυστυχώς, αυτός το τρόπος λειτουργίας δεν μπορεί να σταματήσει πολύ πρόσφατες επιθέσεις και παραλλαγές.

Άγνωστες απειλές που αναφέρονται και ως zero-day attacks, και χρειάζονται μια μεγάλη ποικιλία τεχνικών και συνεργασία με εξωτερικές πλατφόρμες, ακόμα και ομάδες για να μπορέσει ένα σύστημα να τις αναγνωρίσει και να τις αντιμετωπίσει. Τέτοιες λύσεις EPP είναι γνωστές ως Advanced Threat Protection Platforms και περιλαμβάνουν λειτουργίες όπως:

• Security Operations Center (SOC): Αποτελείτε από μια ολόκληρη ομάδα εξειδικευμένων ανθρώπων που στη διάθεσή τους έχουν τα καλύτερα εργαλεία για την ανάλυση του τεράστιου όγκου δεδομένων και logs που παράγουν συστήματα όπως το XDR. Το Managed Detection and Response (MDR) της Sophos περιλαμβάνει SOC-as-a-Service σε συνδυασμό με τα προϊόντα EDR, XDR και EPP.

• Endpoint Detection and Response (EDR): Το EDR είναι μια cloud υπηρεσία με την οποία επικοινωνεί το EPP και παρέχει μια συλλογή εργαλείων όπως heuristics και ανάλυση συμπεριφοράς χρησιμοποιώντας machine learning και τεχνητή νοημοσύνη με σκοπό τον έγκαιρο εντοπισμό και αντιμετώπιση άγνωστων απειλών εντός των συστημάτων.

• Extended Detection and Response (XDR): Το XDR επεκτείνει τις λειτουργίες του EDR εκτός συστήματος. Επικοινωνεί και συγκεντρώνει στοιχεία από πολλές πηγές όπως firewall, συστήματα προστασίας email, servers κτλ. Προϊόντα όπως το Sophos Intercept-X with XDR και το Microsoft Defender for Endpoint περιλαμβάνουν λειτουργικότητα EDR και XDR.

Υπάρχουν πολλές πλευρές της ασφάλειας και αντίστοιχα πολλές λύσεις που δεν μπορούν να αναλυθούν στα πλαίσια. Η IP Partners είναι πιστοποιημένος συνεργάτης όλων των κατασκευαστών που έχουν αναφερθεί παραπάνω και μπορεί να σας παρέχει τις λύσεις και την υποστήριξη που χρειάζεστε. Επικοινωνήστε μαζί μας για να σχεδιάσουμε μια αποτελεσματική και κυρίως βιώσιμη στρατηγική ασφάλειας για την επιχείρησή σας.

Δυστυχώς, η επίθεση πέτυχε. Και τώρα?

Τώρα απομονώστε τα συστήματα που έχουν εκτεθεί και επικοινωνήστε με το Τμήμα Υποστήριξης μας. Υπάρχουν αρκετά πράγματα που πρέπει να γίνουν κυρίως για να μην επεκταθεί το πρόβλημα σε άλλα συστήματα και για να είστε νομικά και διοικητικά καλυμμένοι (πχ. καταστροφή φορολογικών στοιχείων).

Όσο για τα δεδομένα που καταστράφηκαν, υπάρχει μόνο μια λύση: μια αξιόπιστη διαδικασία backup που παράγει ενημερωμένα και ανακτήσιμα αντίγραφα δεδομένων.