A Sophos összegyűjtötte a 10 leggyakoribb tévedést. Érdemes megfogadni a szakértő tanácsait!
Tévedés #1: “Nem mi vagyunk a célpont; túl kicsit vagyunk / vagy nincs a támadók számára értékes erőforrásunk, adatunk.”
Sophos kiberbiztonsági szakértő: Ez nem így van: ha számítási kapacitás áll rendelkezésedre és digitális jelenléttel bírsz, akkor te is célpont vagy. A legtöbb támadást nem fejlett, államilag támogatott támadók hajtják végre. Könnyű prédára és a legkönnyebben elérhető eredményre hajtó opportunisták indítják őket, például olyan biztonsági résekkel, hibákkal és rossz konfigurációval bíró szervezetek ellen, melyeket a digitális bűnözők könnyen kiaknázhatnak. Ha úgy hiszed, hogy a szervezeted nem célpont, akkor valószínűleg nem is keresel aktívan gyanús tevékenységet a hálózatodon – például a Mimikatz jelenlétét (mely egy nyílt forrású applikáció, ami lehetővé teszi a felhasználók számára az autentikációs adatok megtekintését és begyűjtését a domainvezérlődőn – így nem veszed észre egy támadás korai jeleit.
Tévedés #2: “Nincs szükségünk arra, hogy mindenhová fejlett biztonsági technológiát telepítsünk.”
Sophos kiberbiztonsági szakértő: Néhány IT csapat továbbra is úgy hiszi, hogy avégpont biztonsági szoftver elég minden fenyegetés megállítására és nincs szükségük további biztonsági eszközre a szervereken. A támadók ezt a feltételezést teljes mértékben kihasználják. A konfiguráció, a frissítések és a védelem bármely hibája elsődleges célponttá teszi a szervereket, nem másodlagossá, ahogy ez a múltbéli eseteknél előfordulhatott.
A támadó technikák listája, mely megpróbálja kikerülni vagy deaktiválni a végpont szoftvert, minden nap egyre hosszabbá válik. A példák közé tartoznak:
valós személyek által irányított támadások, melyek a social engineering és több sebezhető pont kiaknázásával nyernek hozzáférést;
körültekintően becsomagolt és álcázott (obfuscated) kód, melyet közvetlenül a memóriába fecskendeznek;
“fájl nélküli” malware támadások, mint például reflective DLL (Dynamic Link Library)futtatás;
olyan támadások, melyek legitim távoli eszközöket, mint például a Cobalt Strike-ot használják más, hétköznapi IT admin eszközök és technikák mellett. Az alap antivírus technológiák nehezen tudják detektálni és blokkolni az ilyen tevékenységet.
Ehhez hasonlóan hibás az a feltételezés is, hogy a védett végpontok megakadályozhatják a behatolókat abban, hogy eljussanak a védtelen szerverekig. A Sophos Rapid Response által vizsgált incidensek szerint a szerverek most az első célpontot jelentik a támadásoknál és a támadók könnyen megtalálják a közvetlen útvonalat a lopott hozzáférési adatok használatával. A legtöbb támadó a Linux rendszerekben is eligazodik. Valójában a támadók gyakran törik fel a Linux rendszereket és telepítenek backdoort rájuk, hogy menedékként használják őket és fenntartsák a célpont hálózatához való hozzáférésüket.
Viselkedés és mesterséges intelligencia-alapú észlelés és egy, a nap minden órájában aktív, valós személyek által működtetett biztonsági műveleti központ nélkül a behatolók valószínűleg képesek lesznek kikerülni a biztonsági intézkedéseidet.
Tévedés #3: “Hatékony biztonsági szabályozások vannak érvényben nálunk.”
Sophos kiberbiztonsági szakértő: Az alkalmazások és felhasználók biztonsági házirendje kritikus fontosságú. Azonban állandóan ellenőrizni és frissíteni kell őket, ahogy új opciókkal és funkciókkal bővülnek a hálózathoz csatlakozó készülékek. Ellenőrizd és teszteld a házirendeket olyan technikák alkalmazásával, mint például a behatolásvizsgálat, szimulációs gyakorlatok (tabletop exercises) és a katasztrófa utáni helyreállítási tervezet próbájának végrehajtása.
Tévedés #4: A távoli asztal protokoll (RDP) szervereket megvédhetőek a támadókkal szemben az általuk használt portok megváltoztatásával és a többlépcsős autentikáció bevezetésével (MFA).
Sophos kiberbiztonsági szakértő: Az RDP szolgáltatásokhoz használt standard port a 3389, így a legtöbb támadó szkennelni fogja ezt, hogy nyílt távoli hozzáféréses szervereket találjon. Azonban a szkennelés minden nyílt szolgáltatást azonosít attól a porttól függetlenül, amit használ, így a portok megváltoztatása önmagában apró vagy semmilyen nyereséggel nem jár a védelem szempontjából.
Továbbá: bár a többlépcsős hitelesítés bevezetése fontos, nem fogja növelni a biztonság szintjét, hacsak a házirendet nem alkalmazzák minden alkalmazottra és eszközre. Az RDP tevékenységnek a virtuális magánhálózat (VPN) védelmező határain belül kell végbemennie, ám még ez sem nyújt teljes védelmet a szervezet számára, amennyiben a támadók már megvetették a lábukat a hálózaton. Ideális esetben az IT biztonság keretében limitálni vagy tiltani kell az RDP belső és külső használatát, kivéve, ha az alkalmazása valóban elengedhetetlen.
Tévedés #5: Az IP-címek blokkolása olyan magas kockázatú régiókból, mint például Oroszország, Kína és Észak-Korea megvéd minket az ezekről a földrajzi területekről eredő támadásoktól.
Sophos kiberbiztonsági szakértő: A bizonyos régiókból származó IP-k blokkolása valószínűleg nem árt, ám hamis biztonságérzetet adhat, ha csak erre a fajta védelemre támaszkodsz. Az ellenfelek a kártevő infrastruktúrájukat számos ország rendszerein hosztolják – a leggyakoribb helyek közé tartozik az USA, Hollandia és Európa további részei is.
Tévedés #6: A biztonsági mentések immunissá tesznek minket a zsarolóvírussal szemben
Sophos kiberbiztonsági szakértő: Naprakész biztonsági másolatot tartani a cég dokumentumairól kritikus fontosságú. Azonban, ha a biztonsági mentéseid elérhetőek a lokális hálózatról, akkor a támadók is hozzájuk férhetnek és sebezhetőek lesznek egy zsarolóvírus támadás során végrehajtott titkosítással, törléssel vagy kikapcsolással szemben.
Fontos megjegyezni, hogy a biztonsági mentésekhez hozzáféréssel rendelkező emberek számának korlátozása nem növeli a biztonság szintjét jelentősebb mértékben. A támadók ugyanis elég időt fognak eltölteni a hálózaton ezen személyek és hozzáférési adataik felkutatása érdekében.
Hasonló módon a biztonsági mentés felhőben való tárolását is odafigyeléssel kell végezni. A Sophos Rapid Response által vizsgált egyik esetben a támadók egy feltört rendszergazda fiókról küldtek levelet a felhőszolgáltatónak és kérték a biztonsági mentések törlését. A szolgáltató pedig eleget tett a kérésnek. Egy zsarolóvírus támadást követően az adatok és rendszerek helyreállítására használható biztonsági mentések bebiztosítására a 3:2:1-es formulát lehet alkalmazni:
3 másolat mindenről,
2 különböző rendszert használva,
ezek közül 1 offline állapotban legyen.
Egy utolsó észrevétel: az offline biztonsági másolatok megléte nem fogja megvédeni az információidat az olyan zsarolásra épülő zsarolóvírus támadásoktól, ahol a bűnözők ellopják az adatokat és a titkosítás mellett/helyett azok publikálásával fenyegetnek meg.
Tévedés #7: Az alkalmazottak megértik a biztonsági tényezőket.
Sophos kiberbiztonsági szakértő: A State of Ransomware 2021 című kutatás szerint a szervezetek 22 százaléka véli úgy, hogy az elkövetkező 12 hónapban zsarolóvírus támadás éri őket, mert nehéz megakadályozni a végfelhasználókat abban, hogy veszélyeztessék a cég biztonságát.
A social engineering taktikák azonosítása, mint például az adathalász emailek észrevétele egyre nehezebb. Az üzenetek gyakran manuálisan készülnek, pontosan írják meg őket, meggyőzőek és körültekintően választják meg a célpontjukat. Az alkalmazottaknak tudniuk kell, hogy észlelhetik a gyanús üzeneteket és azt, hogy mit kell tenniük, amikor kapnak egyet. Kit értesítsenek vész esetén?
Tévedés #8: Az incidenskezelő csapatok helyre tudják állítani az adatokat zsarolóvírus támadás után.
Sophos kiberbiztonsági szakértő: Ennek nagyon kicsi a valószínűsége. A támadók manapság jóval kevesebb hibát vétenek és a titkosítási folyamat is fejlődött, így az nagyon ritka, hogy a incidenskezelők valamilyen kiskapu segítségével elhárítsák az okozott kárt. Az automatikus biztonsági mentések, mint például a Windows Volume Shadow Copies szintén törlésre kerülnek a modern vírusok által, továbbá a lemezen tárolt eredeti adatokat is felülírják. Ezzel az adatvisszaállítás lehetetlenné válik, kivéve, ha kifizetik a váltságdíjat.
Tévedés #9: “A váltságdíj kifizetésével visszakapjuk az adatokat egy zsarolóvírus támadás után.”
Sophos kiberbiztonsági szakértő: A State of Ransomware 2021 kutatás szerint a szervezet, amely kifizeti a váltságdíjat, az adatainak átlagosan kétharmadát (65%) nyeri vissza. Csak 8% nyerte vissza az összes adatát, 29% pedig kevesebbet tudott visszaállítani, mint adatok felét. A váltságdíj kifizetése nem egyértelmű megoldás a talpraálláshoz.
Továbbá az adatvisszaállítás a helyreállító folyamatnak csak egy része – a legtöbb esetben a zsarolóvírus teljesen deaktiválja a számítógépeket és a szoftvereket, rendszereket az alapoktól kell újjáépíteni, mielőtt az adatokat vissza lehet állítani. A Sophos 2021-es felmérése azt mutatta, hogy a helyreállítás költsége átlagosan tízszerese a váltságdíj-követelésnek.
Tévedés #10: “A zsarolóvírus futtatása maga az egész támadás – ha azt túléltük, rendben leszünk.”
Sophos kiberbiztonsági szakértő: Sajnos ez csak ritkán fordul elő. A zsarolóvírus a támadók számára csak azt a pontot jelöli, hogy megértsd, ott vannak és mit tettek.
Az ellenfelek valószínűleg már napok, vagy akár hetek óta ott voltak a hálózatodon a zsarolóvírus futtatása előtt. Feltérképezték azt, kikapcsolták vagy törölték a backupokat, felkutatták az értékes információkkal vagy applikációkkal bíró gépeket, hogy kijelöljék őket titkosításra, információkat töröltek és olyan további payloadokat telepítettek, mint például egy-egy backdoor. Az áldozat hálózatán való jelenlét fenntartása lehetővé teszi a támadók számára, hogy akár egy második támadást indítsanak.
