(P) ESET: Totul despre suprafaţa de atac cibernetic - definiţie, riscuri şi soluţii pentru companii

„Suprafaţa de atac cibernetic” este o formulare din ce în ce mai răspândită în multe dintre comunicările legate de riscurile de securitate IT. Pentru o mai bună evaluare a acesteia, este foarte importantă analiza modului de funcţionare a atacurilor şi a zonelor cu cea mai mare expunere pentru companiile sau organizaţiile vizate. Pandemia a influenţat specificitatea problemele de securitate, un efect secundar al schimbării dinamicii suprafeţei de atac informatic, ce a înregistrat o creştere exponenţială, într-un timp scurt şi cu o viteză mult mai mare decât până acum. Companiile ajung, din păcate, să aibă activele digitale şi fizice expuse actorilor malware specializaţi în crearea de atacuri persistente, tocmai prin gradul ridicat de dificultate în conturarea cât mai precisă a dimensiunii şi complexităţii suprafeţei de atac proprii.

Din fericire, organizaţiile îşi pot îmbunătăţi vizibilitatea asupra suprafeţei de atac prin adoptarea unor strategii de bune practici. În cadrul acestora, companiile pot ajunge să definească concret paşii necesari pentru o scară cât mai mică a vulnerabilităţilor şi un grad de securitate cât mai ridicat.

Care este suprafaţa de atac a unei companii?

Suprafaţa atacului este compusă, la modul general, din activele fizice şi digitale pe care o organizaţie le deţine, şi care, în cazul unui atac de securitate, ar putea fi compromise. Acţiunile actorilor malware au motivaţii diverse, printre care se numără: instalarea de aplicaţii rău intenţionate pentru minarea de cripto-monede, atacurile de tip ransomware şi de furt de date, descărcarea troienilor bancari sau recrutarea sistemelor într-un botnet. Un lucru este cert, cu cât suprafaţa de atac este mai mare, cu atât riscurile sunt mai ridicate şi, în consecinţă, creşte interesul atacatorilor pentru compania dumneavoastră. 

Să analizăm cu atenţie cele două categorii principale ale suprafeţei de atac:

Suprafaţa fizică de atac

Este formată din totalul dispozitivelor endpoint ce pot fi accesate „fizic” în cazul unui atac. Iată câteva exemple: telefoane/dispozitive mobile, memorii USB, calculatoare desktop, hard disk-uri, laptopuri.

O altă componentă importantă a suprafeţei fizice de atac a organizaţiei o reprezintă factorul uman. Într-un scenariu de atac cibernetic, chiar angajaţii companiei pot deveni pioni însemnaţi, căzând pradă manipulării de tip phishing şi a variaţiunilor acesteia. Gradul de risc asociat acestora creşte, angajaţii derulând, de multe ori involuntar, acţiuni de tip „IT shadow”, prin utilizarea neautorizată şi nesupravegheată de aplicaţii şi dispozitive, care ocolesc filtrele de securitate ale companiei. Organizaţia poate fi expusă la ameninţări suplimentare prin lipsa unei securizări corespunzătoare a aplicaţiilor si dispozitivelor folosite.

Suprafaţa de atac digitală

Este formată din toate componentele hardware, software şi componentele conexe conectate la reţeaua unei organizaţii. Iată câteva exemple:

Aplicaţii: pot reprezenta pentru atacatori un punct de intrare accesibil către sistemele si datele IT critice, vulnerabilităţile din aplicaţii fiind un fapt cunoscut.

Codul software: componenţa sa, alcătuită într-un procent ridicat din părţi terţe, care pot conţine malware sau puncte slabe, îl face să fie un factor major de risc.

Porturi: atacatorii scanează porturile deschise şi verifică perechile „serviciu-port” (de exemplu, portul TCP 3389 folosit pentru RDP). Vulnerabilităţile din acest nivel pot fi exploatate foarte uşor, dacă aceste servicii nu sunt configurate corespunzător sau conţin erori de cod.

Servere: acestea ar putea fi atacate prin exploatări de vulnerabilităţi sau inundate de trafic în atacuri DDoS.

Site-uri web: reprezintă un „punct fierbinte” al vulnerabilităţii digitale, cu mulţi vectori de atac specifici, inclusiv slăbiciuni la nivel de cod şi configurări greşite. Două dintre efectele cunoscute sunt eliminarea frauduloasă a paginii web sau implantarea unui cod rău intenţionat pentru drive-by şi alte atacuri (de exemplu, formjacking - integrarea de cod maliţios pentru extragerea ilegală a detaliilor bancare introduse în formularele online de cumpărare din pagina de plată).

Certificate: depăşirea termenelor de valabilitate şi folosirea de certificate expirate atrag după sine atacuri de securitate.

O cercetare din 2020, cu subiectul analizei scării actuale a suprafeţei de atac, făcută asupra companiilor aflate pe lista Financial Times Stock Exchange Index 30, a dezvăluit următoarele aspecte:

• 324 certificate expirate
• 25 de certificate care folosesc algoritmul de hash SHA-1 învechit
• 743 posibile site-uri aflate în stadiu de testare expuse în internet
• 385 de forme nesigure din care 28 au fost utilizate pentru autentificare
• 46 de framework-uri web care prezentau vulnerabilităţi cunoscute
• 80 de cazuri de utilizare a versiunii vechi PHP 5.x
• 664 versiuni de server web cu vulnerabilităţi cunoscute

Devine suprafaţa de atac din ce în ce mai mare?

Deşi resursele informatice şi digitale au avut o dezvoltare însemnată de-a lungul anilor, pandemia a determinat investiţii masive, fără precedent. Accentul a fost pus pe suport pentru munca la distanţă şi pe menţinerea operaţiunilor comerciale funcţionale, cu fluctuaţii minore, într-un moment de cumpănă pentru piaţă. Astfel, suprafaţa de atac s-a extins semnificativ, prin următoarele situaţii:

• Endpoint-urile folosite în munca de la distanţă (de exemplu, laptopuri, desktopuri)
• Aplicaţiile şi infrastructura de tip cloud
• Dispozitive IoT şi 5G
• Utilizarea codului terţ şi a DevOps
• Infrastructura de lucru la distanţă (VPN-uri, RDP etc.)

Aceasta pare să devină calea de urmat. Multe companii şi-au diversificat si transformat modul de utilizare a fluxurilor de lucru digitale, având un impact considerabil faţă de procedurile şi operaţiunile obişnuite. Modificările şi adaptarea la noile cerinţe aduc noi riscuri pentru suprafaţa de atac, pentru că ar putea conduce la:

• Atacuri de phishing  - se vor dezvolta noi căi prin care lipsa de conştientizare a securităţii în rândul angajaţilor să fie exploatată
• Programe malware  - vulnerabilităţile noi la nivelul serverelor, aplicaţiilor şi restului de sisteme devin ţinte noi pentru atacatori
• Parole furate sau atacuri de tip forţă brută pentru realizarea de conectări frauduloase
• Exploatarea configurărilor greşite de sistem sau de autentificare (de exemplu, în conturile cloud)
• Certificate web furate
• şi multe altele

Nu este nicio noutate popularitatea crescută a anumitor vectori de atac din cele cîteva sute  folosite de către actorii malware specializaţi în crearea de atacuri persistente. De aceea nu este de mirare că între ianuarie 2020 şi iunie 2021, ESET a găsit 71 de miliarde de încercări de compromitere via RDP configurat greşit.

Cum să abordaţi corect riscurile specifice suprafeţei de atac

Suprafaţa de atac este un factor cheie pentru stabilirea si implementarea unor metode eficiente de securitate cibernetică. Analiza şi înţelegerea dimensiunii sale sunt o primă etapă pentru o protecţie proactivă şi ajută la crearea de măsuri şi proceduri customizate.

Audituri ale activelor şi ale soluţiilor de stocare folosite, teste de penetrare, scanări ale vulnerabilităţii şi alte activităţi similare sunt unelte pentru evaluarea dimensiunii suprafeţei de atac. Iată câteva metode pentru reducerea suprafeţei de atac şi a riscului cibernetic asociat:

• Aplicarea de patch-uri, corecţii şi configurări specifice de management de risc
• Consolidarea endpoint-urilor şi renunţarea la hardware-ul vechi
• Actualizarea software-ului şi a sistemelor de operare
• Segmentarea reţelelor
• Folosirea celor mai bune practici DevSecOps
• Gestionarea vulnerabilităţilor
• Reducerea riscului din lanţul de aprovizionare
• Implementarea de măsuri de securitate a datelor (de exemplu, criptare puternică)
• Managementul puternic al verificării identităţii/accesului
• Adoptarea unui model de securitate zero trust
• Înregistrarea şi monitorizarea prin log-uri a sistemelor
• Implementarea de programe de instruire care să sporească conştientizarea riscurilor

Mediul IT corporativ este foarte dinamic şi într-o fluctuaţie permanentă de personal şi hardware: sosiri şi plecări continue în rândul angajaţilor, utilizare pe scară largă a VM-urilor, containerelor şi micro serviciilor şi trafic intens de elemente hardware şi software. Este prioritar un management de gestiune prin instrumente agile şi inteligente care funcţionează pe baza datelor, în timp real, ce are ca premise principale „vizibilitatea şi controlul”. 

ESET oferă o paletă de soluţii antivirus şi antimalware, cu protecţie multi-strat integrată, care pot depista din timp atacuri tip ransomware, evitând astfel daune la nivelul resurselor şi reputaţiei companiei. ESET PROTECT Advanced se adresează nevoilor IMM-urilor şi oferă prin layer-ul ESET Dynamic Threat Defense, protecţie de tip cloud-sandbox pentru sisteme (împotriva ransomware-ului şi ameninţărilor de tip zero-day) şi protecţie dedicată prin criptare completă a hard disk-urilor (pentru datele stocate pe laptopuri, în caz de furt şi pierdere). Produsul răspunde, aşadar, provocării de a gestiona şi proteja reţelele IT business în faţa ameninţărilor cibernetice de înaltă complexitate.

Soluţia poate fi testată gratuit, în infrastructura din compania dumneavoastră, fără nicio obligaţie ulterioară. Pentru mai multe detalii despre aceasta şi descărcarea unei variante de test, daţi click aici.