W ciągu ostatniego roku cyberprzestępcy zwiększyli częstotliwość ataków na infrastrukturę krytyczną. Jednocześnie wciąż rozwijają narzędzia i metody działania, aby znaleźć nowe możliwości wydobycia z firmowych sieci cennych danych. Analitycy Derek Manky i Aamir Lakhani z FortiGuard Labs przedstawiają swój punkt widzenia na aktualne, główne trendy dotyczące cyberataków oraz sposobów, w jakie można się przed nimi chronić.
Sposoby działania cyberprzestępców nieustannie się zmieniają. Co jest obecnie wśród nich szczególnie popularne?
Derek: Zmiany zazwyczaj wynikają z postępu technicznego lub pojawiania się nowych trendów w branży IT. Obecnie widzimy, jak obiektem zainteresowania staje się Linux czy też podsystem Windows dla Linuksa. Częściowo dzieje się tak z powodu nieustannego rozbudowywania takich botnetów jak Mirai, które atakują infrastrukturę IoT, ale dostrzegamy wzrost uwagi poświęcanej Linuksowi również w innych rodzajach ataków.
Aamir: Wraz ze wzrostem popularności Linuksa wśród użytkowników, zwiększyła się również jego popularność jako celu dla atakujących. Ataki wymierzone przeciwko niemu oraz działającym na nim aplikacjom są już tak samo powszechne, jak ataki na systemy operacyjne z rodziny Windows. Ponadto, w „okienkach” istnieje coraz więcej możliwości typowych dla Linuksa, więc wobec wszystkich platform stosowane są podobne mechanizmy ataków. Niestety, ale użytkownicy Linuksa nie są przyzwyczajeni do myśli, że to środowisko również jest podatne na ataki. Tymczasem systemy linuksowe są bogate w dane, co pozwala przestępcom na atakowanie repozytoriów zawierających takie dane jak poświadczenia SSH, certyfikaty, nazwy użytkowników aplikacji i ich hasła. Kluczem do skutecznej obrony jest w tym przypadku zwiększenie poziomu wiedzy na temat Linuksa i innych systemów operacyjnych.
Jak nasilające się ataki na infrastrukturę krytyczną zmieniają sposób, w jaki przedsiębiorstwa powinny postrzegać bezpieczeństwo?
Derek: Ostatnio nastąpił wzrost liczby ataków na infrastrukturę krytyczną, a do opisania niektórych z nich użyto sformułowania „killware”. Ataki te są wymierzone przeciwko systemom ochrony zdrowia i mają szkodliwy wpływ na zdrowie, a nawet życie ludzi – stąd ten termin. Cyberprzestępcy zdają sobie sprawę z ryzyka, jakie w wyniku ich działania zostaje sprowadzone na daną placówkę, więc wykorzystują to, aby wpłynąć na przyspieszenie decyzji o zapłaceniu okupu. Widzieliśmy to również w przypadku ataków DarkSide i na infrastrukturę Colonial Pipeline. To, co zmienia się najbardziej, to strategia, którą cyberprzestępcy wykorzystują w atakach ransomware. Stają się one coraz bardziej złożone i rozbudowane. Biorąc pod uwagę poziom zbieżności metod ataków stosowanych przez cyberprzestępców oraz przez grupy prowadzące zaawansowane uporczywe ataki typu APT, jest tylko kwestią czasu, gdy szczególnie destrukcyjne funkcje, takie jak złośliwy kod typu wiper, zostaną dodane do zestawów narzędzi ransomware. Może to stanowić poważny problem dla nowo powstających środowisk brzegowych, infrastruktury krytycznej i łańcuchów dostaw.
Aamir: Im bardziej widzimy, jak ransomware i inne złośliwe oprogramowanie mają wpływ na naszą fizyczną rzeczywistość, tym bardziej dostrzegamy, że wpływają też bezpośrednio na społeczeństwo. Zakłócają pracę szpitali, rurociągów, oczyszczalni ścieków i oczywiście systemów IT. Coraz bardziej niepokojące jest to, że cyberprzestępcy odchodzą od pomniejszych celów i skupiają się na tym, co może wywrzeć wpływ na świat fizyczny na znaczną skalę. Musimy być więc bardziej czujni, jeśli chodzi o potencjalne ryzyko niesione przez cyberatak nie tylko dla przedsiębiorstwa, ale dla całej społeczności.
Jak firmy mogą zabezpieczyć się w erze nieustannie ewoluujących trendów dotyczących ataków?
Derek: Przy wciąż zmienianej taktyce prowadzenia ataków ransomware firmy muszą bez przerwy aktualizować swoje zabezpieczenia. Dodatkowo, ogólny poziom cyberhigieny skutecznie może podnieść edukowanie pracowników w zakresie typowych technik cyberataków. Wdrożenie skutecznej strategii ochronnej, która obejmuje m.in. zasadę Zero Trust, czy też segmentację i mikrosegmentację sieci, może pomóc w zapobieganiu atakom ransomware i ochronie danych. Ponadto, regularne tworzenie kopii zapasowych i przechowywanie danych w trybie offline może pozwolić szybko odzyskać zasoby.
Aamir: Należy zwracać uwagę na zmieniające się trendy dotyczące ataków i wykorzystywać udostępniane dane na ich temat, aby identyfikować wzorce niebezpiecznych zachowań. Cyberprzestępcy czasami używają tych samych technik ataku jak wcześniej, ponieważ informacje o nich nie przedostały się do powszechnej świadomości użytkowników, a wykorzystywane w atakach luki pozostają niezałatane.
