W cyberbezpieczeństwie mówiąc o podatnościach, mamy na myśli błędy w oprogramowaniu lub konfiguracji systemów i aplikacji, które mogą prowadzić do naruszenia ich bezpieczeństwa. Według Encyklopedii Zarządzania "podatność odnosi się do braku odporności (systemu lub jednostki) na skutki wrogiego środowiska. Zjawisko podatności prowadzi do strat”. Definicja ta wydaje nam się szczególnie trafiona, ponieważ wprowadza niezwykle ważny element, który w świecie IT wydaje się często pomijany: wrogie środowisko.

Często na łamach naszego bloga opisujemy trendy w zagrożeniach cyberbezpieczeństwa i wskazujemy na zmiany, które zaszły w tej dziedzinie w ostatnim czasie. W przypadku podatności nie zmieniło się w zasadzie nic – podatności były, są i będą nieodłączną cechą systemów informatycznych. To, co się natomiast zmieniło, to właśnie wspomniane wrogie środowisko.

Dawniej podatność mogła być wykorzystana, jeśli firma stała się celem ataku. Teraz organizacje stają się celem ataku, bo w ich systemach są podatności – nie mają odporności, funkcjonując we wrogim środowisku.

Przyjrzyjmy się zatem, jak dzisiaj działają grupy cyberprzestępcze oraz w jaki sposób wykorzystują podatności organizacji.

Initial Access Brokers (IAB): Jak działa środowisko cyberprzestępcze?

Cyberprzestępczość to stosunkowo nowy element ekonomii. Mimo to, niektóre dane wskazują, że jest to obecnie trzecia największa gospodarka na świecie. Dzisiejsze grupy cyberprzestępcze działają w zorganizowanym ekosystemie, na który składa się łańcuch dostawców i odbiorców funkcjonujących na czarnym rynku. Wśród nich ważną rolę odgrywają IAB (Initial Access Brokers). Jest to armia niezliczonych osób i grup wyspecjalizowanych w wykorzystywaniu rozmaitych podatności w celu uzyskiwania dostępu do zasobów przypadkowych organizacji. Dostęp ten staje się towarem wystawianym na sprzedaż i stanowi pierwszy krok ataku do wykorzystania przez kolejne grupy cyberprzestępcze.

Za każdym razem, gdy ujawniona zostanie nowa, obiecująca podatność, do pracy zabiera się tysiące IAB. Wykorzystują zautomatyzowane, wydajne i działające na dużą skalę skanery oraz platformy OSINT do zidentyfikowania podatnych systemów, które są dostępne w sieci.

Podatności i negatywne skutki zmian środowiskowych w cyberbezpieczeństwie

Większość organizacji, zwłaszcza tych mniejszych, wciąż podchodzi do ryzyka wynikającego z podatności z rezerwą.

"Nie jesteśmy bankiem ani firmą zbrojeniową. Dlaczego jakaś grupa cyberprzestępcza miałaby brać nas sobie za cel?"

Jak wcześniej wspomnieliśmy, w ostatnim czasie organizacje cyberprzestępcze zmieniły sposób działania.Przedsiębiorstwa stają się celem ataku, ponieważ są na niego podatne – nie dlatego, że przestępcy uznali dane firmy za wyjątkowo cenne i warte wykradzenia.

Szukając porównań spoza obszaru IT, można podać za przykład wysoko postawioną osobę publiczną, która nawet w środku dnia przemieszcza się pancernym samochodem w towarzystwie ochrony po centrum miasta. Takie środki ochrony powodują pewne utrudnienia oraz generują dodatkowe koszty, jednak są podyktowane analizą ryzyka, z której wynika, że istnieje wysokie prawdopodobieństwo brzemiennego w skutki ataku.

Będąc przeciętnym mieszkańcem cywilizowanego miasta, nie korzystamy z takich środków ostrożności, gdy wybieramy się do pracy lub na zakupy. Jesteśmy podatni, jednak ryzyko ataku jest niskie. Zastanówmy się, czy nasze zachowanie nie uległoby zmianie, gdyby naszym środowiskiem była dzielnica miasta, w której występuje wysoka przestępczość albo gdybyśmy musieli funkcjonować w post apokaliptycznym świecie opanowanym przez krwiożercze zombie.

Takim właśnie wrogim środowiskiem stał się właśnie Internet. Aktorzy funkcjonujący w dzisiejszym cyberprzestępczym ekosystemie, zwłaszcza IAB, działają oportunistycznie. Szukają łatwych, nieodpornych celów. W rezultacie to, czym zajmuje się organizacja oraz w jakiej działa branży, nie ma znaczenia. Niewielkie znaczenie ma również wartość, jaką dla atakujących mogą stanowić skradzione dane. Istotne jest to, jaką wartość te dane stanowią dla zaatakowanej organizacji i ile będzie ona w stanie zapłacić za zachowanie ich poufności lub odzyskanie do nich dostępu.

Podatność w Internecie a ataki ransomware

Zespół SOC360 w ostatnim czasie kilkukrotnie wspierał firmy, które doświadczyły ataków ransomware. Za każdym razem mieliśmy do czynienia z bardzo destruktywnymi działaniami skutkującymi wyciekiem poufnych danych i całkowitym paraliżem środowiska IT. Za każdym razem punktem wejścia była podatność w jednym z systemów dostępnych z sieci Internet. Systemy tych organizacji nie były chronione przez zaawansowane technologie i nie były monitorowane.

Przykład 1: Atak ransomware na dużą firmę produkcyjną

Podatności:

• Luka bezpieczeństwa w systemie poczty elektronicznej
• Sieć chroniona jedynie przez popularne w Polsce oprogramowanie AV i zaporę sieciową
• Brak monitoringu systemów bezpieczeństwa
• Niezauważona, trwająca ponad tydzień aktywność operatorów grupy ransomware: dostęp do stacji roboczych i serwerów (w tym DC) z uprawnieniami administratora domeny, eksfiltracja danych, unieruchomienie mechanizmów kopii zapasowych
• Atak odkryto dopiero po zaszyfrowaniu wszystkich zasobów

Skutki ataku:

• Całkowity paraliż procesu produkcji i wszystkich systemów IT
• Bezpowrotna utrata danych związanych z długoletnimi badaniami nad projektami nowych produktów
• Upublicznione poufne dane na stronie grupy ransomware

Przykład 2: Atak ransomware na średniej wielkości firmę handlową

Podatności:

• Błąd w konfiguracji usługi VPN, który umożliwił dostęp i działania w sieci LAN
• Brak zaawansowanych systemów bezpieczeństwa i monitoringu
• Mimo uporządkowanego i dobrze zarządzanego środowiska IT, działalność operatorów grupy ransomware pozostała niezauważona przez kilka tygodni
• W tym czasie pracowali oni używając konta administratora IT, w czasie jego pracy i z wykorzystaniem dostępnych już w środowisku narzędzi (PowerShell, RDP, FileZilla, Advanced IP Scanner, TeamViewer)
• Atak odkryto dopiero po zaszyfrowaniu wszystkich zasobów

Skutki ataku:

• Niedostępność wszystkich systemów IT przez dwa tygodnie
• Opublikowanie poufnych danych na stronie grupy ransomware
• Bezpowrotna utrata części danych
• Wysokie koszty wynikające z przywrócenia systemów z kopii zapasowych i przestoju w działalności firmy
• Częściowa utrata zaufania inwestorów do zarządu firmy

Takich historii możemy opowiedzieć wiele. Nasz zespół wielokrotnie pomagał w usuwaniu skutków ataków i wspierał zarządy firm w odzyskaniu kontroli nad sytuacją, a w obliczu paniki i całkowitej dezorientacji negocjował z grupami ransomware. W większości przypadków, po otrzymaniu wezwania i sprawdzeniu powierzchni ataku w serwisach Shodan i Censys byliśmy gotowi opisać przebieg zdarzeń jeszcze przed podjęciem działań na miejscu.

Niestety wszystkie przypadki wyglądają podobnie: podatności, wszędzie ten sam system antywirusowy i zapora sieciowa popularnych w Polsce producentów, brak monitoringu, brak kompetencji w zakresie cyberbezpieczeństwa oraz brak odporności na wrogie środowisko.

Podatności w sieci – chroń swoją organizację dzięki usłudze SOC/MDR

Zalecenie dbania o aktualizacje systemów i wprowadzenia programu do skanowania i zarządzania podatnościami jest oczywiste. Większym organizacjom rekomendujemy również wdrożenie procesu ASM (Attack Surface Management) zorientowanego na ciągłe badanie powierzchni ataku. Jednak nasze doświadczenia w zespole SOC360 nie pozwalają nam na poprzestanie na takich zaleceniach.

Funkcjonowanie we wrogim środowisku wiąże się nie tylko z koniecznością wyeliminowania słabych punktów. Wymaga również podejmowania nieprzerwanych, aktywnych działań defensywnych. W świecie IT ostatnich lat brak odporności na zagrożenia oznacza nie tylko błędy w oprogramowaniu czy konfiguracji systemów. To również brak technologii, procesów i ludzi, którzy aktywnie chronią firmy przed skutkami wrogiego środowiska.

Jeśli interesuje Cię zwiększenie ochrony Twojej firmy – napisz do nas.

Artykuł został w całości przygotowany przez ekspertów cybersecurity – bez wsparcia narzędzi sztucznej inteligencji.