Pentesty – jak przygotować firmę na RODO i rosnącą cyberprzestępczość
Systemy informatyczne są pełne luk, wystarczy 12 godzin, by wykraść dane z KAŻDEJ firmy – takie opinie osób zawodowo zajmujących się szukaniem słabych punktów infrastruktury IT powinny być sygnałem alarmowym dla każdego menedżera. Zwłaszcza w kontekście nowych regulacji prawnych dotyczących przechowywania danych osobowych. Jak zidentyfikować zagrożenia i oszacować ryzyka? W jaki sposób zabezpieczyć firmę przed działalnością crackerów i ryzykiem utraty lub kradzieży danych?
Na początku czerwca 2017 roku do CD Projekt RED, jednej z większych polskich firm IT, z żądaniem okupu zgłosił się cracker, który wykradł dane dotyczące najnowszej produkcji twórcy gry „Wiedźmin”. Wydawałoby się, że CD Projekt RED dysponuje wystarczającym budżetem i kompetencjami, by wdrożyć najlepsze możliwe zabezpieczenia, jednak informacje udało się wykraść. Eksperci do spraw cyberbezpieczeństwa od dawna alarmują: infrastruktura teleinformatyczna ma luki, a przestępcy stale rozwijają narzędzia ataku i tworzą nowe. Jeśli nie będzie ona regularnie analizowana pod kątem podatności na zagrożenia i nie będą podejmowane odpowiednie działania naprawcze, dane może stracić każda firma, niezależnie od jej wielkości, branży czy rodzaju stosowanych zabezpieczeń.
Czy wiesz, co Ci grozi?
Źródło: Cisco 2016 Annual Security Report.
Wiosną 2017 roku crackerom uległ nie tylko CD Projekt RED. Warto przypomnieć o przeprowadzonym zaledwie miesiąc wcześniej ataku ransomware WannaCry, który wyrządził szkody 200 tys. użytkownikom sieci, w tym także dużym korporacjom, z co najmniej 150 państw. Wśród ofiar znalazły się koncerny motoryzacyjne, w tym zmuszone do tymczasowego wstrzymania produkcji Renault, czy międzynarodowe firmy logistyczne z FedExem włącznie. Przyczyna? Luka w protokole wymiany plików sieciowych systemu Windows. Poza błędami w oprogramowaniu i brakiem jego aktualizowania na bieżąco, problemem może być jednak również starzejąca się infrastruktura sprzętowa, zwiększająca ryzyko uzyskania dostępu do firmowych systemów przez osoby trzecie.
Ryzyko, że próba ataku na naszą organizację zakończy się sukcesem, staje się coraz większe. Dane stały się cyfrową walutą, więc działań mających na celu ich pozyskanie jest z roku na rok coraz więcej. Cyberprzestępcy stosują także coraz bardziej skuteczne metody łamania zabezpieczeń infrastruktury teleinformatycznej.
Przykładem mogą być np. exploit kits, czyli narzędzia służące przestępcom do wykorzystywania podatności w zabezpieczeniach. Przestrzegali przed nimi w maju 2017 roku eksperci Check Point Software Technologies, prezentując jednocześnie aktualny stan krajowego cyberbezpieczeństwa.
Źródło: Dane Check Point Software Technologies zaprezentowane podczas konferencji CPX Milan.
Exploit kits stale ewoluują, a cyberprzestępcy wyjątkowo upodobali sobie tego typu narzędzia. Powód? Znacznie ułatwiają one przeniknięcie do infrastruktury firmowej poprzez detekcję luk w zabezpieczeniach przeglądarek internetowych, systemów operacyjnych czy aplikacji. Pierwszy cyberatak z ich wykorzystaniem odnotowano już w 2006 roku, od tamtej pory exploit kits użyto w wielu infekcyjnych kampaniach prowadzonych przez hakerów z całego świata.
Najpopularniejsze exploit kits:
- Angler Exploit Kit – często określany najbardziej wyszukanym exploit kitem na świecie. Odkryty po raz pierwszy w 2013 roku, natychmiast stał się jednym z najczęściej stosowanych pakietów oprogramowania pozwalającego na szeroką skalę infekować firmowe komputery przy pomocy ransomware. Potrafi on unikać wykrycia przez programy antywirusowe we wczesnej fazie infekcji i jest jednym z zestawów, które najszybciej wykorzystują świeżo wykryte luki (zero day) przed publikacją przez producenta poprawek uszczelniających oprogramowanie. W 2015 roku Angler posłużył do przeprowadzenia kampanii ransomware, dzięki której cyberprzestępcy wzbogacili się o 34 mln dolarów z okupów za przywrócenie dostępu do danych.
Nuclear Exploit Kit – pakiet po raz pierwszy wykryty w 2009 roku; podobnie do wyżej opisanego zdążył zdobyć ogólnoświatową popularność. Służy do rozprzestrzeniania ataków ransomware i malware poprzez luki w oprogramowaniu Flash i Silverlight, plikach PDF czy przeglądarce Internet Explorer. Na przestrzeni lat wykorzystywany do ataków na firmy i organizacje z różnych branż, ze szczególnym naciskiem na sektor finansowy i administrację rządową. Tylko w kwietniu 2017 roku ten exploit kit zaatakował niemal 1,85 mln urządzeń na całym świecie. Nuclear udostępniany jest cyberprzestępcom w modelu cybercrime-as-a-service za opłatę rzędu kilku tysięcy dolarów miesięcznie, a z ustaleń ekspertów Check Point Software Technologies wynika, że wykorzystujący go cyberprzestępca może liczyć na zyski na poziomie nawet 100 tys. dolarów każdego miesiąca. - Nuclear Exploit Kit – pakiet po raz pierwszy wykryty w 2009 roku; podobnie do wyżej opisanego zdążył zdobyć ogólnoświatową popularność. Służy do rozprzestrzeniania ataków ransomware i malware poprzez luki w oprogramowaniu Flash i Silverlight, plikach PDF czy przeglądarce Internet Explorer. Na przestrzeni lat wykorzystywany do ataków na firmy i organizacje z różnych branż, ze szczególnym naciskiem na sektor finansowy i administrację rządową. Tylko w kwietniu 2017 roku ten exploit kit zaatakował niemal 1,85 mln urządzeń na całym świecie. Nuclear udostępniany jest cyberprzestępcom w modelu cybercrime-as-a-service za opłatę rzędu kilku tysięcy dolarów miesięcznie, a z ustaleń ekspertów Check Point Software Technologies wynika, że wykorzystujący go cyberprzestępca może liczyć na zyski na poziomie nawet 100 tys. dolarów każdego miesiąca.
- Magnitude Exploit Kit – przy użyciu tego pakietu oprogramowania udało się cyberprzestępcom zwabić użytkowników słynnego portalu PHP.NET na podszywającą się pod niego stronę, a na-stępnie zainfekować ich urządzenia, wykorzystując luki w Adobe Flash i Javie. Ten exploit kit zasłynął również z nagłośnionego medialnie ataku malware na Yahoo.com. Jak wynika z infor-macji opublikowanych na portalu CSO, MEK stanowi 31% całego rynku zestawów przestępczego oprogramowania wykrywającego braki w zabezpieczeniach. Analitycy Trustwave szacują poziom zysków uzyskiwanych przy jego pomocy na między 60 a 100 tys. dolarów tygodniowo.