Okazja czyni hakera

Wraz z rosnącą złożonością i znaczeniem systemów IT wzrasta poziom zabezpieczeń. Paradoksalnie jednak z tego samego powodu kontrola nad rozbudowanymi systemami zarówno od strony programistycznej, jak i administracyjnej stanowi coraz większe wyzwanie, a negatywne konsekwencje błędów i zaniedbań w zakresie bezpieczeństwa coraz mocniej wpływają na właścicieli i użytkowników szeroko rozumianej infrastruktury IT.

Wszystkie systemy podłączone w jakikolwiek sposób do sieci, a w szczególności do Internetu, mogą być i są przedmiotem nieustannego skanowania przez zautomatyzowane narzędzia poszukujące możliwości ataku. Często to prozaiczne przyczyny (np. zastosowanie hasła słownikowego do skrzynki pocztowej albo niezałatana podatność w serwerze webowym), odkryte przez takie skanery, stają się pretekstem do pogłębionego ataku na serwery organizacji. Zdobycie przez intruza przyczółku w sieci wewnętrznej otwiera możliwości penetrowania całego środowiska (najczęściej ruch sieciowy jest w znacznie mniejszym stopniu filtrowany wewnątrz sieci niż na styku z Internetem) lub wykorzystania go do ataku na kolejne serwery w Internecie.

Bezpieczeństwo systemów to w znacznej mierze także czynnik ludzki. Przechowywanie przez użytkowników lub administratorów haseł w postaci jawnej (w plikach tekstowych lub zapisane na papierze), nieodpowiedzialne dzielenie się poufną wiedzą z otoczeniem, brak świadomości zagrożeń związanych z korzystaniem z narzędzi informatycznych, nielegalne oprogramowanie, wykorzystywanie służbowych narzędzi pracy (notebook, telefon) do prywatnych celów i odwrotnie – to tylko wybrane czynniki potencjalnie ułatwiające powodzenie ataku na całą organizację.

Każdy może być ofiarą

Celem ataku najczęściej są przypadkowe osoby lub organizacje. Poprzez pocztę elektroniczną lub luki w zabezpieczeniach powszechnie wykorzystywanych aplikacji ataki mogą być skuteczne w skali całego kraju czy świata. Sprzyja temu stosunkowo mała różnorodność oprogramowania – kilku najpopularniejszych systemów operacyjnych i przeglądarek internetowych używa ponad 90% korzystających z Internetu. Wykrycie i wykorzystanie luk jest niemal równoznaczne z możliwością przeprowadzenia skutecznego ataku na miliony komputerów za pomocą tego samego narzędzia. Podobną skalę oddziaływania mogą mieć ataki na powszechnie wykorzystywane technologie webowe czy nawet protokoły szyfrujące transmisję w sieci.

Drugą kategorię stanowią ataki kierowane na konkretne cele – organizacje, strony internetowe, bazy danych. Poprzedzone są one dokładnym rekonesansem środowiska IT oraz sprofilowaniem narzędzi i metod ataku w taki sposób, aby osiągnąć założony cel. Ofiarami tego typu ataków są najczęściej szerzej rozpoznawalne organizacje – banki, instytucje rządowe, korporacje, duże serwisy internetowe. Dzięki temu atak zyskuje duży rozgłos, a atakujący (osoba, bądź grupa) buduje swoją „reputację”.

Michał Strzyżewski, Menedżer Obszaru IT, All for One Poland

Priorytetowe bezpieczeństwo IT
Zapewnienie bezpieczeństwa systemów IT to jeden z priorytetów usług świadczonych w All for One Data Centers. Cel ten osiągamy między innymi poprzez stosowanie odpowiednich procedur organizacyjnych, rozwiązania techniczne oraz poddawanie wdrożonych rozwiązań audytom wewnętrznym i zewnętrznym oraz symulowanym atakom.
Dobre praktyki wypracowane w ciągu kilkunastu lat świadczenia usług outsourcingu IT udostępniamy obecnie w formie usług konsultingowych dla organizacji, które chcą zweryfikować lub podnieść poziom bezpieczeństwa własnych systemów IT. Pomagamy we wszystkich aspektach związanych z zapewnieniem bezpieczeństwa, począwszy od audytów i testów penetracyjnych, poprzez kwestie proceduralne, szkolenia, skończywszy na wdrożeniach technicznych.
Zrealizowane projekty obejmują wdrożenia systemu zarządzania bezpieczeństwem informacji zgodnego z ISO 27001; weryfikacje bezpieczeństwa sieci, systemów operacyjnych i aplikacji; ataki socjotechniczne itp.
Michał Strzyżewski, Menedżer Obszaru IT, All for One Poland

Straty

Zamierzeniem atakującego jest zwykle wyrządzenie szkody, znacznie rzadziej jedynie praktyczne udowodnienie, że taką szkodę można byłoby wyrządzić.

Stratą – stosunkowo małą – jest nawet odebranie przez pracownika podejrzanej poczty elektronicznej (np. z załączonym trojanem) i poświęcenie czasu pracy na usunięcie takiego e-maila.

Znacznie większy problem dla organizacji stanowią:

  • bezpośrednie straty finansowe (np. zapłacenie okupu za zaprzestanie ataku DDoS czy odszyfrowanie zaszyfrowanych przez intruza danych),
  • pośrednio ponoszone koszty (np. zawirusowanie wszystkich komputerów lub wstrzymanie podstawowej działalności w wyniku ataku),
  • straty wizerunkowe (złamanie zabezpieczeń w instytucji finansowej, wyciek danych osobowych lub poufnych dokumentów).

Wraz z postępującą automatyzacją pojawiły się nowe zagrożenia, takie jak możliwość zdalnego fizycznego uszkodzenia urządzeń produkcyjnych bądź nawet spowodowania katastrofy. Coraz więcej maszyn i urządzeń przemysłowych jest opartych na komunikacji sieciowej, która pozwala na ich zdalny monitoring, sterowanie i serwisowanie. Tym samym sposobem mogą dostać się do urządzeń również osoby nieuprawnione i wykonać zmiany w programach sterujących czy parametrach pracy linii produkcyjnej.

Obrona

Skuteczne i całkowite wyeliminowanie całego ryzyka jest niemożliwe. Niezbędne jest jednak dążenie do sprowadzenia go do poziomu akceptowalnego. Akceptowalnego od strony kosztów jak również zagrożenia i potencjalnych szkód, które może wyrządzić skuteczny atak.

Warto przede wszystkim zrozumieć, że obrona przed zagrożeniami to proces ciągły, swego rodzaju wyścig z czasem, w którym najczęściej to atakujący ma przewagę – zna podatności atakowanego systemu zarówno te już ujawnione publicznie, jak i – nierzadko – jeszcze te nieujawnione. Nie oznacza to jednak, że atakowany stoi na straconej pozycji. Wykrycie pierwszych symptomów ataku (nawet takiego, który już częściowo się powiódł) często pozwala na znaczne ograniczenie jego skali i dalszych szkód.

Oczywistym, ale niekiedy niedocenianym faktem jest to, że systemy bezpieczeństwa muszą być przede wszystkim kompleksowe i spójne. Efektywność rozwiązań, w których przewymiarowano jeden z obszarów kosztem pozostałych, jest w praktyce bardzo niska, ponieważ atakujący i tak wykorzystają najłatwiejszy dostępny sposób włamania do systemu. Dobre efekty przynoszą już najprostsze rozwiązania, jak dbałość o odpowiednią złożoność haseł i regularne patchowanie systemów.

W przypadku skutecznego ataku niezwykle pomocne okazują się szczegółowe logi (najlepiej przeanalizowane przez analizator klasy SIEM), które pozwolą ocenić zakres dostępów, jakie uzyskał intruz, ewentualne zniszczenia (usunięcie lub zmiana danych) czy też ilość skopiowanych danych.

Zgromadzone informacje pozwolą nie tylko na szybką diagnostykę skali problemu i podjęcie działań zabezpieczających przed takim samym atakiem, ale też znacznie ułatwią ponowne przywrócenie środowiska produkcyjnego (niezbędna może się okazać reinstalacja systemów operacyjnych lub odtworzenie baz danych z backupu). Zarejestrowane cyfrowe ślady włamania mogą także pomóc organom ścigania w ustaleniu sprawców ataku.

Dobre praktyki

Minimalizowanie zagrożenia atakiem wymaga realizacji i koordynacji działań na wielu płaszczyznach, m.in.:

  • szkolenia użytkowników w zakresie bezpiecznego korzystania z narzędzi IT,
  • szkolenia personelu IT w zakresie technologii,
  • świadomego wykorzystywania narzędzi i usług chroniących dostęp do zasobów IT,
  • systematycznej weryfikacji logów systemowych,
  • nadzoru nad aktualnością wykorzystywanego oprogramowania,
  • realizacji polityki bezpieczeństwa informacji,
  • audytów wewnętrznych i zewnętrznych (organizacyjne i techniczne),
  • testów penetracyjnych i socjotechnicznych.