Inżynieria społeczna najpopularniejszą metodą stosowaną przez hakerów− wynika z ankiety przeprowadzonej przez firmę Balabit podczas konferencji Black Hat w Las Vegas i Amsterdamie.
Wiodący dostawca technologii bezpieczeństwa IT, firma Balabit przeprowadziła ankietę wśród 494 ekspertów bezpieczeństwa IT, których poproszono o wskazanie najpopularniejszych metod wykorzystywanych przez cyberprzestępców, chcących w jak najkrótszym czasie uzyskać dostęp do wrażliwych danych firmy. Kluczowym wnioskiem wynikającym z ankiety jest fakt, że atakujący najczęściej dostają się do wewnętrznego systemu organizacji dzięki pomocy – zwykle nieświadomej – jej pracowników.
Zoltán Györkő, prezes firmy Balabit, dodaje:
Największym zagrożeniem dla firmy jest sytuacja, kiedy osoby spoza organizacji uzyskują dostęp do sieci wewnętrznej, ponieważ mogą one pozostać niewykryte przez wiele miesięcy. Firma Balabit pomaga organizacjom rozpoznać nieprzyjaciela i określić, czy z danego konta korzysta upoważniony użytkownik, czy zamaskowany haker.
54% respondentów odpowiedziało, że, zgodnie z ich doświadczeniami, organizacje nadal obawiają się „hakerów” włamujących się do ich sieci IT poprzez firewall. Jednocześnie ponad 40% z nich twierdzi, że narzędzia służące do obrony w pierwszej linii, takie jak właśnie zapory sieciowe, nie są wystarczająco skuteczne, aby powstrzymać atakujących. Ankietowanych zapytano także o to, które ataki uważają za groźniejsze – te dokonywane wewnątrz, czy z zewnątrz organizacji? Przy czym ataki inicjowane z zewnątrz, których celem jest pozyskanie kont uprzywilejowanych użytkowników, zakwalifikowane zostały do kategorii ataków wewnętrznych, ponieważ nie powiodłyby się, gdyby nie wykorzystanie kont osób z wewnątrz organizacji.
W przypadku naruszenia danych wrażliwych, drugorzędnym faktem jest, czy stało się to w wyniku nieświadomej czy celowej „pomocy” osoby z wewnątrz organizacji. Wyniki ankiety wskazują na ważny element skutecznej strategii obronnej: ponad 70% ankietowanych uważa ataki z wewnątrz organizacji za bardziej niebezpieczne i poważniejsze w konsekwencjach dla firmy.
Firma Balabit zbadała, które metody lub słabe punkty eksperci bezpieczeństwa IT uważają za najczęściej wykorzystywane przez cyberprzestępców do pozyskania wrażliwych danych w jak najkrótszym czasie.
Inżynieria społeczna (np. phishing)
Większość atakujących dąży do uzyskania dostępu do konta użytkownika niższego szczebla i stopniowo rozszerza jego przywileje. Próby zidentyfikowania rzeczywistego pracownika organizacji i złamanie jego hasła są procesem powolnym, który pozostawia w systemie ślady (np. wiele dodatkowo wygenerowanych logów jako efekt zautomatyzowanych ataków) i znacznie zwiększa ryzyko wykrycia przez administratora podejrzanych aktywności. Dlatego hakerzy najczęściej korzystają z socjotechnicznych sposobów, aby skłonić użytkownika do niemal „dobrowolnego” udostępnienia im danych do konta i hasła.
Zoltán Györkő, prezes firmy Balabit, tłumaczy:
Niedawne naruszenie danych ponad 10 000 pracowników Wydziału Sprawiedliwości i Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych oraz ponad 20 000 pracowników Federalnego Biura Śledczego (FBI) jest kolejnym przykładem na to, że „wniknięcie” do organizacji z pomocą metod socjotechnicznych jest dla hakerów o wiele łatwiejszym zadaniem niż pisanie exploitów zero-day. Stosowanie tradycyjnych narzędzi kontroli dostępu i rozwiązań przeciwko złośliwemu oprogramowaniu jest konieczne. Jednak urządzenia te chronią wrażliwe dane firmy tylko wtedy, gdy atakujący znajdują się poza siecią. Natomiast, jeśli uda im się włamać do systemu, nawet korzystając z konta pracownika niższego szczebla, potrafią łatwo rozszerzyć swoje uprawnienia i uzyskać uprzywilejowany lub umożliwiający pełną kontrolę dostęp do sieci firmowej. Kiedy tak się stanie, nieprzyjaciel znajdzie się wewnątrz systemu, stanowiąc znacznie większe zagrożenie, ponieważ wydaje się, że jest jednym z nas.
Przejęte konta (np. słabe hasło)
Przejęte konta, zwłaszcza te o słabych zabezpieczeniach, są niebezpieczne, ponieważ użytkownicy często używają prostych haseł, czasami tych samych zarówno do kont firmowych, jak i prywatnych. Jeśli haker może pozyskać hasło użytkownika z mniej zabezpieczonego systemu (np. poprzez prywatne konto na portalu społecznościowym), to może łatwo wykorzystać je do zalogowania się do sieci firmowej.
Niezależnie od źródła ataku, działania hakerów wyraźnie pokazują, jak ważna dla bezpieczeństwa danych w firmie jest wiedza, co dzieje się w sieci w czasie rzeczywistym: kto posiada dostęp i do jakich danych, z jakiej nazwy użytkownika i jakiego hasła korzysta, oraz kto ustala, czy dana osoba jest zaufanym użytkownikiem, czy może agresorem z zewnątrz, atakującym sieć za pomocą przejętego konta.
Taką wiedzę można zdobyć jedynie poprzez wsparcie istniejącego systemu bezpieczeństwa (kontrola dostępu i zarządzanie hasłami), obserwacją aktywności użytkowników sieci w czasie rzeczywistym. Monitoring pozwoli wychwycić nietypowe zachowania i nie tylko zaalarmuje w przypadku podejrzanych działań, ale także może natychmiast zareagować na niebezpieczne zdarzenie i zablokować dalsze działania.
Jak pokazują wyniki ankiety, nie wystarczy zabezpieczyć się przed atakującym z zewnątrz. Konieczna jest również identyfikacja nietypowych zachowań naszych użytkowników, ponieważ nigdy nie wiadomo, kto rzeczywiście korzysta z konta
