Obrađujući temu cyber špijunaže na osnovu detaljnog Verizonovog izvještaja u periodu od 2014. do 2021. godine, ranije smo pisali o identifikaciji kritične digitalne imovine i upravljanju rizikom. Sada ćemo govoriti o vrstama napadača i načinima odbrane od njih
Pišu: Vesna Matić Karić i Senad Matić Karić
E-mail: redakcija@asadria.com
Ko su, zapravo, napadači u sferi cyber špijunaže, odnosno subjekti koji doprinose nastanku cyber sigurnosnog incidenta i koji su odgovorni za krađu podataka? Općenito postoji podjela na interne i eksterne napadače. Eksterni napadači i njihovi partneri dolaze, kao što im i naziv govori, van same organizacije, a interni iz kompanije i oni uživaju određeni stepen povjerenja i privilegija koje dolaze s tom ulogom. Partnerski napadači, odnosno saradnici, uključuju bilo koju treću stranu koja dijeli poslovnu vezu s organizacijom i oni također, za razliku od eksternih napadača, uživaju određene privilegije i povjerenje kompanije.
Kompanije uglavnom nesvjesne špijunaže
Zanimljiva je činjenica da kompanije i organizacije koje su bile žrtve cyber špijunaže uglavnom nisu bile ni svjesne napada. Najčešće su vanjski izvori ti koji otkriju informaciju o tome, a taj trend je važio u periodu koji pokriva spomenuti Verizonov izvještaj o cyber špijunaži. Ono što je zanimljivo u vezi s ovim tipom napada jeste da cyber špijunaža omogućava napadačima da prikupe veliki broj informacija, a istovremeno ostanu neprimjećeni duže vrijeme, pa se nameće pitanje na koji način organizacije širom svijeta mogu skratiti vrijeme otkrivanja špijuna, odnosno kako da u što kraćem vremenu otkriju da je došlo do napada kako bi što manja količina informacija procurila do hakera? I kako da se izbjegne oslanjanje na vanjske izvore kada je riječ o detekciji napada te da li postoji način da se napad otkrije u isto vrijeme, ako ne i prije nego što počne? Sve su to pitanja kojima se sigurnosni stručnjaci na polju cyber špijunaže bave godinama.
Savjeti za što bolju detekciju napada
Postavljanje ovih pitanja dovelo je do nekih inovacija na polju detekcijskih tehnologija, mada je sam problem detekcije i dalje prisutan. Odgovor na pitanje zašto je u doba modernih tehnologija ovakav problem i dalje prisutan leži u tome što nove tehnike detekcije napada ipak zahtijevaju od kompanije da sama postavi neke osnove sigurnosti, kao što su utvrđivanje glavne linije mrežne aktivnosti kompanije, definisanje dopustivog nivoa cyber sigurnosnih incidenata te preciziranje tačke kada će i u kojim slučajevima u sistemu doći do upozorenja na napad – što, budimo iskreni, ni dan-danas mnoge kompanije nemaju u vidu. Prije nego što uloži u novu tehnologiju, organizacija mora utvrditi i potvrditi da su same osnove njene cyber sigurnosti solidne i na svom mjestu, a to se može postići usvajanjem strategije Capability Maturity Model (CMM), koja je prvobitno nastala kako bi unaprijedila softverske razvojne procese. Ovaj tip strategije se oslanja na mjerenje, kontrolisanje i redovnu nadogradnju dokumentacije i procesa s ciljem eliminisanja nepoznanica. Tokom istraga vezanih za hakerske napade ključni podaci su, nažalost, uglavnom nedostupni. Na kraju se svodi na isto: nedostatak informacija ne samo da ometa samu istragu nego stvara odlične prilike hakerima da na veoma lagan način pronađu i pristupe osjetljivim informacijama.
Izbjegavanje napada
Jedan od načina da se ovaj problem riješi jeste da se radi na ojačavanju detekcijskih mogućnosti uz istovremeno korištenje najnovijih tehnika za izbjegavanje napada. Ono što sigurnosni stručnjaci savjetuju organizacijama u ovakvim slučajevima jeste da pod hitno porade na metodama odbrane od cyber špijunaže, poput antišpijunskih tehnika namijenjenih obmani potencijalnih špijuna na internetu. Iako situacija još nije savršena kada je riječ o detektovanju cyber špijuna u poslovnom svijetu, ipak se može reći da je posljednjih nekoliko godina primijećen određeni napredak u samoj detekciji i prevenciji mogućih napada. Međutim, bitno je zapamtiti i to da čak ni najnovije tehnologije neće biti od velike pomoći ako prije toga nemate ustaljene sigurnosne prakse kao i dovoljno stručno osoblje koje će njima moći upravljati. To znači da prije ulaganja u tehnologiju treba prvo uložiti u ljude i njihov trening.
Usvajanje strategije
Dakle, jedan od prvih savjeta koje sigurnosni stručnjaci daju kada je o ovoj problematici riječ jeste da se pomoću usvajanja CMM strategije utvrdi koliko su cyber sigurnosne osnove organizacije čvrste. Osim toga, potrebno je osigurati dostupnost ključnih podataka tako što će se smanjiti broj incidenata zbog kojih dolazi do gubitka logova i slabe dostupnosti podataka. Još se savjetuje i prelazak na kompleksnije sisteme i metode zaštite zasnovane na automatizaciji, vještačkoj inteligenciji i mašinskom učenju. No, sve to ne prije nego što se zaposle iskusni stručnjaci koji će takvom tehnologijom znati upravljati.
Metode otkrivanja
Kada su u pitanju metode otkrivanja cyber špijunskih napada, najdjelotvornije je detektovanje i analiziranje sumnjivog mrežnog saobraćaja, koje se koristilo za uspješnu detekciju napada u 48 posto slučajeva. Istovremeno, vrlo zanimljiv podatak je da se na drugom mjestu najefikasnijih metoda detekcije cyber špijunaže nalaze antivirusni alati, koji su bili u stanju otkriti napade u 23 posto slučajeva. Naravno, riječ je o naprednijim antivirusnim platformama koje su nešto osjetljivije na potencijalni malware od alata namijenjenih običnim korisnicima, ali ipak – riječ je o impresivnom statističkom rezultatu.
Napadači i njihovi motivi
Identifikovanje napadača je proces u kojem postoje mnogi izazovi s obzirom na to da napadači ulažu izuzetno veliki napor u to da maskiraju svoje aktivnosti i ostanu anonimni, najčešće korištenjem metoda zavaravanja kao što je korištenje lažnih IP i email adresa. Kada su u pitanju cyber špijunski napadi, velika većina (85 posto) napadača radi za razne države. Na drugom mjestu s učešćem od 4 posto u cyber špijunaži nalaze se napadači povezani s organizovanim kriminalom, dok su bivši zaposlenici odgovorni za cyber špijunažu u samo 2 posto slučajeva. To je pomalo čudno s obzirom na to koliko često čitamo o zaštiti od korporativne špijunaže u kojoj učestvuju bivši zaposlenici. No, to nas dovodi do jednog od najvećih problema u rješavanju cyber špijunskih incidenata, a to je komplikovana identifikacija napadača, koja često može biti pogrešna. Naime, digitalna forenzička istraga treba se prvenstveno fokusirati na to da odgovori na šest pitanja: ko, šta, gdje, kada, kako i zašto? Problem je u tome što na mnoga od ovih pitanja nekada nije moguće odgovoriti zato što su akteri u oblasti cyber špijunaže veoma dobri i iskusni u skrivanju svojih tragova i identiteta. Stoga cyber sigurnosni izvještaji formirani na osnovu određenih tehničkih podataka kao što su IP adrese mogu biti netačni te navesti sigurnosne stručnjake na pogrešan trag.
Lažni tragovi
Tome doprinose i sve napredniji malveri koje napadači koriste, a koji mogu imitirati aktivnosti te lažirati tehničke podatke koji nemaju nikakve veze s napadačima. Sigurnosni stručnjaci ne bi se trebali oslanjati na takve izvještaje, naročito u današnje vrijeme, kada postoje znatne napetosti između različitih političkih blokova i država. Da bude zanimljivije, Verizonovi stručnjaci u svom izvještaju spominju i takozvane false flag cyber špijunske napade, u kojima napadači žele stvoriti utisak da je određena država ili organizacija odgovorna za napad. Zakoni i propisi u pojedinim zemljama također mogu doprinijeti pogrešnoj identifikaciji napadača. Naime, neadekvatna pravila kada je u pitanju korporativna cyber sigurnost, kao i zaštita informatičkih sistema u javnim institucijama i organizacijama mogu doprinijeti lakšem maskiranju aktivnosti napadača. Isto važi i kada su u pitanju propisi o korištenju kriptovaluta. Tu je i Tor mreža za anonimno pregledanje interneta i pristupanje sadržajima na tamnom webu, koja također – pored brojnih pozitivnih stvari – omogućava dodatni nivo skrivanja identiteta napadača. I konačno, kada cyber špijuni i budu ispravno identifikovani, postoje poteškoće u njihovom procesuiranju, budući da ih u većini slučajeva štite određene države.
Što se tiče motiva, generalno su cyber napadi potaknuti finansijskim razlozima i, u skladu s time, njihovi počinioci su uglavnom povezani s organizovanim kriminalom. Na cyber špijunažu kao motiv otpada 10 do 26 posto napada, što je poprilično visok procent koji zasigurno ukazuje na to da je došlo vrijeme da se organizacije ozbiljno pozabave ovom problematikom.
Odbrana od cyber špijunaže
Napredni hakeri u oblasti cyber špijunaže ponekad koriste metode napada koje uopće ne uključuju fajlove, što u kombinaciji s nepoznatim propustima u mreži čini takve kampanje veoma opasnim i teškim za odbranu. Protiv ovakvih napada se nije moguće boriti tradicionalnim metodama, pa stoga mjere za detekciju napada moraju biti zasnovane na kombinaciji analize ponašanja i verifikovanja softvera i identita, uz minimiziranje broja lažnih detekcija. Da bi i to bilo dovoljno, organizacije moraju imati proaktivan pristup identifikovanju prijetnji – tačnije, moraju aktivno tragati za njima i pretpostaviti da su se cyber špijuni već uspjeli infiltrirati u njihove sisteme. Neke od metoda odbrane od cyber špijunaže uključuju segmentaciju mreža, a kako bi se odvojila virtuelna lokalna mreža od internetske infrastrukture, serverskih farmi, internih i administratorskih mreža. Na taj način se potencijalnim napadačima otežava ili onemogućava istraživanje mreže. Dalje, korištenje PowerShella bi trebalo biti ograničeno samo na provjerene pojedince koji ga moraju koristiti. Višefaktorska autentifikacija bi se trebala koristiti za kompletan administratorski pristup, a sisteme bi trebalo podesiti tako da šalju upozorenja sigurnosnim timovima svaki put kada se neko logira na servisne profile za hitni pristup.
Bitna je istraga
Istraživanje cyber špijunskih kampanja razlikuje se od istraživanja standardnih cyber sigurnosnih incidenata. Naime, stručnjaci u početku možda neće biti ni svjesni da je motiv detektovanog cyber napada krađa intelektualnog vlasništva, već tek kada istraga uznapreduje. Prije same istrage stručnjaci najprije prikupljaju podatke o mrežnoj topologiji te razgovaraju s mrežnim i sistem-administratorima kako bi identifikovali moguće kanale napada. Zatim prikupljaju logove s različitih izvora kako bi analizirali aktivnosti zaposlenika i aplikacija, a što bi svakako trebalo raditi s vremena na vrijeme, bez obzira na to da li postoji sumnja da je organizacija pod napadom. Jedan od ključnih ciljeva svake istrage je identifikovanje početne ulazne tačke napadača u infrastrukturu, bilo da je to aplikacija koja je povezana s internetom, hakiranje podataka za logiranje na određeni profil ili phishing e-mail. Od spomenutih najčešća početna tačka za cyber špijunske kampanje bili su phishing e-mailovi, koji su daleko uvjerljivije osmišljeni od onih koje viđamo u običnim hakerskim napadima. Identifikovanjem ciljeva, mogućnosti i metoda napadača sigurnosni timovi mogu razviti modele napada kako bi se što bolje pripremili za odbranu od njih. Veliki problem za sigurnosne stručnjake predstavlja činjenica da se u cyber špijunskim kampanjama često koriste validni akreditivi i postojeći legitimni alati koji se koriste u ciljanoj kompaniji, poput onih za mapiranje mreža i udaljeni pristup. Zbog toga je potrebno koristiti napredne platforme za analizu i detekciju bilo kakvih nepravilnosti unutar sistema i infrastrukture organizacija.
Verizonov izvještaj o cyber špijunaži je dokument koji baca novo svjetlo na do sada tajnoviti sektor u oblasti cyber sigurnosti. Sve institucije i organizacije koje odrede da imaju vrijednu digitalnu imovinu trebale bi ga detaljno proučiti, makar zbog toga da se malo zabrinu i postanu opreznije.
Zamke za detektovanje metoda napadača
Sigurnosni timovi bi za identifikaciju napadača i njihovih metoda trebali koristiti honeypotove, odnosno zamke u vidu sistema ili više umreženih sistema koji služe samo tome da čekaju neovlaštene pokušaje upada. Funkcija ovih zamki je da privuku špijune i dokumentuju njihove načine djelovanja te su zbog toga poprilično efikasan alat u odbrani od cyber špijunskih kampanja, jer mogu dokumentovati korištenje prethodno nepoznatog malwarea, kao i pomoći u detekciji propusta u konfiguraciji sistema. U ovakvim zamkama koriste se lažni podaci smješteni u kontekst uvjerljivog okruženja kompanije, ali preduslov za njihovo korištenje je to da organizacije već imaju implementirane napredne sigurnosne kontrole.
Savjeti za odgovor na napad
Nakon što se za napad saznalo, najbitniji korak je saznati kako je, zapravo, otkriven. Nakon toga treba utvrditi na koji je način napadač stekao pristup organizacijskoj mrežnoj infrastrukturi te potražiti zajedničke vektore, kao što su ciljani phishing e-mailovi koji imaju za cilj da namame primaoca na pokretanje malicioznog softvera. I posljednji, ali ništa manje ključni korak, jeste da se potraže rješenja koja će kompaniji biti pri ruci kada dođe do sličnog napada kako bi što prije mogla stati na noge i oporaviti se od napada.
