Cyber sigurnost Najave II

Upravljanje rizikom u oblasti cyber špijunaže

U ovom broju se nadovezujemo na osnovne aspekte trenutne situacije u svijetu kada je u pitanju industrijska špijunaža, a na osnovu prvog Verizonovog Izvještaja o cyber špijunaži kojeg je kompanija objavila prošle godine. Ključni korak u smanjenju rizika od cyber špijunaže jeste identifikovanje digitalne imovine koja bi mogla biti zanimljiva protivničkim hakerima, kao i stavljanje u ulogu potencijalnih napadača u cilju razumijevanja toga u koji dio cyber odbrane treba uložiti najviše pažnje
Pišu: Senad Matić Karić i Vesna Matić Karić
E-mail: redakcija@asadria.com

Upravljanje rizikom zahtijeva od organizacija da identifikuju vlasnika digitalne imovine, kao i način kontrole pristupa imovini. Identifikovanje digitalne imovine i upravljanje rizikom treba uskladiti sa poslovnim ciljevima organizacije, čime se dodaje na samoj vrijednosti poslovanja. Tako bi, naprimjer, poslovna strategija upravljanja rizikom mogla uključivati stavke poput definisanja ciljeva, zatim identifikaciju digitalne imovine i prijetnji po istu, otkrivanje i nadgledanje prijetnji te usavršavanje reagovanja na njih. I mada mnogim kompanijama započinjanje nečega od nule može biti preopširan i naporan zadatak, treba naglasiti da je ipak moguće razviti proces upravljanja rizikom sa nekim manjim ciljevima uključivanjem podataka o cyber prijetnjama, pa zatim polako nastaviti sa razvijanjem strategije i njenim ostalim segmentima.

Odgovori su u pitanjima
Kompanija koja želi koristiti podatke o sigurnosnim prijetnjama kako bi prioritizirala prijetnju od cyber špijunskih napada u okviru svog procesa upravljanja rizikom može započeti postavljanjem određenih pitanja bitnih za samu organizaciju. Među takva pitanja spada i pitanje koliko su zapravo rasprostranjeni cyber špijunski napadi u poređenju sa drugim vrstama napada? Bitno je postaviti i pitanje o tome koje su to grupacije poznate po tome da se bave cyber špijunažom i na osnovu tih saznanja, koliko je vjerovatno da će baš njihova organizacija biti napadnuta? Ništa manje bitno pitanje nije ni to koje podatke, odnosno kakav tip digitalne imovine ciljaju oni koji se bave cyber špijunažom. I na kraju, bitno je zapitati se koje su to aktivnosti ili metode povezane sa određenim napadačem ili grupom napadača u oblasti cyber špijunaže.

Ukoliko odgovori na ova pitanja ukažu na to da za napad postoji niži rizik, to i dalje ne znači da o cyber špijunaži ne treba razmišljati. Iako u nekim industrijama broj špijunskih incidenata može biti nešto niži nego u ostalim, činjenica je da potencijal za ovakav tip napada i dalje postoji, mada u nešto manjoj mjeri. Analiza rizika, identifikacija digitalne imovine i klasifikacija incidenata može bilo koji tip organizacije uputiti na odgovarajuće mjere za sprečavanje, ublažavanje, otkrivanje i reagovanje na moguće napade, uz istovremeno održavanje sposobnosti da se ispune organizacijski ciljevi. Verizonovi savjeti kako da se i na koji način identifikuju prijetnje ukratko su sljedeći: prije svega, treba identifikovati digitalnu imovinu, vlasnike imovine i kontrolu pristupa imovini kao dio efikasne i sveobuhvatne strategije upravljanja rizikom; zatim je potrebno uskladiti upravljanje rizikom sa ciljevima poslovanja same organizacije; nakon toga je bitno uključiti mogućnost cyber špijunaže u sam metod upravljanja rizikom; i na kraju, ali veoma bitno – treba izbjegavati stav “nama se to neće desiti”, jer sudeći prema iskustvima sigurnosnih stručnjaka, cyber špijunaža može zahvatiti bilo koju organizaciju, pa čak i onu za koju se generalno smatra da je pod nižim rizikom od napada.

Ključ je u slojevitoj zaštiti
Kao što smo već napomenuli, ključni element upravljanja rizikom u oblasti industrijske i državne cyber špijunaže jeste procjenjivanje toga šta bi moglo biti interesantno protivničkim cyber špijunima. Tačnije, radi se o pitanjima koja špijuni sebi postavljaju kako bi otkrili koje su namjere i aktivnosti ciljane organizacije ili države, a sve kako bi se otkrila njihova operativna efikasnost. Stoga je od ključne važnosti razviti i implementirati odgovarajuće sigurnosne mjere kako bi se osigurale kritične usluge i digitalna imovina.

Sofisticirani napadači često koriste skrivene metoda za sprovođenje cyber špijunaže. Te metode mogu uključivati korištenje kompromitovanih administratorskih akreditiva ili korištenje sabotiranog softvera koji se može stopiti sa računarskim okruženjem ciljane organizacije. Napadači zatim mogu koristiti specijalni zlonamjerni softver kojeg antivirusi i drugi sigurnosni softver ne može detektovati. Kako Verizon naglašava u svom izvještaju, cyber špijunski napadi koji koriste sofisticirane metode i imaju specifične ciljeve mnogo su teži za detektovati i istražiti od drugih vrsta računarskih napada. Uprkos tome, postoje načini za zaštitu od njih čak i onda kada nije poznato koji se sigurnosni propust ili zlonamjerni softver koristi.

Uz administratorske ovlasti i nesegmentiranu mrežu, napadač ima slobodu da nesmetano istražuje sisteme i servere organizacije. Čak i u segmentiranim mrežama, špijun može pronaći put do skrivenih podataka pomoću softvera za mapiranje mreža i drugih alata. Mrežna segmentacija, stroga kontrola pristupa, slojevita sigurnost te višefaktorska autentifikacija sve su odreda mjere koje mogu pomoći u zaštiti od cyber špijunaže.

Kombinovani napadi
Cyber špijunski napadi se uveliko oslanjaju na kombinovanje društvenih i malware metoda, pri čemu se phishing koristi u 81 posto špijunskih incidenata, a neki vid zlonamjernog softvera u 92 posto slučajeva. Treniranje krajnjih korisnika da prepoznaju i prijavljuju društvene napade kao što je phishing može pomoći u smanjivanju loših ishoda povezanih sa cyber špijunskim napadima.

Dalje, potrebno je osigurati podatke koji su najzanimljiviji potencijalni špijunima, a glavni preduslov za to je popisivanje “inventara” kritičnih podataka koji će se poslije zaštititi kontrolom pristupa i adekvatnim nadzorom iste. U tome mogu pomoću odgovarajuće korporativne procedure kojih se moraju pridržavati svi zaposlenici, a što je zapravo glavni problem i vjerovatno najteža stvar za postići. Te procedure bi trebale pokrivati sve, od toga da li su uređaji korisnika zaštićeni enkripcijom i jakim lozinkama, pa do ograničavanja korištenja javnog Wi-Fija i određivanja načina na koji se povjerljivi podaci mogu slati. Sigurnosnim praksama organizacije trebao bi se osigurati siguran i strogo kontrolisan pristup podacima koji su potencijalno podložni napadu.

Upravljanje rizikom u oblasti cyber špijunaže je daleko od jednostavnog procesa u kojem se stvari jednom definišu i podese, pa onda ostave da stagniraju godinama bez ikakvog nadograđivanja najboljih praksi. Trebalo bi sprovoditi redovno održavanje sigurnosnih sistema i praksi kako bi se osiguralo to da zaposlenici slijede odgovarajuće cyber sigurnosne procedure i mjere u cilju stalne zaštite podataka. Pritom pojedine mjere zaštite od cyber špijunaže mogu biti automatizovane – naprimjer, rješenja za zaštitu od curenja informacija mogu poslati upozorenja relevantnim sigurnosnim stručnjacima ukoliko određeni podaci izađu iz mreže organizacije. Ta rješenja također nude i veliki broj drugih mogućnosti, kao što su detektovanje i blokiranje podataka koji su kopirani na druge lokacije, poslani preko emaila ili podijeljeni pomoću aplikacija i sajtova za dijeljenje fajlova. Pored toga, ova rješenja mogu blokirati zaštićene podatke od pokušaja štampanja te mogu pomoći u identifikovanju neenkriptiranih destinacija na koje ih je moguće poslati.

Ukratko, za adekvatnu zaštitu podataka od cyber špijunaže potrebno je u najmanju ruku imati segmentiranu mrežu, strogu kontrolu pristupa, višefaktorsku autentifikaciju, inventar kritičnih informacija, rješenja za zaštitu od curenja podataka i adekvatno trenirano osoblje koje je u stanju prepoznati i blagovremeno prijaviti napade pomoću društvenog inžinjeringa kao što je phishing.

Identifikovanje informacija za koje su cyber špijuni zainteresovani
Da bi organizacija identifikovala koji nivo kritičnosti njeni elementi digitalne imovine imaju, potrebna je kompleksna analiza, pa čak i korištenje određenih modela određivanja kritičnosti informacija zasnovanih na specifičnim istraživanjima. Jedan od tih modela je i onaj Nacionalnog instituta standarda i tehnologije – neregulatorne američke agencije za inovacije na polju informatike i inžinjeringa – koji nosi živopisan naziv “NIST IR 8179”. Na osnovu ovog ili nekog sličnog modela prioritiziranja informacija, organizacije mogu odrediti šta najprije trebaju zaštititi, kao i kakvu će štetu pretrpiti ukoliko njihova digitalna imovina bude ugrožena. Jedini problem je to što modeli identifikovanja kritičnosti elemenata digitalne imovine često ne uzimaju u obzir specifičnosti cyber špijunaže. Razlog za to je činjenica da su incidenti povezani sa cyber špijunažom najčešće povezani sa proizvodnim, rudarskim i javnim sektorima, dok neke druge industrije – poput građevinske – nemaju uopšte probleme vezane sa špijuniranjem, barem ne one prijavljene i otkrivene.

Dakle, organizacije bi morale angažovati vrlo dobre stručnjake koji će biti u stanju prilagoditi model određivanja kritičnosti digitalne imovine cyber špijunskom kontekstu. Kako bi bile sigurne da je njihov model prioritiziranja zaštite informacija prilagođen zaštiti od cyber špijuniranja, organizacije kao osnovni korak trebaju definisati sljedeće aspekte:

– Koliki je generalni rizik od cyber špijunaže?
– Koji su podaci podložni špijunaži?
– Da li su implementirani sistemi za zaštitu i nadziranje potencijalnih špijunskih napada
– Da li su implementirane preventivne metode, kao što su stalni nadzor kritične digitalne imovine, pretraživanje konvencionalnog i tamnog weba u potrazi za relevantnim prijetnjama, program zaštite od insajderskih prijetnji i program prilagođavanja potencijalnom nepredvidljivom gubitku tehničke prednosti u odnosu na napadače?

Kada su u pitanju propusti koje špijuni ciljaju, treba naglasiti da organizacije korištenjem alata za skeniranje s vremena na vrijeme otkriju čitav niz poznatih sigurnosnih propusta unutar svoje infrastrukture, koje poslije nadograde u zavisnosti od procjene rizika. Međutim, špijuni uglavnom ne koriste te propuste, nego propuste zero-day tipa – tj. propuste koji nisu poznati sigurnosnim kompanijama – što znatno otežava detektovanje i uspješnu borbu protiv špijunskih kampanja. Ono što je još veći problem jeste to što korištenje takvih propusta u napadima često ne ostavlja nikakve tragove i dokaze o napadu u sistemu.

Kako naglašavaju u Verizonovom izvještaju, različite države i hakerske grupe sponzorisane od strane država koriste zero-day propuste kako bi se dokopali informacija o aktivnostima i tehnologijama protivničkih zemalja. Ti propusti se, između ostalog, mogu naći na online prodavnicama na tamnom webu, pa je tim bitnije održavati i program proaktivnog prikupljanja informacija o propustima i potencijalnim napadačima sa tamnog weba kako bi organizacije mogle biti što pripremljenije za špijunske kampanje. Ono što je ovdje bitno naglasiti jeste to da tradicionalni sistem softverskih nadogradnji ne može pomoći kod ovog problema. Naime, u momentu kada sigurnosne kompanije razviju nadogradnju za neki propust, tada je najvjerovatnije već kasno i dotični je već iskorišten za napad na neki sistem. Stoga je potreban višeslojni sigurnosni pristup koji se sastoji od nekoliko nivoa kontrole, od upravljanja rizikom, preko blokiranja neautorizovanih aplikacija, pa do tehnika detekcija napadača zasnovanih na obmani, pri čemu napadač biva prisiljen da oda više informacija o sebi i svojim tehnikama nego što je to planirao.

Kompromitovani uređaji
Prema Verizonovom izvještaju, u okviru razotkrivenih cyber špijunskih kampanja, napadači su se najviše fokusirali na akreditive i kompanijske tajne, dok su bankovni podaci i digitalni certifikati imali najmanji prioritet pri ovim napadima. Kada su u pitanju kampanje koje traju jako dugo, napadači su tu još ciljali i informacije o internim aktivnostima kompanije, kao i podatke o sistemu. Pri tome je za upad u organizacijsku mrežu u 87 posto slučajeva iskorišten kompromitovani uređaj (uglavnom desktop računar ili laptop, dok pametni telefoni, routeri i switchevi nisu bili pretjerano česta meta), a u 82 posto slučajeva sam zaposlenik kompanije.
O slučajevima cyber špijunaže uglavnom se ne izvještava otvoreno, a u nekim slučajevima organizacije ne prijavljuju takve incidente čak i ako ih otkriju. Stoga je ovaj sektor težak za analizirati, ali nema sumnje da cyber špijunski rat već uveliko bjesni u brojnim sektorima i regionima. Ipak, analize iznešene u Verizonovom izvještaju predstavljaju dobar početni korak na osnovu kojeg se organizacije mogu adekvatno pripremiti za odbranu od naprednih špijunskih kampanja.

Obmane kao metoda prikupljanja informacija o hakerima
Jedan od trendova u oblasti računarske sigurnosti jeste postavljanje takozvanog virtuelnog minskog polja za hakere – različitih zanimljivih sistema i sadržaja u samoj mreži organizacije koji bi mogli privući napadače. Nakon što napadač bude privučen spomenutim sadržajima, organizacija umjesto instantnog reagovanja na napad naprosto čega da haker obavi sve što je planirao obaviti kako bi prikupila što više informacija o njegovom načinu rada. Na ovaj način organizacije mogu saznati kako se različite vrste napada šire kroz mreže te mogu steći uvid u način razmišljanja protivnika. Jedini problem je to što moraju imati implementiran veoma pouzdan sistem za rano upozoravanje na upade u mrežu organizacije – u suprotnom, organizacije neće uočiti napad, niti će išta naučiti o njemu.

Related Posts

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *