ESET: Totul despre suprafața de atac cibernetic - definiție, riscuri și soluții pentru companii

Din fericire, organizațiile își pot îmbunătăți vizibilitatea asupra suprafeței de atac prin adoptarea unor strategii de bune practici. În cadrul acestora, companiile pot ajunge să definească concret pașii necesari pentru o scară cât mai mică a vulnerabilităților și un grad de securitate cât mai ridicat.

Care este suprafața de atac a unei companii?

Suprafața atacului este compusă, la modul general, din activele fizice și digitale pe care o organizație le deține, și care, în cazul unui atac de securitate, ar putea fi compromise. Acțiunile actorilor malware au motivații diverse, printre care se numără: instalarea de aplicații rău intenționate pentru minarea de cripto-monede, atacurile de tip ransomware și de furt de date, descărcarea troienilor bancari sau recrutarea sistemelor într-un botnet. Un lucru este cert, cu cât suprafața de atac este mai mare, cu atât riscurile sunt mai ridicate și, în consecință, crește interesul atacatorilor pentru compania dumneavoastră.

Să analizăm cu atenție cele două categorii principale ale suprafeței de atac:

Suprafața fizică de atac

Este formată din totalul dispozitivelor endpoint ce pot fi accesate „fizic” în cazul unui atac. Iată câteva exemple: telefoane/dispozitive mobile, memorii USB, calculatoare desktop, hard disk-uri, laptopuri.

O altă componentă importantă a suprafeței fizice de atac a organizației o reprezintă factorul uman. Într-un scenariu de atac cibernetic, chiar angajații companiei pot deveni pioni însemnați, căzând pradă manipulării de tip phishing și a variațiunilor acesteia. Gradul de risc asociat acestora crește, angajații derulând, de multe ori involuntar, acțiuni de tip „IT shadow”, prin utilizarea neautorizată și nesupravegheată de aplicații și dispozitive, care ocolesc filtrele de securitate ale companiei. Organizația poate fi expusă la amenințări suplimentare prin lipsa unei securizări corespunzătoare a aplicațiilor si dispozitivelor folosite.

Suprafața de atac digitală

Este formată din toate componentele hardware, software și componentele conexe conectate la rețeaua unei organizații. Iată câteva exemple:

Aplicații: pot reprezenta pentru atacatori un punct de intrare accesibil către sistemele si datele IT critice, vulnerabilitățile din aplicații fiind un fapt cunoscut. 

Codul software: componența sa, alcătuită într-un procent ridicat din părți terțe, care pot conține malware sau puncte slabe, îl face să fie un factor major de risc.

Porturi: atacatorii scanează porturile deschise și verifică perechile „serviciu-port” (de exemplu, portul TCP 3389 folosit pentru RDP). Vulnerabilitățile din acest nivel pot fi exploatate foarte ușor, dacă aceste servicii nu sunt configurate corespunzător sau conțin erori de cod.

Servere: acestea ar putea fi atacate prin exploatări de vulnerabilități sau inundate de trafic în atacuri DDoS.

Site-uri web: reprezintă un „punct fierbinte” al vulnerabilității digitale, cu mulți vectori de atac specifici, inclusiv slăbiciuni la nivel de cod și configurări greșite. Două dintre efectele cunoscute sunt eliminarea frauduloasă a paginii web sau implantarea unui cod rău intenționat pentru drive-by și alte atacuri (de exemplu, formjacking - integrarea de cod malițios pentru extragerea ilegală a detaliilor bancare introduse în formularele online de cumpărare din pagina de plată).

Certificate: depășirea termenelor de valabilitate și folosirea de certificate expirate atrag după sine atacuri de securitate. 

O cercetare din 2020, cu subiectul analizei scării actuale a suprafeței de atac, făcută asupra companiilor aflate pe lista Financial Times Stock Exchange Index 30, a dezvăluit următoarele aspecte: 

-324 certificate expirate

-25 de certificate care folosesc algoritmul de hash SHA-1 învechit

-743 posibile site-uri aflate în stadiu de testare expuse în internet

-385 de forme nesigure din care 28 au fost utilizate pentru autentificare

-46 de framework-uri web care prezentau vulnerabilități cunoscute

-80 de cazuri de utilizare a versiunii vechi PHP 5.x

-664 versiuni de server web cu vulnerabilități cunoscute

Devine suprafața de atac din ce în ce mai mare?

Deși resursele informatice și digitale au avut o dezvoltare însemnată de-a lungul anilor, pandemia a determinat investiții masive, fără precedent. Accentul a fost pus pe suport pentru munca la distanță și pe menținerea operațiunilor comerciale funcționale, cu fluctuații minore, într-un moment de cumpănă pentru piață. Astfel, suprafața de atac s-a extins semnificativ, prin următoarele situații:

-Endpoint-urile folosite în munca de la distanță (de exemplu, laptopuri, desktopuri)

-Aplicațiile și infrastructura de tip cloud

-Dispozitive IoT și 5G

-Utilizarea codului terț și a DevOps

-Infrastructura de lucru la distanță (VPN-uri, RDP etc.)

Aceasta pare să devină calea de urmat. Multe companii și-au diversificat si transformat modul de utilizare a fluxurilor de lucru digitale, având un impact considerabil față de procedurile și operațiunile obișnuite. Modificările și adaptarea la noile cerințe aduc noi riscuri pentru suprafața de atac, pentru că ar putea conduce la:

-Atacuri de phishing  - se vor dezvolta noi căi prin care lipsa de conștientizare a securității în rândul angajaților să fie exploatată

-Programe malware  - vulnerabilitățile noi la nivelul serverelor, aplicațiilor și restului de sisteme devin ținte noi pentru atacatori

-Parole furate sau atacuri de tip forță brută pentru realizarea de conectări frauduloase

-Exploatarea configurărilor greșite de sistem sau de autentificare (de exemplu, în conturile cloud)

-Certificate web furate

-și multe altele

Nu este nicio noutate popularitatea crescută a anumitor vectori de atac din cele cîteva sute  folosite de către actorii malware specializați în crearea de atacuri persistente. De aceea nu este de mirare că între ianuarie 2020 și iunie 2021, ESET a găsit 71 de miliarde de încercări de compromitere via RDP configurat greșit.

Cum să abordați corect riscurile specifice suprafeței de atac

Suprafața de atac este un factor cheie pentru stabilirea si implementarea unor metode eficiente de securitate cibernetică. Analiza și înțelegerea dimensiunii sale sunt o primă etapă pentru o protecție proactivă și ajută la crearea de măsuri și proceduri customizate.

Audituri ale activelor și ale soluțiilor de stocare folosite, teste de penetrare, scanări ale vulnerabilității și alte activități similare sunt unelte pentru evaluarea dimensiunii suprafeței de atac. Iată câteva metode pentru reducerea suprafeței de atac și a riscului cibernetic asociat:

-Aplicarea de patch-uri, corecții și configurări specifice de management de risc

-Consolidarea endpoint-urilor și renunțarea la hardware-ul vechi

-Actualizarea software-ului și a sistemelor de operare

-Segmentarea rețelelor

-Folosirea celor mai bune practici DevSecOps

-Gestionarea vulnerabilităților

-Reducerea riscului din lanțul de aprovizionare

-Implementarea de măsuri de securitate a datelor (de exemplu, criptare puternică)

-Managementul puternic al verificării identității/accesului

-Adoptarea unui model de securitate zero trust

-Înregistrarea și monitorizarea prin log-uri a sistemelor

-Implementarea de programe de instruire care să sporească conștientizarea riscurilor

Mediul IT corporativ este foarte dinamic și într-o fluctuație permanentă de personal și hardware: sosiri și plecări continue în rândul angajaților, utilizare pe scară largă a VM-urilor, containerelor și micro serviciilor și trafic intens de elemente hardware și software. Este prioritar un management de gestiune prin instrumente agile și inteligente care funcționează pe baza datelor, în timp real, ce are ca premise principale „vizibilitatea și controlul”.  

ESET oferă o paletă de soluții antivirus și antimalware, cu protecție multi-strat integrată, care pot depista din timp atacuri tip ransomware, evitând astfel daune la nivelul resurselor și reputației companiei. ESET PROTECT Advanced se adresează nevoilor IMM-urilor și oferă prin layer-ul ESET Dynamic Threat Defense, protecție de tip cloud-sandbox pentru sisteme (împotriva ransomware-ului și amenințărilor de tip zero-day) și protecție dedicată prin criptare completă a hard disk-urilor (pentru datele stocate pe laptopuri, în caz de furt și pierdere). Produsul răspunde, așadar, provocării de a gestiona și proteja rețelele IT business în fața amenințărilor cibernetice de înaltă complexitate.

Soluția poate fi testată gratuit, în infrastructura din compania dumneavoastră, fără nicio obligație ulterioară. Pentru mai multe detalii despre aceasta și descărcarea unei variante de test, dați click aici.