Киберустойчивость. Часть 1: Самый простой компьютер для взлома

Многие из пользователей интернета постоянно беспокоятся о растущей угрозе кибератак. Вредоносные программы, фишинг и социальная инженерия – это тактики, которые легко могут поразить обычного пользователя.

Многие из нас беспокоятся о том, как могут быть осуществлены кибератаки, но стереотипные хакеры, изображенные в СМИ — использующие продвинутое программирование и вредоносные программы для преследования своих жертв — в основном вымысел. Настоящие атаки менее замысловаты, но также опасны.

Суровая реальность такова, что большинство современных кибератак не так сложны, как когда-то считалось, особенно по сравнению с более ранними тактиками, которые росли по мере роста популярности взаимосвязанных устройств. Хотя некоторые методы атак стали более совершенными, многие векторы атак не изменились за прошедшие годы, но по-прежнему очень успешны, во многом благодаря социальной инженерии и человеческим ошибкам.

Быть и оставаться киберустойчивым

Киберустойчивость — это способность организации предвидеть, противостоять потенциальным угрозам и восстанавливаться после них без серьезного ущерба или нарушения производительности бизнеса. Используя новые технологии, поддерживая «киберфизическую форму» и создавая комплексную систему восстановления с правильными инструментами и ресурсами, можно опередить киберпреступников.

Короче говоря, быть и оставаться киберустойчивым — это один из наиболее важных шагов, которые можно предпринять, чтобы защитить себя и свою организацию.

В серии из двух статей мы расскажем о самых больших рисках в области кибербезопасности и о том, как их минимизировать. Начнем с самого простого компьютера для взлома: человека.

Самый простой компьютер для взлома

Человеческий мозг всегда был одним из самых легких объектов для взлома. Несмотря на то, что некоторые методы атаки эволюционировали со временем, использование социальной инженерии для осуществления большинства атак остается неизменным.

Большинство кибератак успешны из-за простых ошибок пользователей или из-за их игнорирования установленных лучших практик. Например, использование слабых паролей или одного и того же пароля для нескольких учетных записей крайне опасно, но, к сожалению, распространено.

Когда компания становится жертвой утечки данных, данные учетных записей могут быть проданы в даркнете, и злоумышленники попытаются использовать ту же комбинацию имени пользователя и пароля на других сайтах. Поэтому менеджеры паролей, как сторонние, так и встроенные в браузер, становятся все более популярными. Двухфакторная аутентификация (2FA) также становится все более популярной. Такой метод безопасности требует от пользователя предоставления другой формы идентификации, помимо простого пароля — обычно через проверочный код, отправленный на другое устройство, номер телефона или адрес электронной почты.

Методы доступа с нулевым доверием (Zero Trust) — следующий шаг. Здесь перед предоставлением доступа анализируются дополнительные данные о пользователе и его запросе. Такие меры защиты могут помочь обеспечить безопасность паролей, либо храня зашифрованные пароли, либо добавляя дополнительный уровень безопасности через вторичную авторизацию.

Фишинг все еще актуален

Склонность человека к легкому манипулированию также очевидна в постоянном распространении и успехе вредоносных фишинговых электронных писем. Независимо от того, насколько тщательно сотрудники компании прошли обучение по вопросам безопасности, всегда найдется хотя бы один очень любознательный работник, который попадется на мошенников и перейдет по фишинговой ссылке.

Вредоносные ссылки ведут на хорошо спроектированный веб-сайт, выдающий себя за другой известный сайт и вынуждающий пользователей предоставить учетные данные или открыть неизвестные вложения, которые могут содержать вредоносное ПО. Фишинговые электронные письма обычно не очень сложны, но социальная инженерия может быть весьма убедительной: до 98% кибератак осуществляются с использованием социальной инженерии.

Социальная инженерия — это метод атаки, при котором злоумышленник атакует жертву, используя нестабильность человеческой ошибки посредством социального взаимодействия, выдавая себя за сотрудника доверенной организации. Вот почему пользователям необходим многоуровневый подход к киберзащите, чтобы их системы действительно были безопасными.

Усовершенствованная постоянная угроза (Advanced Persistent Threat, APT)

Тем не менее, существуют некоторые чрезвычайно сложные методы атаки, в основном проводимые APT-группировками. Например, в атаках на программное обеспечение хакеры используют вредоносный код для компрометации легитимного ПО до его распространения. Такие типы атак не легко блокировать и они не новы: есть много примеров, включая CCleaner, ASUS и SolarWinds.

Злоумышленники компрометируют крупного доверенного поставщика и использовать его как канал для проникновения в системы целей. Взлом может произойти по-разному, самым сложным является случай, когда злоумышленник полностью компрометирует поставщика ПО и внедряет бэкдор в следующую версию программного обеспечения.

В случае успеха заражение может быть очень скрытно, поскольку вредоносное обновление теперь загружается с официального сайта поставщика с официальными примечаниями к выпуску и действующей цифровой подписью. К сожалению, до этого момента пользователь не сможет узнать, что обновление является вредоносным.

Даже если жертва установит обновление только на несколько компьютеров для проверки совместимости, это все равно не выявит вредоносное ПО, поскольку такое вредоносное ПО обычно «спит» в течение нескольких недель после установки, прежде чем раскрыть свою полезную нагрузку. Поэтому единственным возможным способом защиты от таких атак является мониторинг поведения каждого приложения в системе в режиме реального времени, даже если считается, что программа легитимна.

За пределами троянов

Атаки через цепочку поставок не ограничиваются внедрением троянов в программное обеспечение. В прошлом году поставщик услуг приложений Okta был взломан группой злоумышленников Lapsus$. Вредоносная группа получила доступ к некоторым панелям администратора, что позволило киберпреступникам сбрасывать пароли и впоследствии обойти строгую аутентификацию. Атака привела к утечке данных некоторых клиентов Okta, среди которых была и Microsoft.

Также наблюдается все больше атак, в которых хакеры «живут» за счет инфраструктуры поставщика управляемых услуг (Managed Service Provider, MSP). Такой метод называется (Living off the Land, LotL-атака). С помощью этого метода злоумышленники компрометируют сами программные инструменты, используемые поставщиками услуг для развертывания новых пакетов ПО, развертывания исправлений или мониторинга различных конечных точек.

Так, например, в апреле исследователи безопасности предупредил, что киберпреступники стали чаще использовать ПО для удаленного доступа Action1 в целях сохранения постоянства в скомпрометированных сетях и выполнения команд, сценариев и двоичных файлов.

Если злоумышленник сможет угадать пароль электронной почты администратора или получить его в результате фишинговой атаки, он сможет сбросить пароль для консоли развертывания программного обеспечения — по крайней мере, если многофакторная аутентификация (Multi-Factor Authentication, MFA) не включена. Получив доступ, киберпреступник может распространять собственное вредоносное ПО тем же способом.

В этом случае злоумышленник может не только злоупотребить эффективными способами контроля программного обеспечения для компрометации всех клиентов MSP, но и использовать те же методы для отключения инструментов безопасности и мониторинга или для удаления резервных копий.

Заключение

В эпоху цифровой трансформации кибербезопасность становится неотъемлемой частью нашей повседневной жизни. Несмотря на технологический прогресс и усовершенствованные методы защиты, человеческий фактор остается наиболее уязвимым элементом в цепи безопасности. От простых фишинговых атак до сложных стратегий со стороны групп APT, угрозы кибербезопасности постоянно эволюционируют, требуя от нас бдительности и постоянного обучения.

Осознание рисков, обучение и применение многоуровневых методов защиты — ключевые элементы в борьбе с киберпреступностью. В то время как технологии продолжают развиваться, наша ответственность как пользователей — быть информированными и готовыми к защите наших цифровых активов. На кону стоит не только личная информация, но и стабильность и безопасность глобального цифрового сообщества.