Ce este suprafata de atac?
Suprafata de atac reprezinta numarul total de puncte de intrare in interiorul unui sistem (cod sursa, aplicatie, retea sau dispozitiv de utilizator) prin care o persoana poate sa castige acces neautorizat cu scopul de a provoca stricaciuni sau de a exfiltra informatii.
Pentru cele mai multe organizatii, suprafata de atac este masiva si complexa. Numarul mare de dispozitive conectate, aplicatii si servicii folosite in activitatile zilnice creaza multe puncte vulnerabile care pot fi exploatate in atacuri cibernetice. De asemenea, utilizatorii pot introduce “blind spot-uri” in securitatea companiei (shadow IT), pe care departamentul IT le descopera prea tarziu sau niciodata.
De aceea, monitorizarea continua a suprafetei de atac este absolut vitala pentru a identifica si pentru a bloca cat se poate de devreme eventualele amenintari. Reducerea suprafetei de atac trebuie sa fie un alt obiectiv de interes major pentru organizatii, insa acesta devine din ce in ce mai greu de indeplinit daca ne gandim la expansiunea digitala prin care trecem si la adoptia tehnologiilor emergente care pot introduce noi tipuri de vulnerabilitati.
Exista doua tipuri de suprafete de atac:
- suprafata de atac digitala – inglobeaza toate elementele hardware si software care se conecteaza la reteaua organizatiei, precum aplicatii, servicii, servere, porturi, site-uri web, ca si aplicatiile si dispozitivele folosite de utilizatorii pentru a sunta politicile de securitate ale organizatiei (shadow IT).
- suprafata de atac fizica – cuprinde toate dispozitivele care pot fi compromise de un atacator precum laptop, telefon mobil, wearables, hard disk-uri externe si stick-uri USB, dar si securitatea fizica a organizatiei – turnicheti, cartele de acces, camere de supraveghere. Uneori tratam cu superficialitate modul in care alegem sa “scapam” de electronicele vechi. Atacatorii pot profita de pe urma acestui aspect si sa obtina acces la datele noastre personale, la informatii confidentiale sau la conturile noastre. Sau cartela noastra de acces pe premisele organizatiei este pierduta, si de frica unor repercusiuni nu anuntam acest lucru. In mod normal o cartela ratacita, trebuie dezactiva, pentru a nu permite unei persoane straine accesul fizic in organizatie.
Ce este managmentul suprafetei de atac?
Managementul suprafetei de atac se refera la monitorizarea continua si proactiva a bunurilor organizatiei (oameni, date, dispozitive) in vederea contracararii pericolelor informatice.
Pentru a raspunde eficient in fata unei amenintari, suprafata de atac trebuie mai intai definita, inventariata si localizata. Organizatia trebuie sa identifice potentialele vulnerabiltati prin executarea unui audit de securitate care sa evidentieze lucruri precum:
- parole slabe sau compromise
- servicii expuse direct in Internet
- cod sursa vulnerabil, de exemplu la atacuri de tipul RCE – Remote Code Execution
- protocoale de comunicare nesigura
- neimplementarea principiului de “least privilege”
Inventarierea suprafetei de atac va releva dispozitivele care se conecteaza la reteaua organizatiei:
- echipamente de retea: firewall-uri, routere, switch-uri, access point-uri, servere (fizice sau virtuale), imprimante, camere de supraveghere, sisteme de control al accesului si alte dispozitive IoT
- endpoint-urile utilizatorilor: laptop-uri, dispozitive mobile si wearables
Localizarea suprafetei de atac va determina pozitia “asset”-ului care trebuie monitorizat:
- on-premises: “asset-ul”: este localizat in interiorul perimetrului organizatiei unde dispune de cea mai buna securitate pe care organizatia o poate oferi – firewall, IPS, criptare, segmentarea retelei, DMZ, IPsec, etc
- off-premises: asset-ul” este localizat in afara perimetrului organizatiei unde nu poate benefica de acelasi nivel de securitate. Este greu de monitorizat proactiv un astfel de asset si este si mai greu de protejat. In contextul actual, utilizatorii si dispozitivele lor sunt mai susceptibile atacurilor cibernetice din cauza muncii remote.
Cum se poate reduce suprafata de atac?
Infrastructura de date si comunicatii a unei organizatii creste in dimensiune si complexitate in fiecare zi. Hackerii nu trebuie decat sa aiba suficienta rabdare ca sa identifice o vulnerabilitate exploatabila. Mai jos sunt 5 actiuni pe care specialistii Dendrio va sfatuiesc sa le luati pentru a minimiza suprafata de atac.
1. Instruirea angajatilor. Omul este de regula veriga cea mai slaba din lantul unui atac cibernetic. Educarea angajatilor cu privire la amenintari frecvent intalnite reduce riscul ca acestia sa “pice” victime ale unor atacuri de securitate. Incurajarea practicarii si recompensarea unei bune igiene cibernetice va rezulta intr-un mediu mai sigur in care angajatii sa isi desfasoare activitatea. Desfasurati programe de Cyber Security Awareness prin care angajatii sa se antreneze permanent si sa fie provocati intr-un mediu sigur sa isi imbunatateasca abilitatile de evitare a materialelor malitioase.
2. Segmentarea retelei este unul din cele mai fundamentale lucruri care se pot face pentru a reduce riscul asociat cu un atac de securitate. Segmentarea retelei dupa tip de dispozitiv, rol functionale, tip de trafic sau aplicatii micsoreaza considerabil aria in care un malware se poate propaga. Segmentarea se poate face cu ajutorul unui router/firewall sau a tehnologiilor de microsegmentare specifice unei retele de tip SDN.
3. Scanarea periodica pentru vulnerabilitati. Audituri de securitate de tipul “pen testing” pot fi facute cu regularitate pentru a gasi posibilele vulnerabilitati inainte ca acestea sa fie exploatate. Scenarii de tipul red team / blue team pot fi de asemenea executate pentru a testa eficienta mecanismelor de securitate implementate de organizatie.
4. Implementarea unei politici de tipul “Zero Trust”. O vorba inteleapta spune “trust nothing, verify everything”. Inainte de a acorda nivelul de acces cerut de o aplicatie, o persoana sau un dispozitiv reteaua verifica identitatea si nivelul de privilegii corespunzator entitatii respective. Daca totul este ok, accesul este acordat. In caz contrar, accesul este refuzat si o alarma este generata. Astfel, doar entitatile corect identificate si autorizate pot accesa reteaua.
5. Aplicarea patch-urilor de securitate si de sistem de indata ce acestea sunt facute disponibile de catre producator. Organizatiile tind sa amane momentul aplicarii patch-ului, pentru ca mai intai doreste testarea interoperabilitatii sale cu restul de sisteme. Desi acest lucru asigura functionarea armonioasa a retelei, mareste si fereastra de timp in care o vulnerabilitate poate fi exploatata.
Inginerii Dendrio va pot ajuta cu evaluarea suprafetei de atac si apoi cu o serie de recomandari si produse de securitate in urma carora riscurile cibernetice sa fie micsorate.
Mihai Dumitrascu, Sr Systems Engineer
