Suntem pregatiti pentru un razboi cibernetic?

Nimeni nu este niciodata pregatit cu adevarat pentru un razboi, de orice fel ar fi acesta. Razboiul cibernetic este un tip de conflict “rece” intre doua sau mai multe state, relativ nou si nu foarte prezent in mentalul colectiv, insa undele de soc rezultate sunt resimtite de noi toti. De multe ori, acest tip de conflict nu poate fi concentrat asupra unei tinte precise si vor exista victime colaterale cum a fost cazul in 2019 pentru gargantuanul transportator naval Maersk si NotPetya.

Conflictul armat de langa noi este si un conflict in plan informatic, impactul acestuia fiind unul deosebit de important pentru ca poate inclina balanta in favoarea partii cu o ofensiva cibernetica mai puternica si defensiva cea mai rezistenta. Noi ceilalti nu putem decat sa facem tot ce ne sta in putinta pentru a ne proteja de atacurile cibernetice care sunt lansate de ambele tabere.

Indiferent ca atacurile cibernetice sunt executate de grupari finantate de guvernul unui stat sau de o grupare independenta obiectivele acestora pot fi restranse la furtul de informatii, compromiterea unei aplicatii sau a unui software sau inchiderea unui sistem sau a unei retele. Ne putem apara impotriva acestor atacuri implementand o securitate pe mai multe nivele in care fiecare componenta protejeaza o zona diferita din suprafata de atac la care suntem expusi si lucreaza impreuna cu restul de componente pentru a asigura o defensiva coerenta si corelata pentru protectia datelor si a dispozitivelor noastre. Din pacate, aceasta strategie necesita o pregatire temeinica pentru implementare, testare validare si optimizare.

Din fericire, avem la dispozitie doua masuri de securitate pe care le putem lua rapid si care nu necesita un design complex si multe ore de efort: filtrarea protocolului DNS si activarea autentificarilor de tip SSO si MFA.

Filtrarea DNS-ului este o masura de protectie fundamentala intrucat fiecare conexiune initiata de un dispozitiv din reteaua noastra catre o resursa din Internet incepe cu o cerere de DNS. In spatele unui URL primit pe email, pe sms sau pe chat-ul unei aplicatii de IM se poate afla o tentativa de phishing sau de infectare cu malware. Un serviciu de filtrare a protocolului DNS verifica numele acelei resurse cu o lista de destinatii cunoscute ca fiind malitioase si daca gaseste o potrivire va opri utilizatorul din a ajunge la acea destinatie. Configurarea unui astfel de serviciu este foate simpla, solutia fiind cloud-based si nefiind necesar hardware aditional. In prima faza, trebuie doar sa setam ca servere de DNS sau ca forwarder-e de DNS adresele oferite de furnizorul serviciului, de exemplu 208.67.222.222 si 208.67.220.220 pentru Cisco Umbrella sau 1.1.1.2 si 1.0.0.2 pentru Cloudflare. Chiar daca capabilitatile extinse de protectie si de customizare sunt disponibile doar prin achizitionarea unei subscriptii, nici varianta free nu este de lepadat – ea ofera protectie impotriva malware-ului cunoscut si impotriva unor atacuri precum campanii de phishing care vizeaza colectarea de informatii bancare sau confidentiale de la utilizatori.

Autentificarea SSO vine si elibereaza utilizatorul de chinul introducerii credentialelor de autentificare de fiecare data cand acceseaza o resursa sau un portal. Din punct de vedere tehnic SSO-ul se implementeaza cu ajutorul standardului SAML (Security Assertion Markup Language) care practic confirma identitatea unui utilizator aplicatiei pe care acesta doreste sa o foloseasca. De exemplu, utilizatorul poate folosi contul sau de Microsoft Azure AD pentru a accesa toate aplicatiile organizatiei fie ca acestea sunt on-prem sau in cloud. Autentificarea MFA necesita validarea utilizatorului cu un al doilea element de verificare, pe langa nume si parola, precum aprobarea unei notificari “push” sau un cod primit pe SMS. Aceste doua masuri de protectie impiedica hackerii sa castige acces la conturile utilizatorilor sau la aplicatii chiar daca acestia reusesc sa obtina credentialele corecte. Oriunde este posibil este puternic incurajata activarea MFA-ului. Dureaza doar cateva minute si beneficiile de securitate sunt imense, mai ales ca si aceste solutii sunt cloud-based si vin la pachet cu toate avantajele acestuia.

Chiar daca nu par ca ofera prea multe la prima vedere, aceste masuri de securitate pot stopa o gama variata de atacuri cibernetice (atabase leak, account compromise, phishing, malware download, ransomware, etc.) lansate prin vectori diversi (email, sms, IM messaging, inginerie sociala) si merita sa fie implementate. Better safe than sorry!

Mihai Dumitrascu, Sr Systems Engineer