In acest al treilea articol dedicat atacurilor de securitate cibernetica vom discuta despre:
- amenintari din interior – insider threat
- man in the middle
- atacuri care vizeaza parolele utilizatorilor
- phishing
- ransomware
Insider threat – acest tip de amenintare este deosebit de periculoasa intrucat persoana care conduce atacul este un angajat din interiorul companiei care are deja acces la retea, aplicatii, fisiere si alte resurse de-ale organizatiei, poate si acces privilegiat la anumite sisteme si servere. Atacurile care pot fi lansate variaza de la exfiltrare de informatii confidentiale, stergerea backup-urilor pana la distrugerea fizica a echipamentelor de retea. Atacul poate fi unul executat cu buna stiinta de un angajat care este nemultumit ca nu a primit promovarea promisa sau pentru ca este lasat sa plece. La fel de bine, atacul poate fi executat de un angajat in mod inconstient cand acesta introduce in laptop un stick USB lasat de un hacker “binevoitor” printr-o parcare sau printr-un mall (USB drop attack). Cea mai buna metoda de protectie in fata acestui tip de atac este implementarea principiului de privilegiu minim: o persoana va avea doar atatea drepturi de acces cat sunt necesare ca sa isi desfasoare activitatea de zi cu zi. Iar pentru trasabilitate trebuie implementata o solutie de RBAC (Role Based Access Control) si o autentificare pe baza de username si parole intr-un framework de AAA (Authentication ,Authorization, Accounting).
Man in the middle – in acest tip de atac, hackerul reuseste sa se interpuna intre doua persoane, calculatoare sau retele cu scopul de a intercepta traficul transmis si receptionat de acestea. In esenta, atacatorul trage cu urechea la comunicarea dintre cele doua capete ale conversatiei, adica face eavesdropping. Eavesdropping-ul poate fi pasiv, cand atacatorul doar captureaza traficul si il citeste folosind un analizor de pachete de retea sau activ, cand atacatorul modifica mesajele schimbate intre cele doua capete folosind unele specifice de generare a traficului. Cea mai buna metoda de protectie impotriva acestui atac este folosirea criptarii in procesul de comunicare: protocoale securizate ca WPA2, MACSEC, HTTPS, IPsec sau SSL.
Password attack – parolele sunt principala forma de verificare folosita de catre cei mai multi dintre noi pentru accesul la anumite servicii, de aceea sunt o tinta predilecta pentru atacatori. Acestia reusesc sa obtina aceste credentiale prin mai multe metode: inginerie sociala, atacuri de tip brute force, atacuri de tip dictionar, utilizarea unor liste de parole deja compromise si disponibile de pe Internet. Folosirea aceleiasi parole la accesarea mai multor site-uri (password reuse) creste riscul de compromitere si gradul de expunere al utilizatorului. De aceea o foarte buna metoda de protectie este implementarea unui factor secundar de autentificare prin folosirea unei aplicatii sau a unui token hardware (de obicei un stick USB). O alta metoda de protectie este blocarea contului la un anumit numar de incercari nereusite de conectare. Folosirea parolelor complexe si schimbarea desa a acestora pot fi si ele importante in securizarea accesului.
Phishing – un atac de phishing are loc atunci cand hackerul trimite mesaje email care par ca vin de la o sursa legitima si de incredere cu scopul de a culege informatii despre victima. Cel mai adesea, atacatorii folosesc tehnici de inginerie sociala in construirea emailului pentru a convinge oamenii sa acceseze un link inclus in email care ii trimite pe un site de unde se vor infecta cu virusi sau unde vor completa formulare cu informatiile lor personale. La fel de bine, emailul poate contine fisiere atasate care contin cod malitios ce se va executa la download-are. Cea mai buna metoda de protectie este vigilenta angajatului cu privire la emailurile primite care trebuie antrenata constant. Angajatii trebuie sa participe periodic la traininguri de securitate cibernetica si sa exercite reticenta daca primesc mailuri de genul “Felicitari! Ai castigat 1000000 EURO! Da click aici pentru a-ti revendica premiul!”. Implementarea unor solutii de filtrare a emailurilor ajuta la verificarea URL-urilor si a atasamentelor incluse in mesaje si impiedica emailurile malitioase sa ajunga la utilizatori.
Ransomware – acest tip de atac reuseste sa captureze datele de pe dispozitivul utilizatorului si sa le tina ostatice pana cand acesta plateste o rascumpare, exprimata de obicei ca o suma de bani intr-o criptomoneda. Ransomware-ul a devenit una dintre cele mai profitabile surse de venit pentru hackeri, iar folosirea criptomonedelor ii ajuta la pastrarea anonimatului. Platformele de Ransomware as a Service (RaaS) fac disponibil acest tip de malware oricui este dispus sa foloseasca acest tip de atac, ceea ce inseamna ca vom vedea din ce in ce mai multe astfel de atacuri. Ransomware-ul este cel mai adeasea distribuit prin email-uri ce contin atasamente malitoase sau prin download la vizitarea unor site-uri infectate de catre hackeri. Instalarea unui software de antivirus este una dintre cele mai bune metode de protectie in fata ransomware-ului. Folosirea unui firewall de tip NGFW care face o scanare amanuntita a pachetelor de date reprezinta un alt nivel de protectie. Nu in ultimul rand, instalarea celor mai recente update-uri si patch-uri pentru sistemul de operare poate elimina acele vulnerabilitati care pot fi exploatate de atacatori pentru a lansa ransomware-ul.
Mihai Dumitrascu, Sr Systems Engineer