În timpul pandemiei, suprafaţa de atac informatic a crescut, probabil, mai amplu şi mai rapid decât în orice moment din trecut, atrăgând după sine probleme specifice. Din păcate, organizaţiilor le este tot mai dificil să îşi definească precis adevărata dimensiune şi complexitate a suprafeţei lor de atac, lăsându-şi activele digitale şi fizice expuse actorilor malware specializaţi în crearea de atacuri persistente.

Din fericire, prin implementarea unor bune practici, organizaţiile îşi pot îmbunătăţi vizibilitatea asupra suprafeţei de atac şi, odată cu aceasta, pot obţine o mai bună înţelegere a ceea ce este necesar pentru a o minimiza şi a o securiza cât mai bine.

Care este suprafaţa de atac a unei companii?

La nivel de bază, suprafaţa atacului poate fi definită sub forma activelor fizice şi digitale pe care o organizaţie le deţine, care ar putea fi compromise pentru a facilita un atac cibernetic. Scopul final al actorilor malware ar putea fi oricare, de la implementarea ransomware-ului şi furtul de date, până la recrutarea sistemelor într-un botnet, descărcarea troienilor bancari sau instalarea malware-ului pentru minarea de cripto-monede. Concluzia este: cu cât suprafaţa de atac este mai mare, cu atât ţinta pe care o iau în calcul atacatorii este mai amplă şi cu mai multe vulnerabilităţi care pot fi exploatate.

Să aruncăm o privire detaliată asupra a două categorii principale ale suprafeţei de atac:

Suprafaţa de atac digitală

Aceasta subsumează toate componentele hardware, software şi componentele conexe conectate la reţeaua unei organizaţii. Printre acestea se numără:

Aplicaţii: vulnerabilităţile din aplicaţii sunt un fapt curent şi ele pot oferi atacatorilor un punct de intrare util în sistemele şi datele IT critice.

Codul software: un risc major acum este reprezentat de faptul că o mare parte din acesta este compilat din componente terţe, care pot conţine malware sau vulnerabilităţi.

Porturi: atacatorii scanează porturile deschise şi verifică dacă serviciile ascultă pe un anumit port (de exemplu, portul TCP 3389 pentru RDP). Dacă aceste servicii nu sunt configurate corespunzător sau conţin erori, vulnerabilităţile de la acest nivel pot fi imediat exploatate.

Servere: acestea ar putea fi atacate prin exploatări de vulnerabilităţi sau inundate de trafic în atacuri DDoS.

Site-uri web: o altă parte a suprafeţei de atac digital, cu mulţi vectori de atac specifici, inclusiv vulnerabilităţi la nivel de cod şi configurări greşite. Lacunele enumerate conduc la riscul eliminării frauduloase a paginii web sau la implantarea unui cod rău intenţionat pentru drive-by şi alte atacuri (de exemplu, formjacking - integrarea de cod maliţios pentru extragerea frauduloasă a datelor de plată introduse în formularele online de cumpărare din magazinele online).

Certificate: organizaţiile le lasă frecvent să expire, permiţându-le atacatorilor să profite de acest lucru.

Aceasta este departe de a fi o listă care să epuizeze toate zonele de risc. Pentru a evidenţia amploarea suprafeţei digitale de atac, luaţi în considerare această cercetare din 2020 făcută asupra companiilor aflate pe lista Financial Times Stock Exchange Index 30, din care s-au constatat următoarele:

  • 324 certificate expirate
  • 25 de certificate care folosesc algoritmul de hash SHA-1 învechit
  • 743 posibile site-uri aflate în stadiu de testare, expuse în internet
  • 385 de formulare nesigure din care 28 au fost utilizate pentru autentificare
  • 46 de framework-uri web care prezentau vulnerabilităţi cunoscute
  • 80 de cazuri de utilizare a versiunii vechi PHP 5.x
  • 664 versiuni de server web cu vulnerabilităţi cunoscute
 

Suprafaţa fizică de atac

Aceasta cuprinde toate dispozitivele endpoint pe care un atacator le-ar putea accesa „fizic”, precum: calculatoare desktop, hard disk-uri, laptopuri, telefoane/dispozitive mobile, memorii USB.

Putem vedea, de asemenea, dintr-o anumită perspectivă, angajaţii dvs. ca fiind o parte importantă a suprafeţei fizice de atac a organizaţiei, deoarece aceştia pot fi manipulaţi prin inginerie socială (phishing şi variantele sale) în cursul unui atac cibernetic. Mai mult decât atât, aceştia sunt responsabili de activităţile denumite generic „shadow IT”, care presupun utilizarea neautorizată de aplicaţii şi dispozitive, care ocolesc filtrele de securitate ale companiei. Prin folosirea acestor instrumente neaprobate - şi adesea securizate necorespunzător, acestea ar putea expune organizaţia la ameninţări suplimentare.

Devine suprafaţa de atac din ce în ce mai mare?

Organizaţiile îşi construiesc resursele informatice şi digitale de mulţi ani. Dar de la apariţia pandemiei s-au înregistrat investiţii la scară masivă, pentru a sprijini munca la distanţă şi a menţine funcţionale operaţiunile comerciale într-un moment de incertitudine extremă a pieţei. Această stare a extins, de fapt, suprafaţa de atac prin:

  • Endpoint-urile folosite în munca de la distanţă (de exemplu, laptopuri, desktopuri)
  • Aplicaţiile şi infrastructura de tip cloud
  • Dispozitivele IoT şi 5G
  • Utilizarea codului terţ şi a DevOps
  • Infrastructura de lucru la distanţă (VPN-uri, RDP etc.)
 

Nu pare să mai existe o cale de întoarcere. Potrivit experţilor, multe companii au fost acum împinse dincolo de un „prag” de utilizare a fluxurilor de lucru digitale care le va schimba operaţiunile pentru totdeauna. Este o veste potenţial proastă din perspectiva suprafeţei de atac, pentru că ar putea conduce la:

  • Atacuri de phishing care vor căuta noi căi prin care să exploateze lipsa de conştientizare a securităţii în rândul angajaţilor
  • Programe malware şi vulnerabilităţi noi care să vizeze serverele, aplicaţiile şi restul sistemelor
  • Parole furate sau atacuri brute pentru realizarea de conectări frauduloase
  • Exploatarea configurărilor greşite (de exemplu, în conturile cloud)
  • Certificate web furate
  • şi multe altele
 

De fapt, există sute de vectori de atac în joc pentru actorii malware specializaţi în crearea de atacuri persistente, dintre care unii sunt extrem de populari. ESET a găsit 71 de miliarde de încercări de compromitere via RDP configurat greşit, între ianuarie 2020 şi iunie 2021.

Cum să abordaţi corect riscurile specifice suprafeţei de atac

Suprafaţa de atac are o importanţă fundamentală pentru a pune în practică cele mai bune metode de securitate cibernetică, pentru că înţelegerea dimensiunii sale şi adoptarea de măsuri pentru reducerea sau gestionarea acesteia sunt primii paşi către o protecţie proactivă. Iată câteva sfaturi:

În primul rând, înţelegeţi dimensiunea suprafeţei de atac prin audituri ale activelor şi ale stocării, prin teste de penetrare, scanări ale vulnerabilităţii şi prin restul activităţilor similare.

Reduceţi dimensiunea suprafeţei de atac şi a riscului cibernetic asociat, acolo unde puteţi, prin:

  • Aplicarea de patch-uri, corecţii şi configurări specifice de management de risc
  • Consolidarea endpoint-urilor şi renunţarea la hardware-ul vechi
  • Actualizarea software-ului şi a sistemelor de operare
  • Segmentarea reţelelor
  • Folosirea celor mai bune practici DevSecOps
  • Gestionarea vulnerabilităţilor
  • Reducerea riscului din lanţul de aprovizionare
  • Implementarea de măsuri de securitate a datelor (de exemplu, criptare puternică)
  • Managementul puternic al verificării identităţii/accesului
  • Adoptarea unui model de securitate zero trust
  • Înregistrarea şi monitorizarea prin log-uri a sistemelor
  • Implementarea de programe de instruire care să sporească conştientizarea riscurilor
 

Mediul IT corporativ este într-o stare constantă de flux - datorită utilizării pe scară largă a VM-urilor, containerelor şi micro serviciilor, precum şi a sosirii şi plecării continue a angajaţilor şi a traficului permanent de hardware şi software. Asta înseamnă că orice încercare de gestionare şi înţelegere a suprafeţei de atac trebuie întreprinsă cu instrumente agile şi inteligente care funcţionează pe baza datelor, în timp real. Ca întotdeauna, „vizibilitatea şi controlul” ar trebui să fie prioritatea dvs. numărul unu.

ESET deţine în portofoliul său soluţii antivirus şi antimalware, cu protecţie multi-strat, care pot depista din timp atacurile ransomware, astfel încât să nu afecteze resursele şi reputaţia companiei. ESET PROTECT Advanced este o soluţie concepută în jurul nevoilor IMM-urilor, ce oferă prin layer-ul ESET Dynamic Threat Defense, protecţie de tip cloud-sandbox pentru sisteme împotriva ransomware-ului şi ameninţărilor de tip zero-day, precum şi protecţie dedicată pentru datele stocate pe laptopuri, în caz de furt şi pierdere, prin criptare completă a hard disk-urilor. Produsul răspunde, aşadar, provocării de a gestiona şi proteja reţelele IT business în faţa ameninţărilor cibernetice în continuă evoluţie.

Soluţia poate fi testată gratuit de către orice companie, fără nicio obligaţie ulterioară. Pentru mai multe detalii despre aceasta şi descărcarea unei variante de test, daţi click aici.