Ransomware: Pět metod počátečního přístupu

Zpět na blog

Většina bezpečnostních týmů se shodne na tom, že hluboké pochopení způsobů, jakými útočníci získávají počáteční přístup, je nejdůležitějším faktorem při vytváření účinné strategie kybernetické bezpečnosti vedoucí k zastavení ransomwarových útoků. Podle federálního výzkumu americké Agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) útočníci pronikají do sítí obětí pomocí pěti hlavních metod:

Zneužití veřejně přístupných aplikací

Aplikace zaměřené na veřejnost (nebo na internet) jsou snadno dostupné statisícům uživatelů po celém světě. Při zneužívání takových aplikací se útočníci obvykle zaměřují na slabá místa v systému, jako jsou chyby, závady nebo neopravené nedostatky. Jedním z nejčastějších vektorů používaných útočníky je SQL injection, technika, při níž je do zranitelných webových aplikací vložen škodlivý kód. Téměř polovina webových aplikací je zranitelná alespoň jednou zneužitelnou chybou a právě  toho kyberútočníci umějí rychle využít.

Hackování externích vzdálených služeb

Software pro vzdálené služby používají týmy IT k monitorování, přístupu nebo opravám systémů na dálku. Například virtuální privátní sítě (VPN) se používají k přístupu k podnikovým zdrojům z místa třetí strany a protokol vzdálené plochy (RDP) umožňuje vzdálený přístup ke stolním počítačům. Pokud útočníci nějakým způsobem získají přístup k platným pověřením k těmto vzdáleným službám, mohou snadno napáchat škody. Vzhledem k tomu, že pověření jsou nezbytnou podmínkou, útočníci obvykle využívají phishingové útoky ke krádeži pověření nebo si pomáhají brute-force útoky. Pověření mohou také zakoupit na dark webu nebo u zprostředkovatelů počátečního přístupu (IAB). RDP je jednou ze dvou hlavních metod útoku (druhou je phishing), které kyberzločinci používají při provádění ransomwarových útoků.

Phishing

Phishing je pravděpodobně nejstarší, nejoblíbenější a nejúčinnější způsob získání počátečního přístupu. Podle zprávy společnosti Verizon Data Breach Investigation Report (DBIR) z roku 2022 má více než 60 % všech narušení na svědomí phishing. Útočníci používají různé metody, aby se vydávali za důvěryhodné zdroje a přesvědčili oběť k dokončení akce, která obvykle zahrnuje otevření přílohy, kliknutí na adresu URL v textu nebo e-mailu, instalaci aplikace atd. Jakmile oběť navštíví falešnou webovou stránku nebo otevře přílohu, útočník může ukrást přihlašovací údaje nebo nainstalovat škodlivý software.

Využití důvěryhodných vztahů

Útočníci vědí, že velké podniky mají zavedeny sofistikované bezpečnostní kontroly. Proto se rádi zaměřují na partnery třetích stran, vztahy v dodavatelském řetězci, koncové uživatele nebo organizace, které mají přímý přístup k zamýšleným obětem, jako jsou poskytovatelé spravovaných služeb, dodavatelé softwaru a další. Organizace často udělují privilegovaný přístup těmto dodavatelům třetích stran, aby jim umožnily spravovat jejich infrastrukturu a cloudová prostředí. A toho útočníci dokážou využít.

Kompromitace platných účtů

Kompromitované přihlašovací údaje a podvody s identitou jsou nejlepším způsobem, jak obejít formální bezpečnostní kontroly a postupy. Kompromitované pověření může také protivníkovi udělit zvýšená oprávnění k přístupu do kritických systémů nebo omezených oblastí sítě. Protivníci se mohou rozhodnout použít nástroje malwaru v kombinaci s přístupovými údaji, aby se udrželi v síti, spouštěli systémové procesy nebo se zmocnili klíčových služeb. V roce 2021 bylo odcizeno téměř šest miliard přístupových údajů.

Jak se mohou organizace chránit

Přestože neexistuje univerzální přístup ke kybernetické bezpečnosti, existují společné osvědčené postupy, které mohou organizace zohlednit při navrhování strategie kybernetické bezpečnosti:

– Prioritizace hrozeb: Rizika kybernetické bezpečnosti se navzájem liší. Sociální inženýrství, nezáplatovaný software a kompromitované přihlašovací údaje mají na svědomí mnohem větší podíl kybernetických útoků než jiné způsoby prvotního přístupu. Vzhledem k tomu, že některé metody jsou mnohem závažnější než jiné (např. phishing), je třeba jim věnovat zvýšenou pozornost.

– Školení zaměstnanců a rozšířeného ekosystému: Za většinu kybernetických bezpečnostních incidentů je zodpovědná lidská chyba (špatná pověření, nebezpečné chování na internetu, špatně nakonfigurované bezpečnostní kontroly, otevřené porty, nedostatečné aktualizace softwaru atd. Školte zaměstnance a rozšířený ekosystém (obchodní partneři, dodavatelé, dodavatelé), aby dodržovali správné zásady kybernetické bezpečnosti, nastavené postupy a hlásili vše podezřelé.

– Zero trust přístup: Technologie zero trust omezuje přístup zaměstnanců a zařízení k síti, datům a zdrojům. Tím se výrazně zmenšuje plocha útoku a rozsah škod, které může útok způsobit. Implementujte řízení přístupu na základě rolí a správu privilegovaného přístupu a zajistěte, aby byl přístup k datům a službám přizpůsoben každému uživateli. Používejte vícefaktorovou autentizaci (MFA) odolnou proti phishingu, protože může poskytnout další vrstvu zabezpečení a ochránit přihlašovací údaje před zneužitím v případě jejich narušení nebo odcizení.

– Zkontrolujte a zpřísněte přístup: Zkontrolujte a vylaďte způsob, jakým se uživatelé připojují k síti a cloudovým službám. Zvláštní důraz klaďte na VPN a RDP, protože jsou extrémně zranitelné vůči útokům.

– Proaktivně monitorujte povrch hrozeb: Implementujte bezpečnostní řešení, jako jsou systémy detekce a odezvy na koncové body (EDR) a systémy detekce narušení, které upozorňují na škodlivé aktivity. Provádějte pravidelné penetrační testy a skenování zranitelností, abyste zjistili potenciální slabiny. Pravidelně kontrolujte konfigurace zabezpečení a přístupová oprávnění, zejména u kritické infrastruktury a zdrojů. Implementujte správu protokolů a sledujte upozornění na podezřelé aktivity.

Ransomware není tím hlavním problémem, ale je jeho přímým důsledkem. Jak se ransomware dostal dovnitř – to je to, co je zapotřebí skutečně řešit. Organizace se musejí v první řadě zaměřit na základní problémy počátečního přístupu, teprve potom se skutečně vydají na cestu ke kybernetické odolnosti.

Zdroj: Securityboulevard.com

19. 7. 2022