Veľké firmy v zahraničí a na Slovensku označili v prieskume spoločnosti ESET cielené útoky a hacking ako jednu z najväčších bezpečnostných výziev. Ide o špecifické typy útokov zameraných na biznis danej organizácie. Útočníkom sa darí firmy infikovať väčšinou použitím spear phishingu, teda cieleným sociálnym inžinierstvom, prípadne sofistikovanejšími technikami, napríklad využitím zraniteľností, na ktoré však v mnohých prípadoch už bola vydaná záplata, no firmy ju nepoužili.
Na druhej strane sa však nejedná o útoky najvyššej sofistikovanosti, akým bol napríklad škodlivý kód Stuxnet, ktorému sa úspešne podarilo pozastaviť program obohacovania uránu v Iráne. Podľa médií išlo o štátom sponzorovaný kybernetický útok.
Firmy sú pri cielených útokoch zaujímavým terčom z viacerých dôvodov. Na účtoch majú viac zdrojov, než bežný človek a zároveň majú množstvo zaujímavých údajov, ktoré sa dajú speňažiť. Cielené útoky na firmy sa môžu veľakrát používať ako forma konkurenčného boja. Najčastejšie ide o data hunting, teda o získanie zaujímavých informácií alebo intelektuálneho vlastníctva. Niekedy to môže byť spojené aj s vydieraním. Napríklad firme ukradnú databázu zákazníkov a ozvú sa jej s otázkou, čo by s tým chcela spraviť.
Konkurenčný boj
Organizácie majú veľakrát problém priznať sa k tomu, že sa cieľom takýchto útokov stali. V ostatných firmách to preto môže vyvolávať mylný dojem, že takéto útoky sú len občasnou záležitosťou. Medzi klasické príklady cielených útokov v minulosti patrili napríklad DDoS útoky, kedy si jedna firma zaplatila útok na webstránku inej firmy, čím na seba presmerovala zákazníkov. Ide o tvrdý biznis a útočníci si vedia veľmi dobre vyrátať, na koho sa im oplatí zacieliť najlepšie a aký nástroj na to využiť. Takto sa napríklad častým cieľom stal britský zdravotný systém, ktorý bežne čelí ransomware útokom.
Digitalizácia zdravotníctva je na takej úrovni, že zašifrované zdravotné dáta môžu viesť k pozastaveniu zákrokov a operácií a napadnuté organizácie sú tak náchylnejšie pod tlakom zaplatiť výkupné za „unesené“ dáta pacientov. Na Slovensku je napríklad časté, že útočníci sa spear phishingom zamerajú na účtovné alebo finančné oddelenia firmy, kam v mene riaditeľa zašlú e-mail alebo SMS správu, kde zamestnancov urgujú, aby zaplatili faktúru inej nastrčenej firme. Takto vylákanú sumu potom z účtu nastrčenej firmy vyberie biely kôň.
V poslednom období však útočníci zamerali svoje zdroje na ťažbu rôznych kryptomien. Cielený útok použili napríklad na infekciu StatCountera. Je to špeciálny skript, ktorý si firmy alebo jednotlivci umiestnia na svoju webstránku a vďaka nemu získavajú údaje o návštevníkoch webu. Ide o službu podobnú Google Analytics. Útočníci úspešne infikovali StatCounter tak, že používatelia po otvorení webu, ktorý obsahoval tento infikovaný skript, začali na svojom počítači bez svojho vedomia ťažiť pre útočníkov Bitcoiny. V druhej fáze útočníci Bitcoiny z infikovaného zariadenia priamo kradli. StatCounter pritom používa viac ako dva milióny webstránok.
Vyšetrovanie môže trvať niekoľko mesiacov
Pre firmu takýto útok znamená, že má plne vyťažené infikované zariadenia. Nemusí pritom ísť len o počítače, ale aj o mobilné zariadenia a obzvlášť o servery. Tie sa tak rýchlejšie opotrebovávajú a firme tiež rastie účet za elektrickú energiu. Nehovoriac o tom, že jeden škodlivý kód dokáže do zariadenia sťahovať ďalšie škodlivé kódy s úplne inou funkciou.
Keď sa veľká firma stane obeťou takéhoto útoku, prichádza komplikovaná časť zisťovania toho, čo sa vlastne stalo a ako sa teda infikovala. Prieskumy hovoria o tom, že firmám trvá 150-200 dní len samotné zistenie toho, že je infikovaná. Samotné vyšetrovanie toho, ako sa firma infikovala a kam všade sa škodlivý kód dostal, môže trvať ešte dlhšie.
Hľadanie ihly v kope sena
Pri týchto fázach vie firmám pomôcť ESET Enterprise Inspector. Toto riešenie v širšom kontexte a dlhodobom časovom horizonte vyhodnocuje všetko, čo vidí bezpečnostné riešenie ESET Endpoint Security nainštalované na firemných počítačoch. Je to nástroj na retrospektívnu forenznú analýzu. Firme ukáže, čo bolo spúšťačom a začiatkom prípadnej infekcie.
ESET vidí veľký dopyt po bezpečnostných produktoch, ktoré sa venujú detekcii anomálií. A to sa netýka len anomálií v správaní sa aplikácií, siete ale aj ľudí. Potom už musia bezpečnostní expert z týchto informácií posúdiť, či ide o niečo, čo sa má diať alebo nie. Takéto cielené útoky sú častokrát veľmi sofistikované. „Prinesú vám najskôr malého messengera, ktorý sa objaví v sieti. Dlhé obdobie môže byť nečinný a potom zrazu jeho interné hodiny povedia, že teraz je ten správny čas, kedy sa spojiť so svojim kontrolným serverom,“ vysvetľuje Michal Jankech, hlavný produktový manažér spoločnosti ESET dôvody, prečo je také komplikované zistiť čo infekciu firmy spôsobilo.
Odborné články priamo do vašej e-mailovej schránky
Odoberať
Organizácia môže vďaka špeciálnemu softvéru identifikovať, že sa jej v sieti objavil neznámy spustiteľný súbor, ktorého nikto nemá a že volá na server v krajine, v ktorej firma nemá žiadne obchodné väzby. „Je veľmi prácne odfiltrovať ruch, ak si ho však nepozeráte, môže sa vám stať, že vám pretečie niečo pomedzi prsty. Každý zákazník teraz žiada lepší prehľad o sieti. Očakávajú, že žiadna prevencia nie je sto percentná a chcú sa pozrieť na to, čo by si ich pozornosť zasluhovalo,“ dodáva Jankech. Riešenie ESET Enterprise Inspector je súčasťou špeciálneho firemného balíka ochrany ESET Targeted Attack Protection, ktorý je priamo určený na ochranu organizácií pred cielenými útokmi a pretrvávajúcim hrozbám. Pre úplný prehľad o firemnej sieti je ochrana spravovaná z jedinej konzoly
Viac článkov k téme:
- Rozhovor s Michalom Jankechom: Nájsť dobrého IT bezpečáka je sci-fi
- Ransomware je pre firmy strašiakom číslo jeden
- Cielené útoky a hacking bývajú súčasťou konkurenčného boja firiem
- Päť operačných systémov vo firme? Zvládnuť sa to dá
- IT špecialistov je nedostatok, bezpečákov je však ešte menej
- Firmám chýba väčší prehľad o vlastnej sieti