Jak to się dzieje, że ataki ransomware są takie skuteczne?

O tym wiele już napisano i można pisać w nieskończoność, ale zawsze warto przypominać. W dzisiejszym artykule przeanalizujemy jak przebiega taki atak w początkowej fazie. 

Większość incydentów rozpoczyna się od socjotechniki, tutaj najsłabszym ogniwem są ludzie. Taki atak może mieć różne oblicza – najczęściej jest to email zwierający odpowiednio spreparowaną wiadomość, ale także pamięci USB podrzuconej na biurko, znalezionej przy samochodzie czy też informacji SMS. Ludzie są podatni na tego typu ataki, zwłaszcza, jeżeli nie mieli nigdy z takimi działaniami do czynienia, nie wspominając już o odpowiednich szkoleniach. Oczywiście ważne są systemy ograniczające możliwości ataku, między innymi dobre filtry pocztowe, ale zawsze to człowiek, a raczej jego słabości są celem. 

Kolejny istotny element to sprawne zarządzanie podatnościami. Tutaj podobnie, często błąd ludzki lub opóźnienia w łataniu dziur podanego systemu stwarza możliwość ataku. Przykładem są niedawne ataki na Exchange wykorzystujące ujawnione wcześniej podatności PowerShell, na które przecież była opublikowana łatka. W tym przypadku także warto wspomagać się rozwiązaniami automatyzującymi zarządzanie podatnościami, ale w niewielkich organizacjach wystarczy sprawny zespół. Sprawne łatanie systemów to podstawa. Bez tego rozwiązania takie jak poczta, serwery WWW, aplikacje internetowe są często wystawione na ataki jakby miały włączony rażący neon „zapraszamy, otwarte”

Jeżeli już dojdzie do przełamania zabezpieczeń i atakujący skutecznie zdobędzie dostęp do systemu to nadal mamy możliwości przerwania ataku lub ograniczenia jego skutków. Potrzebna jest do tego dobrze zaprojektowana architektura sieci. Odpowiednia segmentacja sieci wraz z kontrolą ruchu pomiędzy poszczególnymi segmentami znacznie uniemożliwi propagację ataku. Firewalle, które dokonują inspekcji ruchu nie tylko na styku z Internetem, ale także wewnątrz sieci pomiędzy poszczególnymi segmentami to niezbędny element dzisiejszej infrastruktury. Odpowiednia izolacja portów w przypadku krytycznych urządzeń także ograniczy możliwości atakującego. Podkreślam jeszcze raz, NGFW to nie brama do Internetu, to system dokonujący inspekcji ruchu i powinien tej inspekcji dokonywać także wewnątrz sieci firmowej. 

Należy pamiętać, że rozwiązania, z których korzystamy na co dzień to wbrew pozorom nie samograje, nawet jeżeli działają w miarę bezobsługowo, to należy w trybie ciągłym monitorować pojawiające się zdarzenia i logi. Pozwoli to często odpowiednio wcześnie wykryć podejrzaną aktywność, dzięki czemu zyskamy szansę na skutecznie odparcie ataku. Dzisiaj dużą rolę pełni automatyzacja procesów bezpieczeństwa, odpowiednio skonfigurowane rozwiązania pozwalają na natychmiastową reakcję na zdarzenia, dzięki czemu jesteśmy w stanie kluczowe zasoby chronić bardziej skutecznie. 

Za tymi wszystkimi rozwiązaniami stoją ludzie. Najdroższe systemy, źle wdrożone i niepoprawnie eksploatowane, bez odpowiednio zaprojektowanej architektury w niczym nam nie pomogą. Tak samo jak zły kierowca nie wygra wyścigu, chociaż ma świetny samochód do dyspozycji. Dlatego należy zadbać o każdy z tych elementów: architekturę, rozwiązania i ludzi. I wcale nie oznacza to inwestycji za miliony, a raczej dobrze przemyślany plan i konsekwencję w jego realizacji. System jest tak dobrze zabezpieczony jak jego najsłabszy element i o tym trzeba pamiętać. 

RG