Sigurnost rada na udaljeno: Ovo su najčešće prijetnje remote i hibridnog načina rada

Koronakriza uzrokovala je promjene u načinu života koje će se nastaviti dugo nakon izlaska iz pandemije. Uzmemo li u obzir sve aspekte tih promjena, ova kriza je posebno utjecala na to kako radimo. Remote je postao standard koji će mnogi poslodavci zadržati i nakon što se riješi ova kriza. Sve to je značajno utjecalo i na sigurnost organizacija. Korporacije, velike i male tvrtke, sve se one sada moraju nositi s novim izazovima u svome radu odnosno radu na udaljeno. Na žalost, rijetke su tvrtke koje imaju decidiran tim sigurnosnih stručnjaka koji može riješiti potencijalne probleme, na vrijeme.

S obzirom na spomenuto, ali i činjenicu da je u 2020. u Combisu uspostavljen možda najveći sigurnosni tim u Hrvatskoj, čiji sam dio, odlučili smo u suradnji s Netokracijom sastaviti iscrpan vodič kojim bi pomogli tvrtkama i svima koji se još krpaju da uspješno prođu ovu sigurnosnu prekretnicu.

U prvom vodiču serijala “Sigurnost rada na udaljeno” provest ću vas kroz prijetnje koje su se dodatno povećale u koronakrizi, a u nastavcima ćemo se konkretnije pozabaviti rješenjima tih problema, kao i preventivnim mjerama koje organizacija može napraviti kako bi povećala svoju sigurnost.

Prijetnje u doba korone

Kako kaže narodna poslovica “vrag nikada ne spava”, tako i u doba korone napadači ne spavaju, dapače, jako su aktivni te povećavaju obujam svojih napada što uzrokuje i povećanje uspješnih proboja, a što u konačnici donosi dodatne financijske gubitke u ovom teškom razdoblju.

1. Phishing napadi

„Prijava na cijepljenje od korone“, „Vaš Microsoft račun je zaključan“, „Reset VPN lozinke“ samo su neki od primjera naslova phishing poruka ili emailova.

Phishingom napadač uz pomoć lažiranog maila pokušava navući korisnika na otkrivanje osjetljivih podataka. Obilježja takvog napada su email koji izgleda identično kao i poruka koju redovito dobivate te će sadržavati nešto vama zanimljivo s ciljem da kliknete na tu poveznicu, ili otvorite privitak te poruke ili odgovorite na tu poruku. Krajnji cilj je da korisnik učini ono što je napadač naumio u toj poruci – otvaranje privitka kako bi se zarazilo malwareom ili davanje određenih podataka napadaču.

Najčešći primjeri phishinga su poruke koje izgledaju kao bankarski izvodi ili info poruke koje dobivate od banke, poruke dobivene od servisa koje koristite (npr. obavijest od Googlea u kojoj se traži da pošaljete svoju lozinku), izvještaj od mobilnih operatera i slično. Može se reći da je glavno obilježje phishing poruka da izgledaju kao i bilo koja legitimna poruka, samo su poslane od lažiranog pošiljatelja tj. napadača (unutar phishing poruka pod imenom pošiljatelja navode se legitimni pošiljatelji koje znate, često napadači koriste službene logotipe u poruci i slično).

Otkrivanje takvih poruka i emailova postaje sve kompleksnije, a u koronakrizi napadači su znatno pojačali već velik broj phishing napada prema korisnicima. Primjetno je da napadači iskorištavaju općenitu nervozu korisnika zbog situacije s pandemijom te njihovu neupućenost u to što je sigurno, a sve kako bi došli do njihovih osjetljivih podataka.

Jedan od aktualnih primjera iz 2020. je i znatno povećanje napada u kojemu se napadači predstavljaju kao zdravstvene organizacije te traže korisnike da im pošalju osobne podatke. Ovim napadima izloženi su svi pojedinci u tvrtkama te žrtve mogu biti svi od studenata do CEO-a. Također, u posljednje vrijeme dolazi do povećanja takozvanih CEO FRAUD napada, što predstavlja oblik napada u kojemu se napadač predstavlja kao direktor pri čemu traži da se izvrši uplata nekome i/ili da mu se dostavi određena povjerljiva informacija. Ako uspiju, ovakvi napadi mogu uzrokovati znatnu materijalnu štetu za organizaciju jer direktori imaju velike ovlasti.

Uz to, zbog pandemijskih okolnosti povećao se obujam posla IT podrške pa su i čekanja na rješavanje određenih problema duža. Korisnici onda pod nervozom često odlučuju sami napraviti određene radnje što dovodi do toga da npr. „samo kliknu na link za reset VPN lozinke“. Podaci koje napadači dobiju phishing napadima dalje se koriste za dobivanje VPN pristupa na kompanije i nove pokušaje napada i širenja na ostalu infrastrukturu (lateral movement).

2. Nedostatak kontrole pristupa kod organizacija

Nedostatak kontrole pristupa najlakše je opisati pitanjem „biste li pustili nepoznatu osobu u vašu kuću?“. Ako imate određena pravila o tome koga ćete pustiti kod sebe doma tako bi i tvrtke trebale kontrolirati koga i kako puštaju da se spaja na njihovu infrastrukturu. Rad od kuće znači povećanje udaljenog spajanja na infrastrukturu.

Problem je u tome što su se mnoge organizacije dosad vodile krivom brigom – prvo su rješavale probleme „unutarnjeg“ sigurnosnog dizajna, dok im udaljeni pristup nije bio u fokusu. Epidemija je sad učinila svoje – udaljeni pristup dolazi u fokus. U praksi smo primijetili da mnoge organizacije nemaju mjere za kontrolu tko se i kako spaja na njihovu infrastrukturu te što i kako radi. Glavne probleme koji se vežu na to možemo primijetiti u nedostatku dvofaktorske autentikacije kao i u nedostatku kontrole uređaja koji se spajaju na sustav.

Prema istraživanjima poznatih napada utvrđeno je kako se u 80% napada koristi probijena lozinka korisnika. Dokazano je da većina korisnika misli da je njihova lozinka jača nego što stvarno je. Imajte to na umu prilikom budućih postavljanja i izmjena lozinki.

Napadači do lozinki dolaze uz pomoć phishinga i različitih drugih napada. Također, mimo napada, napadači imaju pripremljene liste već gotovih lozinki koje korisnici najčešće koriste. Bez korištenja dvofaktorske autentikacije organizacije su ranjive na ovaj napad tj. gubitak ili krađu korisničke lozinke, što omogućuje napadaču da uz pribavljenu lozinku uđe u vaš sustav bez velike muke.

Pod naprednom kontrolom smatra se to da se kod korisnika, uz lozinku i drugi faktor, provjerava i sam uređaj s kojega se vrši spajanje. Mnogi korisnici spajaju se s privatnih mobitela, tableta ili nekoga drugoga računala. Kako ti uređaji nisu pod kontrolom same organizacije, korisnici ih često koriste za preuzimanje različitih multimedijalnih sadržaja, posebno igara, a nemaju instaliranu antivirusnu zaštitu ili koriste jako zastarjeli i neažuriran softver. Svaki od ovih elemenata znatno olakšava situaciju napadaču i omogućuje mu jednostavno preuzimanje toga uređaja. Jednom kada napadač preuzme uređaj ima otvorena vrata vaše organizacije.

3. Nedostaci u sigurnosnom dizajnu

Tradicionalni sigurnosni dizajn odnosio se na način da se svemu s lokalne mreže vjerovalo, a svemu s interneta nije. 

Ovakav dizajn počeo je biti aktualan od samoga početka korištenja interneta, a doživio je veliki “boom” 2000-ih s rastom i globalizacijom interneta. Glavno obilježje bilo je u tome da su korisnici imali isključivo fiksna računala i nisu bili mobilni, te ih se moglo “zatvoriti” u lokalnu mrežu i vjerovati im se. Razvoj interneta i tehnologije doveo je do znatnog povećanja mobilnosti korisnika tj. dolazi se do znatnog povećanja broja uređaja koji koriste, povećanja korištenja clouda te količine udaljenog spajanja. Sve to uzrokovalo je i povećanje broja prijetnji te sada svatko u organizaciji može biti ozbiljna prijetnja.

Primjerice, u slučaju da napadač dobije kontrolu nad određenom imovinom zaposlenika ili do osobe koja ima pristup na vašu organizaciju, on dobiva otvorena vrata cijele kompanije i prostor za daljnje širenje i napade na infrastrukturu unutar firme.

Pod dobivanjem kontrole podrazumijeva se instalacija malicioznog programa (malwarea) na imovinu zaposlenika (mobitel, laptop, tablet itd.). Uz tradicionalnu instalaciju programa (“samo pritisnete na install” nadajući da će vam program s interneta riješiti problem), napadači koriste brojne druge tehnike za samu instalaciju malwarea (primjerice otvaranje Office dokumenta i dopuštanje izvršavanja macro skripti (samo stisnete na ‘Allow’ unutar Microsoft Worda i napadač dobiva kontrolu nad vašim uređajem).

A ovdje vrijedi spomenuti da se brojne kompanije i dalje oslanjaju na tradicionalni dizajn – što nije najbolja praksa. Da bi se riješili problemi tradicionalnog dizajna osmišljen je zero trust model, o kojem će biti više riječi u sljedećem članku.

4. Nedostatak brige o infrastrukturi

Prema istraživanju pwc-a u svijetu trenutno nedostaje preko tri milijuna cyber security stručnjaka. Mnogi problemi u sigurnosti dolaze upravo zbog nedostatka kvalitetnog stručnog kadra zbog čega se tvrtke prema sigurnosnim uređajima često odnose na način da ih jednom „ušarafe i podese“ te smatraju da su vječno zaštićeni. No, security je jako kompleksan i njega ne može kvalitetno raditi jedna osoba jer se on odnosi na jako mnogo različitih područja sigurnosti.

Neke od glavnih odgovornosti security tima su:

• izrada planova i politike informacijske sigurnosti;
• provedba i provjera izvršenja planova i politike informacijske sigurnosti;
• otkrivanje ranjivosti i otklanjanje ranjivosti u sustavu;
• podešavanje i instalacija security infrastrukture (firewall, antivirus, mail zaštita itd.);
• redovito praćenje ponašanja infrastrukture i prilagodba;
• praćenje i nadzor sigurnosnih događaja u sustavu te istraga ako se uoči sumnjivo ponašanje.

Brojne kompanije ne shvaćaju kompleksnost i dubinu sigurnosti te ovim stavkama ne pridaju odgovarajuću pažnju. Glavna premisa brojnih kompanija je “neće se to nama dogoditi”. To je loše razmišljanje jer su napadi sve češći i svi mogu postati žrtve. Tek kada se dogodi napad i bude nanesena ogromna šteta za kompaniju počinje se shvaćati važnost securityja…

I zato moramo biti svjesni da cyber sigurnost predstavlja dinamički i kontinuirani proces te je potrebna konstantna briga o infrastrukturi. Brojni napadi u posljednje vrijeme izvedeni su iskorištavanjem ranjivosti nepatchirane infrastrukture (od mobilnih uređaja preko Windowsa do poslužitelja i komunikacijske opreme). U svijetu trenutno postoji preko 100.000 javno objavljenih ranjivosti koje napadači mogu iskoristiti.

Napadač doslovno može u nekoliko minuta pronaći na internetu već gotove alate i sredstva za dobivanje kontrole nad vašom infrastrukturom, čega većina korisnika nije svjesna. Svaki proizvod ima svoju ranjivost, ali da ne ulazimo u njihove tehničke opise, svakako i sami provjerite popis javno objavljenih ranjivosti.

Ovo su samo najistaknutiji problemi koje je donio rad na udaljeno, i oni kriju još niz načina kako se neki propusti mogu kompromitirati, no postoje i prijetnje koje su konstantno prisutne u poslovanju jedne organizacije, neovisno o novim okolnostima rada. Tim više je važno riješiti ove prijeko potrebne izazove – jer, kako kažu, lanac je jak koliko i njegova najslabija karika.

U sljedećem tekstu predstavit ću vam moguća rješenja koja vam mogu pomoći da uočite i prevenirate stvaranje tih slabih karika.

______

Ovaj tekst dio je serijala vodiča “Sigurnost rada na udaljeno” u kojem prolazimo kroz sigurnosne prijetnje koje su se dodatno povećale s remote radom te učimo kako ih spriječiti pravovremeno:

1. tekst: Ovo su najčešće prijetnje remote i hibridnog načina rada! (ovaj)
2. tekst: Kako dodatno osigurati udaljeno spajanje za zaposlenike – i zašto je to nužno ako vam tvrtka radi remote?
   
3. tekst: Tradicionalno ne znači sigurno – nego zastarjelo! Provjerite kako se o sigurnosti brine u vašoj tvrtki