„Monitoruj cały ruch, analizuj sygnały”

Dan Woods, Vice President of the Shape Security Intelligence Center F5, o zmianach w ruchu konsumenckim online podczas pandemii i wskazówkach, jak zapewnić skuteczną cyberobronę.

W Shape Security przetwarzamy codziennie pod kątem cyberbezpieczeństwa ponad 2 miliardy transakcji dla największych banków na świecie, detalistów, agencji rządowych i linii lotniczych.

W ciągu jednego tygodnia od ogłoszenia pandemii (lockdown) [1] nastąpiły ogromne zmiany: ruch do dostawców internetowych artykułów spożywczych w naszej sieci wzrósł o 400%, a liczba logowań na kontach inwestycyjnych o 53%. Rezerwacje podróży online spadły o 75%, rejestrowanie nowych list płac zmniejszyło się o połowę. Ponadto, w porównywanych okresach, o 35% spadły międzynarodowe transfery pieniężne.

Niektóre sektory doświadczają bezprecedensowego popytu, podczas gdy inne pozostają zablokowane lub znacząco ograniczone. Dane dotyczące ataków w tym okresie nie są jeszcze ostatecznie zweryfikowane, ale już widzimy wyraźną ewolucję zachowania cyberprzestępców i nowe trendy.

Przykładem mogą być ataki hakerów na amerykańskie portale, które umożliwiają dostęp do rządowych systemów finansowania i pomocy [2]. Każdy wnioskodawca musi wprowadzić do systemu numer identyfikacyjny podatnika (NIP), aby procedować wniosek.

Atakujący wykorzystują przepływ tych informacji i uruchamiają, w celu pozyskania tych danych, zautomatyzowane programy wyszukujące oraz sprawdzające autentyczność numerów identyfikujących, aby później sprzedać lub wykorzystać je w inny sposób.

Widzimy dużą zdolność adaptacji cyberprzestępców w chwilach, kiedy zachodzą znaczące zmiany w zachowaniach konsumentów, takie jak niedawny wzrost aktywności online. Konieczne staje się kompleksowe podejście, od monitorowania ruchu z cichych adresów IP, przez identyfikację złośliwego, zautomatyzowanego ruchu i monitorowania zachowania atakujących, aż do nadzoru nad algorytmami SI oraz hakowania własnych zabezpieczeń. Poniżej proponowana linia obrony.

Cyberobrona w dobie pandemii

Monitoruj cały ruch

Biznes jest dziś parę kroków za hakerami. Jeden z naszych klientów (z listy Fortune 100) zakładał, że wielkość złośliwego ruchu w jego firmie to ok. 20-30%. Po naszej analizie okazało się, że rzeczywista wartość złośliwego ruchu to aż 98%!

To powszechny błąd, ponieważ nawet centra operacji bezpieczeństwa największych korporacji na świecie często koncentrują się na złośliwym ruchu pochodzącym z najbardziej aktywnych adresów IP. Tymczasem przestępcy zmienili taktykę i wykorzystują setki tysięcy adresów generujących niewielki ruch, niezauważany w standardowych procedurach.

Monitoring całego ruchu jest więc po prostu konieczny.

1 Porównując ruch w dniach 7-31 marca do okresu 1 stycznia – 7 marca br.
2 Pomoc przyznawana w Stanach Zjedonocznych na podstawie przepisów CARES (Coronavirus Aid, Relief, and Economic Security Act)

Analizuj sygnały z ruchu

W obronie przydatna jest także technologia, która zbiera sygnały z sieci, zarówno od użytkowników jak środowiska, w celu identyfikacji zautomatyzowanego i potencjalnie złośliwego ruchu. Pozwala identyfikować ruch użytkowników online (np. praca zdalna) i odróżnia sygnały pochodzące od naciskania klawiszy i ruchów myszy generowanych przez człowieka od tych – zbyt precyzyjnych – generowanych przez bota.

Technologia ta potrafi także odróżnić, czy mamy do czynienia z użytkownikiem czy oszustem – ten ostatni, gdy zapozna się z workflow, zwykle nawiguje zauważalnie szybciej.

Obserwuj reakcje atakujących na zabezpieczenia

Atakujący zazwyczaj zmieniają narzędzia od razu po podjęciu środków zaradczych przez organizację. Sprawnie przechodzą między interfejsami internetowymi, mobilnymi i API, szukając nowych luk. Dlatego zespoły bezpieczeństwa muszą uważnie obserwować, jak atakujący reagują na zabezpieczenia, aby przewidzieć ich następne działania. Niektórzy hakerzy nawet nie rozpoznają, że są blokowani, inni szybko się dostosowują.

Sztuczna inteligencja (SI) ciągle wymaga nadzoru człowieka

SI i uczenie maszynowe są istotnymi elementami każdego zestawu narzędzi bezpieczeństwa. Należy jednak pamiętać, że mają ograniczenia – surowe sygnały wykryte przez te technologie, zawierają zarówno wyniki fałszywie dodatnie, jak ujemne. Dopiero druga linia obrony, czyli wyszkoleni ludzie przeglądający te dane i obserwujący anomalie, pomogą ocenić zagrożenie i mu zapobiec.

Weryfikacja standardowych narzędzi ochrony użytkowników – klientów

Organizacje zorientowane na użytkownika powinny zrewidować narzędzia takie jak np. CAPTCHA, które mogą bardziej utrudnić życie prawdziwym klientom niż hakerom. Rynek cyberprzestępczy adaptuje się do istniejących narzędzi ochrony bardzo szybko np. istnieją już „ludzkie farmy” CAPTCHA, które pozwalają łatwo ominąć to zabezpieczenie. Równie szybko muszą więc reagować organizacje, aby chronić siebie i swoich klientów.