W 2023 roku obsłużono w Polsce ponad 80 tys. incydentów cyberbezpieczeństwa, co oznacza wzrost o ponad 100% względem 2022. Palo Alto Networks, lider w dziedzinie cyberbezpieczeństwa, wskazuje najczęstsze błędy popełniane przez organizacje, które mogą prowadzić do poważnych incydentów skutkujących utratą poufnych danych klientów, a nawet kłopotami prawnymi.
W 2023 roku 78% przypadków wykrycia atakującego wewnątrz sieci było dokonywane przez pracowników firmy np. dzięki systemom ochrony i procedurom, którymi dysponuje przedsiębiorstwo. W 16% przypadków wykrycia pochodzą ze śladów zewnętrznych. Przykładowo, CERT Polska to organizacja, która monitoruje internet w poszukiwaniu połączeń powiązanych z podejrzanymi adresami IP i stronami www. Jeśli po prześledzeniu ścieżki połączenia okaże się, że wychodzi ono z danej organizacji, to CERT informuje ją o podejrzeniu wystąpienia ataku w jej infrastrukturze. Pozostałe 6% to incydenty zgłoszone przez partnerów zaatakowanej organizacji, np. firmy świadczące dla organizacji usługi zarządzania bezpieczeństwem.
Statystyki wykryć zagrożeń wewnątrz sieci są można uznać za dobre, ale postępująca cyfryzacja gospodarki sprawia, że coraz więcej firm przenosi część lub nawet całość zasobów do chmury. Chodzi nie tylko o aplikacje, ale również o serwery, które mogą być celem ataków cyberprzestępców. Niezabezpieczone aplikacje, przestarzałe wersje oprogramowania serwerów czy pozostawione bez kontroli zdalne dostępy mogą stać się furtką dla cyberprzestępców. Niestety firmy bardzo często nie kontrolują i nie reagują na bieżąco, jakiego rodzaju i jak skonfigurowany komputer i oprogramowanie są podłączone do ich infrastruktury. To otwiera drzwi dla coraz bardziej złożonych cyberataków.
Kolejnym poważnym problemem jest rosnący dług technologiczny przedsiębiorstw, które od dłuższego czasu działają na rynku. Firmy często inwestują w nowe technologie, nie rezygnując ze starych, co prowadzi do powstania zbyt skomplikowanego środowiska IT, które jest bardziej narażone na ryzyko cyberataków.
Widoczność, czyli stałe monitorowanie infrastruktury i śledzenie zachodzących w niej zmian jest jednym z kluczowych aspektów bezpieczeństwa IT. Z tego powodu zalecamy szczegółową i regularną inwentaryzację sprzętu oraz oprogramowania, monitorowanie połączeń w sieci i działań użytkowników. Warto inwestować w rozwiązania platformowe, aby nie dublować systemów i aplikacji do obsługi cyberbezpieczeństwa, tylko w pełni wykorzystać ich możliwości zabezpieczeń. Przyspieszy to czas reakcji na incydenty i umożliwi automatyzację oraz integrację oprogramowania ochronnego. Ograniczenie narzędzi i systemów pozwala utrzymać je w optymalnej kondycji i konfiguracji, a firma nie marnuje swoich zasobów na rozwijanie rozwiązań, które nie są na co dzień odpowiednio zarządzane i w efekcie nie zwiększają poziomu bezpieczeństwa – powiedział Tomasz Pietrzyk, szef Zespołu Inżynierów w regionie CEE w Palo Alto Networks.
Brak uwierzytelniania wieloskładnikowego i nadmiar uprawnień dla użytkowników
Kiedy firmy korzystają coraz częściej z oprogramowania i systemów podpiętych do sieci, zachodzi potrzeba nadawania uprawnień dostępu poszczególnym pracownikom. Niestety organizacje wciąż zbyt rzadko prowadzą politykę ograniczonego dostępu i wdrażają koncepcję Zero Trust – kontrolowego dostępu tylko do niezbędnych narzędzi na danym stanowisku. Dzieje się tak dlatego, że firmy obawiają się dodatkowych obciążeń dla administratorów ze względu na ciągłe zapytania o udzielenie dostępu do systemów i potencjalnego wpływu ograniczeń ja jakość pracy. Niestety nadmiar uprawnień na poszczególnych stanowiskach osłabia odporność firmy na nieautoryzowany dostęp i umożliwia cyberprzestępcy przejęcie uprawnień w infrastrukturze. Aby temu zapobiec, uprawnienia powinny być ograniczone tylko do zakresu obowiązków pracownika, przydzielane na określony czas i cyklicznie weryfikowane. Wiele z takich ograniczeń, odpowiednio zaprojektowanych i wdrożonych może być realizowane automatycznie i bez istotnego wpływu na pracę pracowników.
Nieodpowiednie zarządzanie infrastrukturą a ataki APT
Zaawansowane celowane ataki APT (Advanced Persistent Threat) to coraz większe wyzwanie dla firm. Atakujący używają do ich przeprowadzenia zaawansowanego złośliwego oprogramowania. Posiadają również umiejętności i zasoby niezbędne do opracowania dodatkowych narzędzi i technik cyberataków, a także mogą mieć dostęp do zaawansowanego sprzętu do nadzoru elektronicznego, zdjęć satelitarnych, a nawet ludzkich zasobów i danych wywiadowczych wrogich państw.
Analizy incydentów ze świata, które były realizowane przez specjalistów Palo Alto Networks, wskazują, że firmy potrzebują około 13 dni na wykrycie w ich infrastrukturze śladów atakującego.
Jeszcze dwa lata temu ten czas był dwa razy dłuższy, zatem możemy dziś mówić o znacznej poprawie w zakresie szybkości reagowania na incydenty cyberbezpieczeństwa. Jednak, choć technologia się rozwija, a firmy inwestują coraz więcej pieniędzy w bezpieczeństwo, to te trzynaście dni nadal wystarczy cyberprzestępcom, żeby przeszukać wewnętrzną sieć zaatakowanej firmy, znaleźć wartościowe dane, wyprowadzić je na zewnątrz i zaszyfrować, zanim atak zostanie wykryty – powiedział Tomasz Pietrzyk.
Co zrobić po ataku i jak się zabezpieczać na przyszłość?
Po odparciu ataku należy dokładnie, ale szybko przeanalizować incydent i zastanowić się, dlaczego do niego doszło. Pozwala to na wzmocnienie infrastruktury IT przed kolejnymi cyberatakami. Bez analizy zdarzenia nie wiemy, czy przestępcy nie zapewnili sobie możliwości powrotu do zaatakowanej organizacji poprzez zapasowe kanały dostępu (np. założone specjalnie konta użytkowników, zainstalowany i uśpiony malware, itd.). Tylko szczegółowa analiza ataku pozwala usunąć wszelkie ślady ataku z infrastruktury. Odkrycie etapów współczesnego ataku wymaga gromadzenia wielkiej ilości danych z różnych systemów i wsparcie ich analizy przez narzędzia AI
Aby to osiągnąć, firma powinna prześledzić ścieżkę, którą podążali cyberprzestępcy w czasie ataku, i spróbować namierzyć najsłabsze ogniwa firmowych systemów, a następnie wdrożyć środki zaradcze. Przykładowo, zmienić hasła dostępowe, wykonać dodatkową konfigurację systemów, wdrożyć wyższy poziom ochrony poprzez rozwiązania platformowe itd.
Firmy powinny podejmować działania prewencyjne, które mogą je uchronić przed przykrymi konsekwencjami naruszeń, które mogą oznaczać nie tylko utratę poufnych danych, ale również kłopoty prawne. Już niedługo zacznie obowiązywać dyrektywa NIS2, która obejmie szeroką pulę przedsiębiorstw z różnych branż. Część z tych organizacji być może do tej pory nie inwestowała i nie przywiązywała wagi do systemów ochrony. Regulacja wymusi jednak kroki, żeby ten stan zmienić. W wielu przypadkach, ze względu na brak specjalistów ds. bezpieczeństwa IT, zwiększy to popularność outsourcingu usług cyberbezpieczeństwa oraz wykorzystywanie rozwiązań platformowych umożliwiających automatyzację działań i działających na podstawie algorytmów sztucznej inteligencji i uczenia maszynowego.