Włamanie do sieci firmowej. Jak działają cyberprzestępcy i jak ich zatrzymać?

Większość współczesnych cyberataków zaczyna się od włamania do systemu. Dochodzi do niego, gdy atakujący wykorzystuje skradzione dane uwierzytelniające, ataki phishingowe lub inne sposoby, aby uzyskać dostęp do firmowej sieci. Dlaczego wtargnięcie do systemu jest tak niebezpieczne, z jakich narzędzi korzystają cyberprzestępcy i jak z nimi walczyć?

Po dostaniu się do sieci wewnętrznej przedsiębiorstwa przestępcy (lub złośliwe oprogramowanie przez nich umieszczone) mogą pozostawać w niej niezauważeni nawet przez wiele miesięcy. W tym czasie przeprowadzają dokładny rekonesans. Poznają architekturę sieci, skanują niechronione porty, sprawdzają, gdzie przechowywane są krytyczne dane, identyfikują użytkowników z wysokimi uprawnieniami dostępu itd.

Wszystkie zdobyte w taki sposób informacje mogą zostać wykorzystane do planowania kradzieży danych, sabotażu systemu lub innej formy potencjalnie wyniszczającego ataku. Dlatego tak ważne jest to, by jak najszybciej wykryć włamanie do systemu i nie dać cyberprzestępcy czasu na zebranie jakichkolwiek istotnych danych. Kluczowe staje się skanowanie ruchu wewnętrznego oraz ruchu wychodzącego

Mateusz Ossowski

CEE Channel Manager w firmie Barracuda Networks

Im szybciej firma wykryje i zneutralizuje włamanie do systemu, tym bardziej ograniczy ostateczne szkody. Wydajne systemy wykrywania włamań i prób dostępu do systemu (IDS), które wykorzystują uczenie maszynowe do monitorowania ruchu wewnętrznego i wychodzącego oraz identyfikacji anomalii, mogą w znacznym stopniu skrócić czas przebywania atakującego w firmowej sieci.

Jakich środków używają cyberprzestępcy, by dostać się do firmowej sieci?

• Zdalny pulpit i VPN

Włamania za pomocą protokołu zdalnego pulpitu (RDP) i sieci VPN (Virtual Private Network) zdarzają się dziś najczęściej. Przede wszystkim dlatego że narzędzia te są powszechnie stosowane i wykorzystywane w pracy zdalnej i hybrydowej. Ogromna liczba połączeń VPN i RDP używanych przez organizacje wszystkich typów daje cyberprzestępcom niemal nieograniczone pole działania.

Wiele z tych połączeń ma słabe lub nie ma żadnych mechanizmów uwierzytelniania użytkowników, co otwiera drogę do ataków typu "brute force". Co więcej, bardzo wiele danych uwierzytelniających RDP i VPN zostało już skradzionych i jest dostępnych dla przestępców w Darknecie, czyli ukrytej, niewidocznej dla standardowych przeglądarek sieci. Często w bardzo przystępnych cenach.

Skuteczne strategie bezpieczeństwa muszą zakładać, że kontrola dostępu oparta na nazwie użytkownika i haśle nie jest już wystarczająca. Szansę powodzenia w walce z atakującymi daje dziś Zero Trust, czyli filozofia zakładająca, że każdy, kto próbuje wejść do naszego systemu, może być wrogiem. Systemy dostępu oparte na Zero Trust nieustająco monitorują próby logowania w powiązaniu z lokalizacją geograficzną, adresem IP, godziną i datą, zasobami, z którymi użytkownik się łączy, oraz zgłaszają wszelkie odstępstwa od standardowych zachowań. Dzięki temu skuteczniej zapobiegają włamaniom i ich skutkom niż tradycyjne metody uwierzytelniania, a nawet mechanizmy uwierzytelniania wieloskładnikowego

Mateusz Ossowski

CEE Channel Manager w firmie Barracuda Networks

• Phishing i zagrożenia wewnętrzne

Phishing nadal pozostaje bardzo popularnym sposobem kradzieży aktualnych danych uwierzytelniających. Cyberprzestępcy po prostu oszukują użytkowników, w wyniku czego ci ostatni sami ujawniają swoje dane. Phishing jest zatem uważany za podstawowy przykład zagrożenia wewnętrznego – to znaczy pochodzącego od użytkowników, którzy nie są wystarczająco przeszkoleni w identyfikowaniu podejrzanych lub złośliwych wiadomości e-mail.

Nowoczesne systemy szkoleń z zakresu świadomości bezpieczeństwa, wykorzystujące częste symulacje ataków phishingowych, są bardzo skutecznym sposobem na zmniejszenie ryzyka wtargnięcia do systemu opartego na phishingu. Dobrze przeszkoleni użytkownicy stają się dodatkową warstwą zabezpieczeń.

• Niezaktualizowane systemy i oprogramowanie

Cyberprzestępcy nieustająco poszukują nieaktualizowanych elementów systemów. Poprawki i aktualizacje przygotowywane przez dostawców oprogramowania mają chronić użytkowników systemów przed nowymi podatnościami bezpieczeństwa. Jeśli firma nie aktualizuje swojego oprogramowania, staje się łatwym celem dla przestępców, którzy wyszukują i wykorzystują podatności do przeniknięcia do sieci wewnętrznej organizacji. Po wejściu do niej rozpoczynają działania rozpoznawcze, które mogą skutkować naruszeniem danych lub innym kosztownym atakiem.

Klucz do sukcesu – zabezpieczenie całej powierzchni ataku

Wyzwaniem dla firm jest dziś zapobieganie włamaniom do ich systemów i sprawne oraz szybkie wykrywanie ewentualnych naruszeń. Jak to robić skutecznie?

Najważniejsze jest zastosowanie kompleksowego zabezpieczenia całej powierzchni ataku. A to oznacza zintegrowaną ochronę poczty elektronicznej, aplikacji i sieci. Warto rozważyć wdrożenie platformy XDR, która zapewnia nieustanne monitorowanie sieci i szybką, automatyczną reakcję na incydenty. Takie rozwiązania dostępne są także w modelu usług zarządzanych, co pozwala zredukować koszty firmowej infrastruktury IT

Mateusz Ossowski

CEE Channel Manager w firmie Barracuda Networks