Uporczywe ataki wciąż w modzie

Już od kilku lat za jedno z największych zagrożeń uznawane są ataki typu Advanced Persistent Threat, kierowane przeciwko precyzyjnie wybranym firmom i prowadzone według starannie przygotowanej strategii, po wcześniejszym rozpoznaniu. 

Ochrona przed występującymi dziś zagrożeniami musi być wszechstronna – mówi Michał Jarski, VP Sales EMEAA w firmie Wheel Systems. – Nie można już bazować wyłącznie na firewallach i zabezpieczeniach sygnaturowych, ponieważ cyberprzestępcy zwykle nie atakują od frontu, ale przez konta uprawnionych użytkowników. Konieczne stało się skrupulatne obserwowanie wszystkich obszarów związanych z IT, które mogą być wykorzystane do ataku: każdy podłączony do sieci system jest potencjalnym punktem wejścia. Należy zwrócić uwagę szczególnie na procesy, w obsługę których zaangażowani są użytkownicy o wyższych uprawnieniach, przede wszystkim na logowanie. Najważniejsze jest szybkie ustalenie, czy loguje się właściwa osoba, czy ktoś podszywający się pod uprawnionego użytkownika. Nagrywanie zainicjowanych przez nich zdalnych sesji jest zawsze dobrym pomysłem, bo może być to jedyny dowód incydentu.

Zespół Global Research & Analysis Team (GReAT), działający w strukturach firmy Kaspersky Lab, wskazał, że w I kwartale 2018 r. miało miejsce ujawnienie luk w procesorach firm AMD i Intel, które mogą zostać wykorzystane do przeprowadzenia ataków typu APT (chociaż na razie zademonstrowano tylko ataki przykładowe, udowadniające istnienie luki). Co prawda producenci systemów operacyjnych wydali już aktualizacje, ale wiadomo, że nie wszyscy administratorzy podchodzą wystarczająco skrupulatnie do ich instalacji. Trudno też zakładać, że wkrótce nastąpi masowa wymiana sprzętu na pozbawiony wad.
Eksperci podkreślają, że cyberprzestępcy coraz częściej do przeprowadzania ataków będą wykorzystywali luki w zabezpieczeniach sprzętu sieciowego (przede wszystkim routerów), jako kolejnego elementu infrastruktury IT, którego oprogramowanie powinno być na bieżąco aktualizowane, a nie jest. Jako przykład można wskazać ujawniony w marcu atak na routery MikroTik przeprowadzony przez grupę Slingshot. Ciekawostką było wykrycie złośliwego oprogramowania wykorzystanego przeciwko organizatorom igrzysk olimpijskich w koreańskim Pyeongchang.

Rodzaje zagrożeń różnych obszarów związanych z IT w przedsiębiorstwie

Klient
– ataki CSRF (Cross-Site Request Forgery)
– ataki MITB (Man In The Browser)
– ataki XSS (Cross-Site Scripting)
– złośliwe oprogramowanie
– ataki SQL injection

Usługi związane z aplikacją
– ataki XSS (Cross-Site Scripting)
– ataki CSRF (Cross-Site Request Forgery)
– ataki SQL injection 
– złośliwe oprogramowanie
– ataki DoS (blokada usług)
– ataki na interfejsy API
– ataki MITM (Man In The Middle)
– ataki z wykorzystaniem funkcji aplikacji 

Sieć
– ataki DDoS
– podsłuch
– wykorzystywanie protokołów

Dostęp
– kradzież danych uwierzytelniających
– ataki typu credential stuffing
– przechwytywanie sesji
– ataki brute force
– phishing

Protokół TLS/SSL
– ataki związane z ujawnianiem pamięci
– spoofing certyfikatu
– przechwytywanie sesji
– wykorzystywanie protokołów 

Serwer DNS
– zatruwanie serwera DNS
– spoofing serwera DNS
– przechwytywanie serwera DNS
– ataki słownikowe
– ataki DDoS 

Źródło: F5 Networks