Provozujete atraktivní aktivum? Pak na vás budou vedeny cílené kybernetické útoky.
Ty plošné samozřejmě taky, těm budete čelit i nadále, protože zde máme různé blíže exaktně nedefinované zdroje hrozeb.
Ovšem pokud jde o ty cílené, tak je třeba si uvědomit, jaké informační aktivum provozujete. A pokud přijmete za svou hypotézu, že atraktivita aktiva akceleruje hledání zranitelností a zvyšuje pravděpodobnost kybernetického útoku, tak s tím pak můžete ve svém rizikovém modelu počítat.
Nejprve je třeba se však vážně zamyslet nad tím, jak vás vnímá vaše okolí. A asi se shodneme, že dané aktivum se stává pro útočníka atraktivní, a zvyšuje se pravděpodobnost hrozby, pokud platí některý z následujících předpokladů:
- je zde patrný vysoký počet instalací, protože v okamžiku, kdy v něm je objevena zranitelnost, a útočník je schopen ji zneužít, tak se může pokusit napadnout prakticky všechny, kteří dané aktivum používají. Proto jsou tak často hledány a nalézány zranitelnosti v OS, prohlížečích, přehrávačích, kancelářských balících a dalších hojně používaných aplikacích.
- danou službu používá velké množství uživatelů, protože v okamžiku, když se jej útočníkovi podaří kompromitovat, tak se může dostat k osobním údajům těchto uživatelů.
- dané aktivum provozuje společnost s významným postavením na trhu, takže v okamžiku, kdy dojde k jeho kompromitaci, zničení, pozměnění, znepřístupnění, tak daná organizace může utrpět značnou ztrátu, v krajním případě může i skončit.
- dané aktivum představuje cenné know-how, takže v okamžiku, kdy jej útočník získá, tak jej bude moci buď sám použít, anebo jej prodat tomu, kdo si útok zaplatil.
Samozřejmě, vše je relativní, takže je nutné se zamyslet i nad tím, co lze považovat za vysoký počet instalací, velké množství uživatelů, významné postavení na trhu a cenné know-how. A je třeba být při tomto hodnocení trochu při zemi, a nezaměňovat plošný útok za cílený, protože ne každého provozovatele informačního systému se bude skutečně týkat.
Ovšem cílený útok na vás může být veden i v případě, že výše uvedené nesplňujete, stačí, když útočník usoudí, že by skrze vás mohl kompromitovat někoho, kdo výše uvedené splňuje anebo se útočník prostě může splést. I to se bohužel stává, stejně jako mnohdy dochází k mylnému určení zdroje útoku.
V okamžiku, kdy provozujete atraktivní aktivum, tak byste měli mít bezpečnost zavedenou na trochu vyšší úrovni, než ten, co atraktivní aktivum neprovozuje a aplikovat třeba Zero Trust model. Dále se nabízí sledovat určité charakteristiky, jako zda nedochází ve zvýšené míře k hledání zranitelností. Pozorovat třeba můžete:
- skenování portů, snahu o identifikaci služeb a jejich verzí, protože to útočníkovi umožní využít známých zranitelností anebo investovat do jejích nalezení a vývoje exploitu;
- pokusy zjistit jména účtů a uhádnout a prolomit hesla, protože tímto způsobem může útočník následně kompromitovat běžící službu;
- vishing a spear phishing, který oproti klasickému phishingu vyžaduje již určitou invenci, takže se s ním až tak často nesetkáte;
- baiting, piggybacking, dumpster diving, a protože zde útočník svou fyzickou přítomností nejvíce riskuje, tak tyto aktivity rozhodně nejsou zcela běžné a drtivá většina firem se s nimi nesetkala.
Problém je, že tyto metriky zdá se nikdo příliš nesleduje a nevyhodnocuje, takže vám asi ani neřekne, co lze ještě považovat za normální aktivitu v rámci plošně vedených útoků, a co už je příprava na cílený útok, anebo že daný útok dokonce již probíhá. Na to budete muset přijít sami, např. v rámci ladění pravidel svého SIEM řešení.
Štítky: řízení informačních rizik
K článku “Provozujete atraktivní aktivum? Pak na vás budou vedeny cílené kybernetické útoky.” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.