2017 rok (czyli rok
w którym zaczęła się przerwa w prowadzeniu bloga) był pełen
istotnych wydarzeń dotyczących cyberbezpieczeństwa. A przynajmniej
dwa z nich powinny moim zdaniem przejść do historii. Epidemia
WannaCry oraz Non-Petya.
Jeden i drugi atak
miał szereg wspólnych cech i to na tym oraz wynikających z tego
wnioskach chcę się skoncentrować. Dlaczego podnoszę ten temat w
2019 roku? Bo opadł już kurz, wydarzenia te przeszły do historii i
coraz więcej osób o tym zapomina. Już niedługo pewnie pojawią
się piewcy twierdzący, że ataki te „trącą myszką”, inni
będą pisać wspomnienia o tym jak też bohatersko walczyli z tymi
epidemiami i je pokonali. A moim zdaniem jeden i drugi atak obnażył
szereg fundamentalnych zaniedbań w wielu organizacjach, które mogą
się powtórzyć. A bardzo bym chciał byśmy tym razem byli na to
lepiej przygotowani.
Popatrzmy więc na
te podobieństwa.
- Obydwa ataki przypisuje się działalności grup sponsorowanych przez państwa
Zarówno WannaCry
jak i non-Petya wydaje się, że były stworzone przez zespoły
funkcjonariuszy pracujących na rzecz (w strukturach) organów
państwowych. Żeby było ciekawiej wykorzystały narzędzia
opracowane przez „funkcjonariuszy” trzeciego z państw.
Interesujące jest
zastanowienie się nad motywami, które przyświecały przestępcom
(w mundurkach). W pierwszym przypadku wydaje się, że mogło chodzić
o najzwyklejsze pozyskiwanie waluty. W drugim przypadku bardziej
popularna jest teoria, że chodziło o zademonstrowanie swoich
możliwości i danie bolesnej nauczki.
Jeżeli tak było
naprawdę to proszę jednak zwrócić uwagę na to kto tak naprawdę
poniósł największe straty. Czy były to rządy niejako z założenia
uwikłane w różne gierki? Nie – prawdziwymi ofiarami były firmy,
korporacje oraz osoby prywatne, które utraciły dane, pieniądze,
zamówione towary, zdrowie, czy po prostu, których posiadane akcje
straciły na wartości. Rządy miały zimny prysznic z którego
(raczej) wyciągnęły wnioski w zakresie koordynacji prac. Jaki z
tego płynie wniosek? Najlepiej odnieść się do autorytetu. Bruce
Schneier od lat ostrzega przed tym by pozwalać rządom (szczególnie
służbom wojskowym) na wykorzystywanie w sposób nienadzorowany
swoich możliwości technicznych. Możliwości te jak widać są
potężne, z każdym dniem de facto rosną. Potrzeba jednak bardzo
jasnego ustalenia czy i kiedy z nich korzystać, jak je wcześniej
przetestować by mieć pewność, że „dobrze” działają. Dobrze
czyli w sposób oczekiwany przez głównodowodzących, gdyż w obydwu
przypadkach mam wrażenie, że ich intencje były trochę inne niż
ostateczne skutki.
- Obydwa ataki zakończyły się „nijak”
Jeden i drugi atak
to miesiące prac przygotowawczych i naprawdę zauważalna inwestycja
finansowa. To zespoły programistów, speców od cyber, PM’ów.
Pewnie też testerów. I jakie mamy skutki? WannaCry rozprzestrzenia
się po świecie niszcząc co się da. Szczególnie dotknięty jest
brytyjski sektor ochrony zdrowia, gdzie oprócz strat bezpośrednich
w wysokości 92 000 000 funtów odwołane jest około 19 000 wizyt.
Na całym świecie robak zainfekował około 300 000 maszyn a
całkowite straty szacowane są co najmniej na setki milionów
dolarów. Byłyby większe ale nie dość, że Microsoft następnego
dnia opublikował łatkę (dobrze, że miał czas ją przygotować -
dostał wcześniej informacje ze służb, że wyciekł niebezpieczny
kod pewnie będzie wykorzystany) to jeszcze w trakcie analizy udało
się znaleźć „kill-switch”. I to drugie rozwiązanie tak
naprawdę uratowało sporą część Internetu, bo kto łata systemy
na bieżąco… ;-)
W przypadku
non-Petya wiadomo, że kwota strat przekroczyła 1 000 000 000
dolarów (Wired powołując się na informacje z Białego Domu
szacuje je na 10 000 000 000$). Głównym celem były organizacje
powiązane z Ukrainą, ale epidemia rozprzestrzeniła się znacznie
szczerzej siejąc chaos gdzie się da. Wśród ofiar znajdują się
podmioty z kilku państw, które można by próbować oskarżyć o
przygotowanie ataku, co raczej dowodzi temu, że Internet nie zna
granic i każdemu może się oberwać gdy będzie się nieumiejętnie
bawił swoimi zabawkami. W kodzie robaka znaleziono też
zaawansowanego backdoor’a, ale najprawdopodobniej nie został on
uruchomiony. Zabrakło czasu? Ktoś spanikował widząc co się
dzieje? A może jednak był wykorzystany, ale tylko w kilku
szczególnie wyselekcjonowanych miejscach? Nie wiadomo...
Popatrzmy teraz na
przychody/zyski/korzyści. WannaCry „zarobił” 130 000$ (za x
miesięcy pracy x-osobowego zespołu). Słaba ta inwestycja.
Non-Petya „zarobił”
10 000$ (co jednak w tym przypadku było poboczne – wygląda, że
od początku miał o być nie ransomware a wiper), nie uziemił
Ukraińskiej gospodarki ale za to spowodował straty w wielu innych.
Obydwa ataki
pokazały światu, że cyberataki na masową skalę są możliwe, że
są państwa posiadające potencjał do ich przeprowadzenia i
spowodowały, że przygotowania do ich odparcia w przyszłości
ruszyły pełną parą. Ale czy naprawdę to kolejny wyścig zbrojeń
miał być rzeczywistym skutkiem tych infekcji? Nie wydaje mi się.
Wniosek jaki mi się
nasuwa jest taki tak jak poprzednio. Weseli chłopcy bawią się,
nikt ich nie nadzoruje ale płaczą potem wszyscy. A cóż może
maluczki wobec zabawy tak potężnych mocy? Ubezpieczenia nie pomogą więc trzeba się zabezpieczać samemu.
- Przypomnijmy sobie o podstawach cyberbezpieczeństwa
- Łatanie to podstawa
Skoro zabezpieczać
trzeba się samemu to wróćmy do podstaw. W przypadku WannaCry
wystarczyło mieć zainstalowane krytyczne poprawki bezpieczeństwa
(słowo „krytyczne” zazwyczaj oznacza coś ważnego ;-) ). W
przypadku non-Petya byłoby to za mało, ale to nie jest jedyne
zabezpieczenie jakiego można próbować...
- Strefowanie sieci
Płaskie sieci są
zmorą dużych organizacji. Kiedyś, kiedy wszystko było proste i
bezpieczne nikomu nie chciało się męczyć w jakieś tam podsieci.
Po latach wyodrębnienie poszczególnych podsieci jest znacznie
większym wyzwaniem. Niemniej za błędy przeszłości trzeba będzie
kiedyś zapłacić, więc teraz może być to właściwym momentem?
W każdej dużej
organizacji są działy mające bardzo różne potrzeby w zakresie
bezpieczeństwa IT. Pracownicy IT mają duże uprawnienia, osoby
zajmujące się marketingiem muszą dużo surfować po sieci, HR musi
mieć możliwość swobodnej komunikacji z potencjalnymi kandydatami
przesyłającymi im dokumenty a finanse powinny mieć bardzo
utwardzone stacje robocze gdyż ich przejęcie może spowodować duże
straty - a typowy księgowy nie potrzebuje żadnych szczególnych
uprawnień. Infrastruktura automatyki przemysłowej z założenia nie
powinna mieć potrzeb w zakresie swobodnego dostępu do internetu.
Coraz częściej można też spotkać wydzielone podsieci serwerowe,
DMZ albo i podsieci dedykowane samej infrastrukturze bezpieczeństwa.
Takie podejście do sieci spowoduje, że szanse by infekcja
przeniosła się na całą organizację (jak to miało miejsce w
przypadku w.wym. ataków) będą zdecydowanie niższe.
- Dobry system anty malware
Tak… O ile mi
wiadomo żaden z silników anty malware nie zatrzymywał tych ataków.
Niemniej z drugiej strony jestem przekonany, że ich producenci
odrobili pracę domową i w przypadku rozpoznania tego typu ataków
ich reakcja będzie również błyskawiczna, sygnatury błyskawicznie
się rozprzestrzenią i uda się ograniczyć ilość zainfekowanych
organizacji. Możliwość zablokowania szkodliwego kodu uruchamianego
przez pracowników na stronach www czy w mailach jeszcze zanim dotrze
ono do stacji końcowych będzie kluczem dla skutecznej ochrony.
Kluczowe jednak będzie to na ile szybko producenci dobrych silników
będą w stanie wypuszczać sygnatury (co najmniej). Mam też
nadzieję, że i heurystyka w tych narzędziach została
przebudowana...
- Kopie bezpieczeństwa
Są podstawą i tyle
– pod warunkiem, że są składowane w bezpiecznym miejscu, nadają
się do odzyskania danych oraz towarzyszy im niezbędna i dobrze
przygotowana dokumentacja.
Dane rządzą
organizacjami. Bez nich firmy cofają się lata wstecz. A szantażyści
o tym doskonale wiedzą. W przypadku infekcji można więc płacić
łudząc się, że „etyczny cyberkryminalista” prześle kody,
można budować organizację od zera, a można też ponownie
zainstalować całą infrastrukturę ale przynajmniej posiadając
dane. Wybór należy do Ciebie ;-)
W podobnych
opracowaniach lista tego typu porad jest znacznie szersza. Wspomina
się potrzebę budowania świadomości personelu, podkreśla
konieczność pracy na minimalnych uprawnieniach, podkreśla potrzebę
logowania, monitorowania i korelowania zdarzeń (typu uruchamianie
psexec.exe), przypomina o potrzebie hardeningu maszyn (czy wszyscy
potrzebują SMBv1?), czy przeprowadzania okresowych testów
bezpieczeństwa. Ale moim zdaniem to te wymienione wyżej 4
zabezpieczenia będą kluczowe gdy podobny atak pojawi się w
przyszłości.
Gdy znów
funkcjonariusze pracujący na rzecz różnych mocarstw zaczną się
bawić w niszczenie Internetu to albo uda się nam go (przypadkiem)
powstrzymać najnowszymi łatkami lub systemem antymalware albo
przynajmniej ograniczymy skutki do danej podsieci albo skoncentrujemy
się na sprawnym odtworzeniu infrastruktury IT. Doświadczenia
pokazują, że potrwa to kilka tygodni, ale jednak jest możliwe.
Brak komentarzy:
Prześlij komentarz
Dzień dobry. Komentarze na tym forum są moderowane