Małe i średnie przedsiębiorstwa celem cyberprzestępców

Własność intelektualna – np. kod źródłowy czy wrażliwe informacje na temat klientów – to główny powód, dla którego małe i średnie przedsiębiorstwa stają się celem cyberataków. Jednak nawet gdy firma nie dysponuje danymi cennymi z punktu widzenia hakerów, może zostać potraktowana jako ogniwo w ataku na łańcuch dostaw. W takim przypadku podstawowym celem ataku jest inna firma, ale straty dla dostawcy mogą być bardzo wysokie – zarówno finansowe, jak i wizerunkowe.

Słabe ogniwo i ekonomia skali

Ataki na łańcuchy dostaw związane są z infiltracją systemu poprzez zewnętrznego partnera lub dostawcę z dużym poziomem dostępu do danych. Może to być dostawca usług chmurowych lub oprogramowania. Ataki pośrednie są często dla cyberprzestępców łatwiejsze oraz bardziej opłacalne niż ataki bezpośrednie, ponieważ pozwalają na dostęp do większej liczby organizacji. Zdarza się, że dostawca jest chroniony gorzej niż faktyczny cel operacji. W takiej sytuacji można włamać się do jego systemu i wykorzystać zbudowane zaufanie oraz połączenia infrastrukturalne.

– Hakerzy, atakując łańcuch dostaw, zazwyczaj chcą osiągnąć jeden z dwóch celów. Pierwszy z nich związany jest z atakiem na konkretną organizację dysponującą istotnymi zasobami. W tej sytuacji jej dostawca staje się „słabym ogniwem” i furtką w szerokim systemie ochrony. W drugim scenariuszu przestępcy chcą uzyskać efekt skali. Łamiąc zabezpieczenia jednej firmy, umieszczają implant w jej produkcie. Po jakimś czasie mają dostęp do systemów większości klientów, którzy łączą się z zainfekowanym systemem. W ten sposób mogą przeprowadzić atak ransomware lub dokonać kradzieży ważnych informacji – tłumaczy Leszek Tasiemski, VP of Products w WithSecure.

Atak Sunburst – przypadek SolarWinds

Dla zobrazowania wpływu ataków na łańcuchy dostaw można posłużyć się przypadkiem SolarWinds – dostawcy produktu do monitorowania sieci. Jeden z modułów systemu – Orion – został zmodyfikowany przez przestępców, a następnie poprzez proces aktualizacji dostarczony do wielu podmiotów – w tym największych amerykańskich firm i organizacji rządowych. Moduł, imitując normalne operacje, służył do działań zwiadowczych i rozpowszechniania złośliwego oprogramowania. Co gorsze ze względu na profil zainfekowanych organizacji (rządowe, konsultingowe, telekomunikacyjne), niemożliwe było natychmiastowe zdiagnozowanie głębokości infiltracji.

Jak chronić się przed atakami?

W przypadku wyrafinowanych, wspieranych przez rządy państwowe ataków (takich jak Sunburst), całkowita ochrona nie jest możliwa. Hakerzy wykorzystują dostępy i relacje, które są niezbędne do współpracy z danym dostawcą. Przykład ten pokazuje jednak, jak ważna jest czujność wśród właścicieli małych i średnich firm. Istnieją sposoby zabezpieczenia lub przynajmniej minimalizowania skutków naruszenia bezpieczeństwa wynikających z ataków na łańcuchy dostaw. Podstawowe zasady to:

1. Ostrożny dobór dostawców

Ataki mogą przytrafić się każdemu, ale dostawcy priorytetowo traktujący kwestie bezpieczeństwa, poddający się niezależnym audytom i inwestujący w zabezpieczenia są obarczeni mniejszym ryzykiem. Dobrym punktem wyjścia jest spełnianie przez partnerów biznesowych takich certyfikacji jak ISO27001 czy SAS2 / ISAE3000. Warto pytać potencjalnych dostawców o praktyki związane z cyberbezpieczeństwem, raporty z oceny bezpieczeństwa, czy wyniki audytów.

2. Przyznawanie tylko niezbędnego dostępu

Istotne jest stosowanie zasady minimalnego dostępu – zarówno na zewnątrz, jak i wobec pracowników wewnętrznych. Rutynowo należy przeglądać dostępy nadane dostawcom, aby sprawdzić, czy są one nadal potrzebne i czy nie należy ich zmodyfikować. Punkty integracji, zwłaszcza w przypadku usług chmurowych, są częstym miejscem popełniania błędów. Tak jak w przypadku wewnętrznych systemów czy użytkowników, im mniejszy poziom dostępu ma konto używane do integracji z danym dostawcą, tym mniejsze straty spowoduje atakujący, który w jakiś sposób ten dostęp przechwyci.

3. Modelowanie zagrożeń

Warto zastanowić się nad możliwymi scenariuszami ataku, biorąc pod uwagę dostęp, jaki mają dostawcy zewnętrzni. Infrastruktura powinna być zaprojektowana w taki sposób, aby zredukować szkody w przypadku naruszenia bezpieczeństwa. Modelując zagrożenia łatwiej zidentyfikować cyfrowe „klejnoty koronne” organizacji oraz prawdopodobne ścieżki ataku. Dzięki temu można bardziej precyzyjnie implementować zabezpieczenia.

4. Wprowadzenie rozwiązań monitorujących typu EDR/XDR – Endpoint Detection and Response

Systemy wykrywania i reagowania identyfikują podejrzane aktywności w czasie rzeczywistym, wykorzystując telemetrię i alarmując o zagrożeniu. W przypadku zaawansowanych ataków konieczne jest założenie, że podstawowe mechanizmy obrony, jak EPP, zostaną przełamane i należy się skupić na wykryciu obecności atakujących w infrastrukturze, bazując na zachowaniu.

5. Wiedza, jak reagować na zagrożenia

Incydenty nie zdarzają się często, dlatego warto tworzyć procedury reagowania i uczyć pracowników ich stosowanie podczas kontrolowanych ćwiczeń. Oprócz kwestii technicznych należy zadbać o scenariusze komunikacji i postępowania prawnego. Warto ośmielać, czy nawet wynagradzać pracowników za raportowanie podejrzanych zdarzeń (również tych, wynikających z ich nieostrożności). Jeden z dużych incydentów tego typu został odkryty, ponieważ pracownik zgłosił niespodziewane monity z telefonu o autoryzację logowania na swoim koncie (MFA).

6. Dbałość o podstawowe zabezpieczenia

Inwestycje w nowocześniejsze rodzaje ochrony, które adresują potrzeby chmurowego środowiska pracy, nie zwalniają z konieczności zabezpieczeń typu anti-malware czy firewall, więc w pogoni za usprawnieniami nie można zapomnieć o podstawowych narzędziach ochrony infrastruktury organizacji.

– Chociaż ukierunkowane ataki na małe i średnie przedsiębiorstwa zdarzają się rzadko, to właściciele firm nie mogą ulegać złudnemu poczuciu bezpieczeństwa. Każda organizacja może stać się ofiarą operacji zakrojonych na większą skalę. Nie przed każdym atakiem da się uchronić, ale dzięki świadomości zagrożeń możemy minimalizować skutki działalności cyberprzestępców – podkreśla Leszek Tasiemski.