Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

Cinci amenințări pe care fiecare companie ar trebui să le ia în considerare

2016-03-09

În cadrul Laboratorului ESET, analizăm și studiem în permanență modul de operare al criminalilor cibernetici din întreaga lume. În fiecare zi, primim numeroase coduri malițioase create pentru o mulțime de scopuri. Unele vizează utilizatorii casnici, în timp ce altele sunt axate pe atacarea lumii business.

Având o privire de ansamblu asupra analizei pe care am realizat-o în secțiunea dedicată Trendurilor, putem observa evoluția și schimbările la care companiile au trebuit sa facă față. Anul trecut am discutat despre lumea corporatistă ca fiind principalul nostru obiectiv, în timp ce anul acesta punem accentul pe  ascensiunea Internetului nu numai acasă, cât și la locul de muncă.

“Din punct de vedere corporativ, securitatea este un proces ce necesită organizare și suport pentru zonele principale ale organizației.”

Provocările nu se opresc niciodată, iar echipele de securitare trebuie să acopere punctele diferite prin care codurile malițioase se pot infiltra într-o rețea, contând pe utilizarea detecției tehnologiei proactive, manangementului și educației, ca parte a planului de apărare.

Dacă luăm în considerare faptul că organizațiile au resurse finite și că personalul IT este responsabil de securitatea informațiilor (printre alte răspunderi), este important să se elaboreze un plan clar și concis pentru combaterea incidentelor. În același timp, va ajuta la identificarea celor mai comune puncte de virusare, ca modalitate de prospectare a tuturor situațiilor.

În cele ce urmează, vom analiza cele mai comune pericole la care companiile sunt expuse, impactul lor și câteva cazuri recente relevante.

  1. Email-uri care reprezintă un pericol

În zilele noastre, email-ul are un rol foarte important pentru companii, alcătuind o parte principală de comunicare împreună cu furnizorii, clienții, serviciile etc. Le pemite utilizatorilor să partajeze informațiile în cadrul companiei. Conturile de email corporatiste sunt principalele canale prin care se primesc codurile malware, iar noi am analizat deja câteva modalități de răspândire care folosesc acest mod de comunicare.

Una dintre cele mai recente amenințări, trimise prin email, este Win32/Bayrob, care se răspândește în mai multe etape, fiind disimulată într-un cupon de la Amazon. În mai puțin de o lună, a devenit una dintre cele mai comune pericole detectate în țări precum Argentina, Chile, Colombia și Mexico, printre altele. Pe lângă toate acestea, programele malware primite prin fișierele atașate au creat probleme imense, după cum se poate vedea în situația prin care a trecut CTB-Locker în urmă cu aproximativ un an. A fost trimis în mai multe rânduri, în limbi diferite, virusul troian, detectat de ESET ca fiind Win32/TrojanDownloader.Elenoocka.A. Acesta a instalat un program ransomware pentru criptarea fișierelor victimei, cerând o răscumpărare pentru a debloca documentele.

Pentru protejarea conturilor de email corportiste, avem nevoie nu numai de o soluție de securitate endpoint care să detecteze atașamentele malițioase, dar trebuie să ne protejăm și serverul de email și să filtrăm aceste elemente înainte ca acestea să ajungă în cutiile poștale ale utilizatorilor. O recomandare pentru echipele de securitate este să utilizeze instrumentele de management pentru a genera rapoarte în care sunt consemnate amenințările primite de angajați prin email, ajustându-și astfel poziția în cazul în care vor apărea probleme ulterioare.

  1. Dispozitive externe care pot șterge documente

Utilizarea stickului de memorie USB și a altor modalități de stocare externă reprezintă un punct comun în răspândirea codurilor malițioase. Această modalitate este folosită în prepondernță în America Latină, unde am asistat la familii existe de astfel de coduri care folosesc această tehnică, devenind de-a lungul anilor o problemă majoră pentru toată lumea.

Metoda principală a acestui tip de virusare este folosirea link-urilor directe (LNK), care, prin conectarea dispozitivului USB la un aparat infectat, toate fișierele și documentele dispar și sunt înlocuite cu link-urile cu acces direct. Dacă același USB este inserat într-un nou dispozitiv, în momentul în care utilizatorul accesează aceste link-uri, sistemul va fi virusat (documentele se vor deschide, astfel victima nu va suspecta nimic).

Unele familii de coduri malware au folosit de-a lungul anilor aceasta tehnică de virusare, Win32/Dorkbot,Python/Liberpy.A, JS/Bondat, VBS/Agent.NDH, și chiar variante ale Win32/IRCBot.

Este important ca organizațiile să introducă politici de utilizare pentru aparatele de stocare externă, în principal pentru a se evita furtul de informații. În funcție de tipul de afacere sau de deciziile luate de către organizație, folosirea unei soluții care să permită blocarea selectivă a utilizării acestora este recomandată.

  1. Abuzurile

Exploatarea vulnerabilităților software este o altă modalitate de răspândire a codurilor malware, în principal prin aplicațiile office, navigatoarele de Internet și site-urile web. Provocarea privitoare la defectele din aplicații sau din navigatoarele de Internet este aceea că, în cazul în care utilizatorii nu reușesc să actualizeze o aplicație vulnerabilă sau dacă nu există o rezolvare, companiile pot rămâne expuse pericolelor.

În urmă cu câteva zile, am publicat un studiu referitor la vulnerabilitățile raportate în sistemul de operare Microsoft. Acesta este cel mai comun sistem folosit în întreaga lume – în special în lumea afacerilor. Acest raport ne-a arătat că Internet Explorer este aplicația cu cele mai multe incidente. Riscul unui abuz este în principal asociat cu programele malware. Acesta este un cod care, în termeni simpli, permite unui atacator să controleze un sistem de la distanță.

Abuzurile nu afectează numai endpoint-urile. Serverele web și alte dispozitive conectate în mod direct la internet pot deveni subiectul acestor tipuri de infracțiuni. Pentru combaterea acestor ilegalități, avem nevoie de soluții de securitate proactive cu funcționalități ca cele oferite de ESET Exploit Blocker. Acesta ajută la combaterea abuzurilor și protejează utilizatorii de astfel de situații periculoase precum 0-day. Pentru alte servicii precum serverele web, bazele de date și alte aparate pe care soluțiile de securitate nu sunt foarte des instalate, rulează în mod regulat serviciile de pentesting care ajută la prevenirea tuturor tipurilor de incidente.

  1. Ransomware

Ransomware este una dintre cele mai frustrante amenințări care vizează companiile mari, medii și mici pe întrega suprafață a globului. O virusare cu un astfel de tip de cod poate lăsa o organizație expusă în multe puncte vulnerabile. Chiar dacă sunt alese soluțiile de antivirus de către companii, sau se realizează implementarea unor revizuiri la nivelul protecției, un astfel de atac poate lăsa compania expusă amenințărilor, în funcție de informațiile care sunt deturnate.

Orice companie care își dorește să introducă o politică proactivă de securitate va evita orice modalitate de virusare, dar când astfel de cazuri se întâmplă, instrumentele de recuperare a prejudiciului au o importanță vitală. Înainte de a se produce orice infecție ransomware într-o companie, timpul necesar pentru a obține o copie de siguranță a informațiilor și de redresare a afacerii este cheia minimizării impactului.

  1. Dispozitive mobile neprotejate

Un alt factor de îngrijorare al companiilor sunt dispozitivele mobile. Anul trecut, am consemnat în raportul ESET Security că una din zece companii din America Latină avea soluții de securitate mobile. Dacă luăm în considerare faptul că aceste dispozitive se conectează la aceeași rețea precum computerele – și nu sunt protejate – pot deveni o pârghie pentru atacuri, lăsând cale liberă scurgerilor de informații.

Protejând dispozitivele mobile nu vă securizați numai împotriva codurilor malware, dar ajutați și la apărarea rețelei interne în momentul în care aceste aparate se conectează. În plus, aceste dispozitive pot fi controlate de la o singură consolă pentru endpoint-uri.

Este posibil ca întreprinderile să dispună de politici eficiente pentru dispozitive mobile și, prin urmare, să aplice reguli clare care să reglementeze utilizarea smartphone-uri și altor aparate.

Ce putem face?

Provocarea echipelor de securitate ale companiilor este de a proteja organizația, asigurându-se că niciun echipament din rețeaua lor nu este infectat, iar în cazul în care apare vreo infecție, ei să poată răspunde cât mai repede posibil pentru a minimiza impactul asupra afacerii. Este o provocare dificilă, dar nu imposibilă, dacă luăm decizia de a o înfrunta în mod proactiv.

Pentru a realiza acest lucru, trebuie să știți care sunt pericolele care pot face cel mai mult rău companiei. Acest lucru se realizează în timp, dar înțelegând ce detecții sunt făcute de către antivirus în fiecare zi vă va ajuta să elaborați un plan pentru a rula împreună cu sistemul de securitate al organizației. Puse împreună, toate aceste lucruri vor păstra afacerile – și toate informațiile lor – în siguranță.

 

PABLO RAMOS
CORESPONDENT INDEPENDENT