Ce reprezintă suprafața de atac cibernetic și cum o puteți reduce?


Descoperiți cele mai bune modalități de a atenua suprafața de atac la care este expusă organizația dvs., pentru a maximiza securitatea cibernetică.

În aproape toate metodele de adresare a breșelor moderne de securitate, veți auzi menționată sintagma „suprafață de atac cibernetic” sau altceva similar. Este esențial să înțelegem cum funcționează atacurile și unde sunt cel mai expuse organizațiile. În timpul pandemiei, suprafața de atac informatic a crescut, probabil, mai amplu și mai rapid decât în orice moment din trecut, atrăgând după sine probleme specifice. Din păcate, organizațiilor le este tot mai dificil să își definească precis adevărata dimensiune și complexitate a suprafeței lor de atac, lăsându-și activele digitale și fizice expuse actorilor malware specializați în crearea de atacuri persistente.

Din fericire, prin implementarea unor bune practici, organizațiile își pot îmbunătăți vizibilitatea asupra suprafeței de atac și, odată cu aceasta, pot obține o mai bună înțelegere a ceea ce este necesar pentru a o minimiza și a o securitza cât mai bine.

Care este suprafața de atac a unei companii?

La nivel de bază, suprafața atacului poate fi definită sub forma activelor fizice și digitale pe care o organizație le deține, care ar putea fi compromise pentru a facilita un atac cibernetic. Scopul final al actorilor malware ar putea fi oricare, de la implementarea ransomware-ului și furtul de date până la recrutarea sistemelor într-un botnet, descărcarea troienilor bancari sau instalarea malware-ului pentru minarea de cripto-monede. Concluzia este: cu cât suprafața de atac este mai mare, cu atât ținta pe care o iau în calcul atacatorii este mai amplă și cu mai multe vulnerabilități care pot fi exploatate.

Să aruncăm o privire detaliată asupra a două categorii principale ale suprafeței de atac:

Suprafața de atac digitală

Aceasta subsumează toate componentele hardware, software și componentele conexe conectate la rețeaua unei organizații. Printre acestea se numără:

Aplicații: vulnerabilitățile din aplicații sunt un fapt curent și ele pot oferi atacatorilor un punct de intrare util în sistemele și datele IT critice.

Codul software: un risc major acum este reprezentat de faptul că o mare parte din acesta este compilat din componente terțe, care poate conține malware sau vulnerabilități.

Porturi: atacatorii scanează porturile deschise și verifică dacă serviciile ascultă pe un anumit port (de exemplu, portul TCP 3389 pentru RDP). Dacă aceste servicii nu sunt configurate corespunzător sau conțin erori, vulnerabilitățile de la acest nivel pot fi imediat exploatate.

Servere: acestea ar putea fi atacate prin exploatări de vulnerabilități sau inundate de trafic în atacuri DDoS.

Site-uri web: o altă parte a suprafeței de atac digital, cu mulți vectori de atac specifici, inclusiv vulnerabilități la nivel de cod și configurări greșite. Lacunele enumerate conduc la riscul eliminării frauduloase a paginii web sau la implantarea unui cod rău intenționat pentru drive-by și alte atacuri (de exemplu, formjacking - integrarea de cod malițios pentru extragerea frauduloasă a datelor de plată introduse în formularele online de cumpărare din magazinele online.

Certificate: organizațiile le lasă frecvent să expire, permițându-le atacatorilor să profite de acest lucru.

Aceasta este departe de a fi o listă care să epuizeze zonele de risc. Pentru a evidenția amploarea suprafeței digitale de atac, luați în considerare această cercetare din 2020 făcută asupra companiilor aflate pe lista FTSE 30, din care s-au constatat următoarele:

  • 324 certificate expirate
  • 25 de certificate care folosesc algoritmul de hash SHA-1 învechit
  • 743 posibile site-uri aflate în stadiu de testare expuse în internet
  • 385 de forme nesigure din care 28 au fost utilizate pentru autentificare
  • 46 de framework-uri web care prezentau vulnerabilități cunoscute
  • 80 de cazuri de utilizare a versiunii vechi PHP 5.x
  • 664 versiuni de server web cu vulnerabilități cunoscute

Suprafața fizică de atac

Aceasta cuprinde toate dispozitivele endpoint pe care un atacator le-ar putea accesa „fizic”, precum:

  • Calculatoare desktop
  • Hard disk-uri
  • Laptopuri
  • Telefoane/dispozitive mobile
  • Memorii USB

Putem vedea, de asemenea, dintr-o anumită perspectivă, angajații dvs. ca fiind o parte importantă a suprafeței de atac fizic a organizației, deoarece aceștia pot fi manipulați prin inginerie socială (phishing și variantele sale) în cursul unui atac cibernetic. De asemenea, aceștia sunt responsabili de activitățile denumite generic IT shadow, care presupun utilizarea neautorizată de aplicații și dispozitive, care ocolesc filtrele de securitate ale companiei. Prin utilizarea acestor instrumente neaprobate - și adesea securizate necorespunzător, acestea ar putea expune organizația la amenințări suplimentare.

Devine suprafața de atac din ce în ce mai mare?

Organizațiile își construiesc resursele informatice și digitale de mulți ani. Dar apariția pandemiei a înregistrat investiții la scară masivă, pentru a sprijini munca la distanță și a menține operațiunile comerciale într-un moment de incertitudine extremă a pieței. Această stare a extins, de fapt, suprafața de atac în mai multe moduri evidente:

  • Endpoint-urile folosite în munca de la distanță (de exemplu, laptopuri, desktopuri)
  • Aplicațiile și infrastructura cloud
  • Dispozitive IoT și 5G
  • Utilizarea codului terț și a DevOps
  • Infrastructura de lucru la distanță (VPN-uri, RDP etc.)

Nu pare să mai existe o cale de întoarcere. Potrivit experților, multe companii au fost acum împinse dincolo de un “prag” de utilizare a fluxurilor de lucru digitale care le va schimba operațiunile pentru totdeauna. Este o veste potențial proastă din perspectiva suprafeței de atac, pentru că ar putea conduce la:

  • Atacuri de phishing care vor căuta noi căi prin care să exploateze lipsa de conștientizare a securității în rândul angajaților
  • Programe malware și vulnerabilități noi care să vizeze serverele, aplicațiile și restul sistemelor
  • Parole furate sau atacuri brute pentru realizarea de conectări frauduloase
  • Exploatarea configurărilor greșite (de exemplu, în conturile cloud)
  • Certificate web furate

…și multe altele. De fapt, există sute de vectori de atac în joc pentru actorii malware specializați în crearea de atacuri persistente, dintre care unii sunt extrem de populari. ESET a găsit 71 de miliarde de încercări de compromitere via RDP configurat greșit, între ianuarie 2020 și iunie 2021.

Cum să adresați corect riscurile specifice suprafaței de atac

Suprafața de atac are o importanță fundamentală pentru a pune în practică cele mai bune metode de securitate cibernetică, pentru că înțelegerea dimensiunii sale și adoptarea de măsuri pentru reducerea sau gestionarea acesteia este primul pas către o protecție proactivă. Iată câteva sfaturi:

  • În primul rând, înțelegeți dimensiunea suprafeței de atac prin audituri ale activelor și ale stocării, prin teste de penetrare, scanări ale vulnerabilității și prin restul activităților similare.
  • Reduceți dimensiunea suprafeței de atac și a riscului cibernetic asociat acolo unde puteți prin:
  • Aplicarea de patch-uri, corecții și configurări specifice de management de risc
  • Consolidarea endpoint-urilor și renunțarea la hardware-ul vechi
  • Actualizarea software-ului și a sistemelor de operare
  • Segmentarea rețelelor
  • Folosirea celor mai bune practici DevSecOps
  • Gestionarea vulnerabilităților
  • Reducerea riscul din lanțul de aprovizionare
  • Implementarea de măsuri de securitate a datelor (de exemplu, criptare puternică)
  • Managementul puternic al verificării identității/accesului
  • Adoptarea unui model de securitate zero trust
  • Înregistrarea și monitorizarea prin log-uri a sistemelor
  • Implementarea de programe de instruire care să sporească conștientizarea riscurilor

Mediul IT corporativ este într-o stare constantă de flux - datorită utilizării pe scară largă a VM-urilor, containerelor și micro serviciilor, precum și a sosirii și plecării continue a angajaților și a traficului permanent de hardware și software. Asta înseamnă că orice încercare de gestionare și înțelegere a suprafeței de atac trebuie întreprinsă cu instrumente agile și inteligente care funcționează pe baza datelor, în timp real. Ca întotdeauna, „vizibilitatea și controlul” ar trebui să fie prioritatea dvs. numărul unu.

Phil Muncaster September 22, 2021

Lasa un comentariu