Streszczenie: W kontekście rosnącej liczby cyberataków, szczególnie w wyniku napięć geopolitycznych, firmy stają przed wieloma wyzwaniami związanymi z ochroną swoich danych i systemów. Cyberprzestępcy wykorzystują emocje i dezinformację wśród ludzi, dostosowując swoje metody ataków. Najczęściej spotykanym zagrożeniem jest phishing, mający na celu wyłudzenie danych logowania lub zainstalowanie złośliwego oprogramowania. Innymi popularnymi atakami są malware, ransomware oraz Man in the Middle (MITM), które pozwalają na kradzież danych, uszkodzenie sprzętu czy przechwytywanie komunikacji. Wiele incydentów wynika z działań pracowników, co czyni ich najsłabszym ogniwem w łańcuchu bezpieczeństwa. Dlatego kluczowe jest wdrażanie rozwiązań prewencyjnych, takich jak zaawansowane testy penetracyjne czy systemy monitorujące, które pomagają w wykrywaniu i eliminowaniu podatności.
O tym, jakie są obecnie najczęstsze rodzaje ataków cybernetycznych wymierzone w firmy oraz jak się przed nimi chronić, opowiada Cezary Wieczorek, wiceprezes ds. sprzedaży i dystrybucji w Cloudware Polska.
Wraz z eskalacją wojny rosyjsko- -ukraińskiej zauważamy rosnącą liczbę ataków cybernetycznych, także tych wymierzanych w biznes. Cyberprzestępcy dostosowują swoje działania do panujących okoliczności i wykorzystują fakt, że w naszym rejonie świata panuje dezinformacja, a ludzie podejmują decyzje pod wpływem emocji. Jakie są obecnie najczęstsze rodzaje cyberataków kierowane w stronę firm?
Obecna sytuacja geopolityczna spotęgowała działania cyberprzestępców w wielu wymiarach. Geopolityczne zawirowania także nie pozostają bez znaczenia. Jak wynika z rozmów z naszymi klientami – lokalnymi, ale też tymi zza wschodniej granicy – (nieetyczni) hakerzy stosują wszystkie możliwe formy ataku. Jednak najczęstszym rodzajem jest phishing. Polega on na wyłudzeniu poufnych informacji – takich jak dane logowania – przez cyberprzestępcę podszywającego się pod inną osobę lub instytucję, a następnie zainfekowaniu komputera szkodliwym oprogramowaniem czy nakłonieniu ofiary do określonych działań.
Następnym pod względem częstotliwości typem ataku jest malware, czyli złośliwe oprogramowanie, które zostało stworzone z myślą o kradzieży danych bądź uszkodzeniu sprzętu. Kolejnym, o którym warto wspomnieć, jest ransomware blokujący dostęp do systemów komputerowych lub szyfrujący dane. Cyberprzestępca stosujący tego typu program żąda okupu za przywrócenie stanu pierwotnego zaatakowanego przez niego systemu. Bardzo częstym rodzajem ataku jest także Man in the Middle (MITM). Metoda ta polega na śledzeniu przez cyberprzestępcę komunikacji czy też wymiany danych pomiędzy stronami bądź ewentualne ich przekształcanie. Modyfikacja komunikacji może polegać również na przekierowaniu ruchu na inne strony internetowe lub serwery.
Jednym z głównych wniosków płynących z wielu raportów poświęconych tematyce cyberbezpieczeństwa jest fakt, że to ludzie są najsłabszym ogniwem. Według szacunków ekspertów, od 50% do 80% incydentów jest spowodowanych działaniami pracowników. Czy istnieją rozwiązania techniczne, które zastosowane wewnątrz organizacji mogą zmniejszyć ten wskaźnik?
W takim przypadku bardzo ważne jest, aby rozwiązanie, które wybieramy, korespondowało z sytuacją wewnątrz organizacji. W przypadku incydentów, które – intencjonalnie lub nie – wynikają z działań pracownika, zalecamy wdrożenie narzędzia PenTera. Jest to w pełni zautomatyzowana platforma do zaawansowanych testów penetracyjnych, które zwiększają odporność na cyberataki w sieciach organizacyjnych. Oprogramowanie identyfikuje, analizuje i pomaga usunąć luki w podatnościach i systemach bezpieczeństwa. Tego typu testy zaliczamy do działań prewencyjnych. Jeśli zaś chodzi o to, co powinniśmy zrobić, gdy ten atak już nastąpił – tu kluczowy okazuje się wyraźny obraz wszystkiego, co wchodzi w skład architektury IT. Mam na myśli swego rodzaju konsolę bezpieczeństwa, taką jak np. IBM Security™ QRadar® XDR. Jest to kompleksowe rozwiązanie służące do wykrywania incydentów cybernetycznych. Natomiast przejrzysty wgląd w infrastrukturę IT danej firmy przekłada się na szybsze reagowanie na zagrożenia.
Jednym z kluczowych aktywów firm są ich dane. Tymczasem aż 31% cyberataków kończy się ujawnieniem lub modyfikacją tych cennych cyfrowych informacji. Co więcej, cyberprzestępcy są w stanie uzyskać do nich dostęp w zaledwie cztery godziny. Czy jest możliwe, aby wykryć działanie przestępcy cybernetycznego w ciągu wspomnianych czterech godzin i powstrzymać go przed atakiem?
Tak, ale pod warunkiem że nasz system będzie odpowiednio zestrojony. Chodzi o to, aby nasza konsola, czyli na przykład wspomniany IBM Security™ QRadar® XDR, była połączona ze wszystkimi wyspowymi rozwiązaniami, które są zaimplementowane w danej firmie i prawidłowo się z nimi komunikowała. Dzięki temu kryjąca się za tym rozwiązaniem sztuczna inteligencja będzie mogła „nauczyć się” tego, jak funkcjonuje dane przedsiębiorstwo, jakie procesy w nim zachodzą. Posiadając taką bazę wiedzy, z łatwością wykryje anomalie, które mogą być potencjalnym atakiem cybernetycznym, a my będziemy mogli wykonać działania, które go sprawnie wyeliminują. Oczywiście te działania mogą być zautomatyzowane.
Jak wynika z szacunków IBM, 70% najbardziej cyberodpornych organizacji wykorzystuje właśnie wspomnianą przez pana automatyzację. Proszę zatem o wyjaśnienie, jaki związek z bezpieczeństwem cybernetycznym firm ma automatyzacja?
Automatyzacja jest pomocna przede wszystkim w wyeliminowaniu ludzkiego błędu. Wyobraźmy sobie sytuację, że w jakimś przedsiębiorstwie jest tysiąc serwerów, które wymagają wgrania aktualizacji. Jeśli zautomatyzujemy ten proces, jest mniejsza szansa na to, że zostanie popełniony błąd. Jest bowiem bardziej prawdopodobne, że pracownik, który powtarza daną czynność nawet setny raz, pod wpływem zmęczenia czy rozdrażnienia ten błąd popełni. Stosując automatyzację, dbamy zatem o bezpieczeństwo naszych systemów. Ponadto wszędzie tam, gdzie wyeliminujemy czynnik ludzki, eliminujemy także możliwość zrealizowania przez cyberprzestępcę ataku phishingowego. Automatyzacja procesów sprawdzi się też wówczas, gdy – niestety – do udanego ataku jednak doszło. Tak jak wspomniałem, w tym przypadku pomocne będzie rozwiązanie IBM Security™ QRadar® XDR, które automatyzuje wszystkie zadania, które należy wykonać.
W kontekście cyberbezpieczeństwa firm często pojawiającym się hasłem jest architektura kontenerowa. Co cechuje tego typu platformy i dlaczego zyskują obecnie na popularności?
Konteneryzacja pomaga w zarządzaniu złożonymi, rozproszonymi systemami mikroaplikacji. Kontenery są wydzielonymi obszarami w jakiejś wirtualnej maszynie, na przykład chmurze obliczeniowej, w których umieszcza się podzielone na mniejsze elementy aplikacje. Chodzi przede wszystkim o szybsze wdrażanie nowych pomysłów biznesowych, ponieważ nie musimy budować od nowa całej infrastruktury pod daną aplikację. Zamiast tego uruchamiamy taki minisystem operacyjny, który w ramach ekosystemu kontenerowego pozwala nam, przykładowo, na przetestowanie jakiegoś pomysłu. Jeśli zaś chodzi o zapewnienie bezpieczeństwa dzięki stosowaniu konteneryzacji, to należy podkreślić, że każdy kontener stanowi odizolowany od reszty wirtualnej przestrzeni element, który jest też odpowiednio chroniony – i to stanowi ich przewagę. Polecanym przez nas rozwiązaniem kontenerowym jest Red Hat OpenShift.
Jakie są aktualne trendy w rozwiązaniach z obszaru cyberbezpieczeństwa?
W ciągu ostatnich kilku lat firmy inwestowały w wiele różnych rozwiązań związanych z ochroną urządzeń końcowych czy użytkowników sieci. Aktualnie dążą do tego, aby zaimplementować w struktury swoich organizacji rozwiązania kompleksowe, które dadzą im możliwość wglądu w to, co się dzieje w ich systemach oraz połączenia wszystkich tych rozwiązań, które do tej pory zdołały wdrożyć, w jeden widok. Kolejnym trendem jest implementacja narzędzi umożliwiających sprawdzanie swojej odporności cybernetycznej w czasie rzeczywistym oraz takich, dzięki którym można w łatwy sposób przeprowadzać testy penetracyjne
