11 czerwca 2019

3 wnioski (i 4 najskuteczniejsze zabezpieczenia) wynikające z analizy „mega-ataków”


2017 rok (czyli rok w którym zaczęła się przerwa w prowadzeniu bloga) był pełen istotnych wydarzeń dotyczących cyberbezpieczeństwa. A przynajmniej dwa z nich powinny moim zdaniem przejść do historii. Epidemia WannaCry oraz Non-Petya.

Jeden i drugi atak miał szereg wspólnych cech i to na tym oraz wynikających z tego wnioskach chcę się skoncentrować. Dlaczego podnoszę ten temat w 2019 roku? Bo opadł już kurz, wydarzenia te przeszły do historii i coraz więcej osób o tym zapomina. Już niedługo pewnie pojawią się piewcy twierdzący, że ataki te „trącą myszką”, inni będą pisać wspomnienia o tym jak też bohatersko walczyli z tymi epidemiami i je pokonali. A moim zdaniem jeden i drugi atak obnażył szereg fundamentalnych zaniedbań w wielu organizacjach, które mogą się powtórzyć. A bardzo bym chciał byśmy tym razem byli na to lepiej przygotowani.

Popatrzmy więc na te podobieństwa.
  1. Obydwa ataki przypisuje się działalności grup sponsorowanych przez państwa
Zarówno WannaCry jak i non-Petya wydaje się, że były stworzone przez zespoły funkcjonariuszy pracujących na rzecz (w strukturach) organów państwowych. Żeby było ciekawiej wykorzystały narzędzia opracowane przez „funkcjonariuszy” trzeciego z państw.
Interesujące jest zastanowienie się nad motywami, które przyświecały przestępcom (w mundurkach). W pierwszym przypadku wydaje się, że mogło chodzić o najzwyklejsze pozyskiwanie waluty. W drugim przypadku bardziej popularna jest teoria, że chodziło o zademonstrowanie swoich możliwości i danie bolesnej nauczki.
Jeżeli tak było naprawdę to proszę jednak zwrócić uwagę na to kto tak naprawdę poniósł największe straty. Czy były to rządy niejako z założenia uwikłane w różne gierki? Nie – prawdziwymi ofiarami były firmy, korporacje oraz osoby prywatne, które utraciły dane, pieniądze, zamówione towary, zdrowie, czy po prostu, których posiadane akcje straciły na wartości. Rządy miały zimny prysznic z którego (raczej) wyciągnęły wnioski w zakresie koordynacji prac. Jaki z tego płynie wniosek? Najlepiej odnieść się do autorytetu. Bruce Schneier od lat ostrzega przed tym by pozwalać rządom (szczególnie służbom wojskowym) na wykorzystywanie w sposób nienadzorowany swoich możliwości technicznych. Możliwości te jak widać są potężne, z każdym dniem de facto rosną. Potrzeba jednak bardzo jasnego ustalenia czy i kiedy z nich korzystać, jak je wcześniej przetestować by mieć pewność, że „dobrze” działają. Dobrze czyli w sposób oczekiwany przez głównodowodzących, gdyż w obydwu przypadkach mam wrażenie, że ich intencje były trochę inne niż ostateczne skutki.

  1. Obydwa ataki zakończyły się „nijak”
Jeden i drugi atak to miesiące prac przygotowawczych i naprawdę zauważalna inwestycja finansowa. To zespoły programistów, speców od cyber, PM’ów. Pewnie też testerów. I jakie mamy skutki? WannaCry rozprzestrzenia się po świecie niszcząc co się da. Szczególnie dotknięty jest brytyjski sektor ochrony zdrowia, gdzie oprócz strat bezpośrednich w wysokości 92 000 000 funtów odwołane jest około 19 000 wizyt. Na całym świecie robak zainfekował około 300 000 maszyn a całkowite straty szacowane są co najmniej na setki milionów dolarów. Byłyby większe ale nie dość, że Microsoft następnego dnia opublikował łatkę (dobrze, że miał czas ją przygotować - dostał wcześniej informacje ze służb, że wyciekł niebezpieczny kod pewnie będzie wykorzystany) to jeszcze w trakcie analizy udało się znaleźć „kill-switch”. I to drugie rozwiązanie tak naprawdę uratowało sporą część Internetu, bo kto łata systemy na bieżąco… ;-)
W przypadku non-Petya wiadomo, że kwota strat przekroczyła 1 000 000 000 dolarów (Wired powołując się na informacje z Białego Domu szacuje je na 10 000 000 000$). Głównym celem były organizacje powiązane z Ukrainą, ale epidemia rozprzestrzeniła się znacznie szczerzej siejąc chaos gdzie się da. Wśród ofiar znajdują się podmioty z kilku państw, które można by próbować oskarżyć o przygotowanie ataku, co raczej dowodzi temu, że Internet nie zna granic i każdemu może się oberwać gdy będzie się nieumiejętnie bawił swoimi zabawkami. W kodzie robaka znaleziono też zaawansowanego backdoor’a, ale najprawdopodobniej nie został on uruchomiony. Zabrakło czasu? Ktoś spanikował widząc co się dzieje? A może jednak był wykorzystany, ale tylko w kilku szczególnie wyselekcjonowanych miejscach? Nie wiadomo...

Popatrzmy teraz na przychody/zyski/korzyści. WannaCry „zarobił” 130 000$ (za x miesięcy pracy x-osobowego zespołu). Słaba ta inwestycja.
Non-Petya „zarobił” 10 000$ (co jednak w tym przypadku było poboczne – wygląda, że od początku miał o być nie ransomware a wiper), nie uziemił Ukraińskiej gospodarki ale za to spowodował straty w wielu innych.
Obydwa ataki pokazały światu, że cyberataki na masową skalę są możliwe, że są państwa posiadające potencjał do ich przeprowadzenia i spowodowały, że przygotowania do ich odparcia w przyszłości ruszyły pełną parą. Ale czy naprawdę to kolejny wyścig zbrojeń miał być rzeczywistym skutkiem tych infekcji? Nie wydaje mi się.
Wniosek jaki mi się nasuwa jest taki tak jak poprzednio. Weseli chłopcy bawią się, nikt ich nie nadzoruje ale płaczą potem wszyscy. A cóż może maluczki wobec zabawy tak potężnych mocy? Ubezpieczenia nie pomogą więc trzeba się zabezpieczać samemu.

  1. Przypomnijmy sobie o podstawach cyberbezpieczeństwa
    1. Łatanie to podstawa
Skoro zabezpieczać trzeba się samemu to wróćmy do podstaw. W przypadku WannaCry wystarczyło mieć zainstalowane krytyczne poprawki bezpieczeństwa (słowo „krytyczne” zazwyczaj oznacza coś ważnego ;-) ). W przypadku non-Petya byłoby to za mało, ale to nie jest jedyne zabezpieczenie jakiego można próbować...
    1. Strefowanie sieci
Płaskie sieci są zmorą dużych organizacji. Kiedyś, kiedy wszystko było proste i bezpieczne nikomu nie chciało się męczyć w jakieś tam podsieci. Po latach wyodrębnienie poszczególnych podsieci jest znacznie większym wyzwaniem. Niemniej za błędy przeszłości trzeba będzie kiedyś zapłacić, więc teraz może być to właściwym momentem?
W każdej dużej organizacji są działy mające bardzo różne potrzeby w zakresie bezpieczeństwa IT. Pracownicy IT mają duże uprawnienia, osoby zajmujące się marketingiem muszą dużo surfować po sieci, HR musi mieć możliwość swobodnej komunikacji z potencjalnymi kandydatami przesyłającymi im dokumenty a finanse powinny mieć bardzo utwardzone stacje robocze gdyż ich przejęcie może spowodować duże straty - a typowy księgowy nie potrzebuje żadnych szczególnych uprawnień. Infrastruktura automatyki przemysłowej z założenia nie powinna mieć potrzeb w zakresie swobodnego dostępu do internetu. Coraz częściej można też spotkać wydzielone podsieci serwerowe, DMZ albo i podsieci dedykowane samej infrastrukturze bezpieczeństwa. Takie podejście do sieci spowoduje, że szanse by infekcja przeniosła się na całą organizację (jak to miało miejsce w przypadku w.wym. ataków) będą zdecydowanie niższe.
    1. Dobry system anty malware
Tak… O ile mi wiadomo żaden z silników anty malware nie zatrzymywał tych ataków. Niemniej z drugiej strony jestem przekonany, że ich producenci odrobili pracę domową i w przypadku rozpoznania tego typu ataków ich reakcja będzie również błyskawiczna, sygnatury błyskawicznie się rozprzestrzenią i uda się ograniczyć ilość zainfekowanych organizacji. Możliwość zablokowania szkodliwego kodu uruchamianego przez pracowników na stronach www czy w mailach jeszcze zanim dotrze ono do stacji końcowych będzie kluczem dla skutecznej ochrony. Kluczowe jednak będzie to na ile szybko producenci dobrych silników będą w stanie wypuszczać sygnatury (co najmniej). Mam też nadzieję, że i heurystyka w tych narzędziach została przebudowana...
    1. Kopie bezpieczeństwa
Są podstawą i tyle – pod warunkiem, że są składowane w bezpiecznym miejscu, nadają się do odzyskania danych oraz towarzyszy im niezbędna i dobrze przygotowana dokumentacja.
Dane rządzą organizacjami. Bez nich firmy cofają się lata wstecz. A szantażyści o tym doskonale wiedzą. W przypadku infekcji można więc płacić łudząc się, że „etyczny cyberkryminalista” prześle kody, można budować organizację od zera, a można też ponownie zainstalować całą infrastrukturę ale przynajmniej posiadając dane. Wybór należy do Ciebie ;-)


W podobnych opracowaniach lista tego typu porad jest znacznie szersza. Wspomina się potrzebę budowania świadomości personelu, podkreśla konieczność pracy na minimalnych uprawnieniach, podkreśla potrzebę logowania, monitorowania i korelowania zdarzeń (typu uruchamianie psexec.exe), przypomina o potrzebie hardeningu maszyn (czy wszyscy potrzebują SMBv1?), czy przeprowadzania okresowych testów bezpieczeństwa. Ale moim zdaniem to te wymienione wyżej 4 zabezpieczenia będą kluczowe gdy podobny atak pojawi się w przyszłości.
Gdy znów funkcjonariusze pracujący na rzecz różnych mocarstw zaczną się bawić w niszczenie Internetu to albo uda się nam go (przypadkiem) powstrzymać najnowszymi łatkami lub systemem antymalware albo przynajmniej ograniczymy skutki do danej podsieci albo skoncentrujemy się na sprawnym odtworzeniu infrastruktury IT. Doświadczenia pokazują, że potrwa to kilka tygodni, ale jednak jest możliwe. 

Brak komentarzy:

Publikowanie komentarza

Dzień dobry. Komentarze na tym forum są moderowane