Στον κόσμο της ασφάλειας πληροφορικής γενικότερα, το έτος 2020 μέχρι σήμερα θα μπορούσε να ονομαστεί και έτος ransomware. Οι ειδήσεις είναι γεμάτες αναφορές για νέες επιθέσεις ransomware και λαμβάνοντας υπόψη της τάση που κυριαρχεί μέχρι στιγμής, δεν αναμένεται να καλυτερεύσει η κατάσταση.
Πολλοί οργανισμοί, έχοντας επίγνωση αυτής της κατάστασης, επικεντρώνουν τις προσπάθειές τους στην προστασία τους από τις επιθέσεις ransomware. Και αυτό συχνά σημαίνει ότι μετατοπίζουν τους προϋπολογισμούς τους μακριά από την ασφάλεια Ιστού. Δυστυχώς για αυτούς, αυτό σημαίνει ότι καθιστούν τα συστήματα πληροφορικής τους λιγότερο ασφαλή έναντι του ransomware.
Παρακάτω θα βρείτε τους 5 λόγους που αποδεικνύουν ότι η φροντίδα της ασφάλειας ιστού(web security) είναι πολύ σημαντική για να αποφύγετε το ransomware.
1. Το ransomware είναι το αποτέλεσμα επίθεσης που κλιμακώθηκε
Το ransomware δεν είναι η ίδια η επίθεση, είναι το αποτέλεσμα της κανονικής επίθεσης.
Αν επρόκειτο να συγκρίνουμε το αποτέλεσμα του ransomware με μια ασθένεια, το λογισμικό ransomware αντιπροσωπεύει τον ιό ή κάποιο βακτήριο. Μόλις ο ιός ή το βακτήριο εισέλθουν στο σώμα του ξενιστή, είναι σε θέση να πολλαπλασιαστεί και να μολύνει ολόκληρο το σύστημα, συχνά με θανατηφόρα αποτελέσματα. Έτσι είναι και το ransomware, μόλις εισέλθει στο σύστημα, ενδέχεται να καταστεί αδύνατη η αποτροπή του.
Ακριβώς λοιπόν όπως ένα βακτήριο ή ιός δεν μεταπηδά απλώς από τον ένα ξενιστή στον άλλο, το ίδιο συμβαίνει και με το ransomware. Πρέπει με κάποιο τρόπο να εισαχθεί στο σύστημα. Και το πιο αποτελεσματικό μέτρο άμυνας βρίσκεται σε αυτό το στάδιο – στο στάδιο δηλαδή που μπορούμε να αποτρέψουμε την είσοδο του ransomware στο σύστημα.
Όπως συμβαίνει και με τα βακτήρια και τους ιούς, τα στελέχη του ransomware μπορούν να προσβάλλουν ένα σύστημα με διαφορετικούς τρόπους και διάφορες μεθόδους. Για παράδειγμα, ένα βακτήριο ή ένας ιός μπορεί να εξαπλωθεί με ένα άγγιγμα ή με σταγονίδια σάλιου. Παρομοίως, το ransomware μπορεί εξίσου εύκολα να προσβάλει ένα σύστημα μέσω ηλεκτρονικού ψαρέματος (phishing) και κοινωνικής μηχανικής ή χρησιμοποιώντας exploits σε ένα σύστημα. Και στις μέρες μας, οι περισσότερες από αυτές τις ευπάθειες είναι ευπάθειες Ιστού (για μια εξήγηση του γιατί – βλ. το 3 παρακάτω).
Συμπέρασμα: Για να προστατευτείτε από το ransomware, πρέπει να εστιάσετε πλήρως στην προστασία σας ενάντια σε επιθέσεις που μπορούν να χρησιμοποιηθούν ως μέσα για την παράδοση του ransomware στα συστήματά σας. Μόλις το ransomware βρεθεί στο σύστημά σας, θα είναι πολύ αργά.
2. Οι διαδικτυακές επιθέσεις χρησιμοποιούνται για την εξάπλωση του ransomware
Το ηλεκτρονικό ψάρεμα και η κοινωνική μηχανική είναι οι συνηθέστεροι τρόποι παράδοσης ransomware. Ωστόσο, το ηλεκτρονικό ψάρεμα (phishing) συχνά ενισχύεται από κοινές διαδικτυακές ευπάθειες, όπως είναι το cross-site scripting (XSS). Τέτοιες ευπάθειες επιτρέπουν στους εισβολείς να χρησιμοποιούν γνωστά domain names, όπως για παράδειγμα είναι το όνομα της επιχείρησης σας, για να προχωρούν σε επιθέσεις σε υπαλλήλους σας και σε άλλους.
Ας υποθέσουμε ότι η εφαρμογή Ιστού της επιχείρησης σας έχει μία ευπάθεια XSS. Αυτό επιτρέπει στον επιτιθέμενο να αποστείλει στους υπαλλήλους σας μια διεύθυνση URL με το όνομα τομέα σας, κάτι που βεβαίως καθιστά την διεύθυνση ιδιαίτερα πειστική. Όταν όμως ο υπάλληλος σας επισκεφτεί την συγκεκριμένη διεύθυνση, θα μεταφερθεί αυτόματα σε μια κακόβουλη τοποθεσία και σχεδόν αμέσως θα προχωρήσει στη λήψη ενός προγράμματος εγκατάστασης ransomware. Πιστεύετε ότι οι υπάλληλοί σας δεν θα πέσουν θύματα ενός τέτοιου τεχνάσματος; Ξανασκεφτείτε το!
Ακόμα χειρότερα, ο εισβολέας μπορεί να χρησιμοποιήσει την ευάλωτη διαδικτυακή σας εφαρμογή για να επιτεθεί σε επιχειρηματικούς συνεργάτες σας, σε πελάτες σας ή ακόμα και στο ευρύτερο κοινό, εκθέτοντας την αδυναμία των συστημάτων σας και βλάπτοντας ανεπανόρθωτα τη φήμη σας. Για να αποφύγετε κάτι τέτοιο, πρέπει να βεβαιωθείτε ότι κανένα από τα συστήματά σας που χρησιμοποιούν τα domain name σας δεν έχουν τέτοιες ευπάθειες XSS.
Συμπέρασμα: Οι ευπάθειες ιστού σας μπορεί να επιτρέψουν επιθέσεις ηλεκτρονικού ψαρέματος (phishing) εναντίον του ίδιου σας του οργανισμού, των συνεργατών σας, των πελατών σας ή ακόμα και του ευρύτερου κοινού. Και αυτό ενδέχεται να βλάψει ανεπανόρθωτα το όνομα και τη φήμη της επιχείρησης σας.
3. Η μετάβαση στο cloud σημαίνει ότι περισσότεροι κυβερνοεγκληματίες έχουν βάλει στόχο το cloud
Όπως αναφέρουμε στον 1ο λόγο, το ransomware μπορεί να παραδοθεί στο σύστημα προορισμού από τους κυβερνοεγκληματίες χρησιμοποιώντας διάφορες τεχνικές και μεθόδους που πολύ συχνά εκμεταλλεύονται ευπάθειες και κενά ασφαλείας. Πριν από λίγο καιρό, οι περισσότερες από αυτές τις ευπάθειες βρίσκονταν σε συστήματα υποδομής, στις εγκαταστάσεις των επιχειρήσεων, και αναφερόμαστε για παράδειγμα σε δικτυακά κενά ασφαλείας που οφείλονται σε ξεπερασμένο λογισμικό ή σε εσφαλμένη διαμόρφωση των τοπικών δικτύων κ.ά. Σήμερα, και ειδικά φέτος που οι περισσότερες επιχειρήσεις υιοθέτησαν την τηλεργασία, τα εταιρικά δίκτυα χάνουν ακόμη περισσότερο έδαφος.
Τέτοια εσωτερικά δίκτυα αντικαθίστανται από το cloud. Και το cloud βασίζεται πλήρως σε τεχνολογίες Ιστού. Επομένως, η μετάβαση στο cloud σχετίζεται με την αυξανόμενη σημασία των τρωτών σημείων ιστού. Ένα θέμα ευπάθειας που πιθανότατα επηρέαζε μόνο ιστότοπους μάρκετινγκ τώρα μπορεί να επηρεάσει επιχειρηματικά κρίσιμα συστήματα και επιχειρηματικά δεδομένα.
Οι δημιουργοί του ransomware μένουν επίσης μπροστά από την εποχή. Γνωρίζουν ότι δεν αρκεί πλέον ένας κακόβουλος κρυπτογράφος να ανιχνεύει μέσω ενός τοπικού δικτύου και να μολύνει τοπικούς επιτραπέζιους υπολογιστές και διακομιστές. Γνωρίζουν ότι σήμερα, όλο και περισσότερα δυνητικά θύματα χρησιμοποιούν λεπτούς πελάτες (προγράμματα περιήγησης) και έχουν πρόσβαση σε δεδομένα που αποθηκεύονται στο cloud. Επομένως, συνειδητοποιούν ότι πρέπει να εκμεταλλευτούν όλο και περισσότερες ευπάθειες στο web / cloud για να διασφαλίσουν ότι το λογισμικό ransomware είναι το πιο αποτελεσματικό.
Συμπέρασμα: Οι περισσότεροι οργανισμοί είτε χρησιμοποιούν ήδη το cloud είτε μετακινούνται σε αυτό, καθιστώντας την ασφάλεια δικτύου ξεπερασμένη. Η εστίαση στην ασφάλεια του δικτύου αντί της ασφάλειας του διαδικτύου σε αυτήν την ημέρα και εποχή κάνει τις προσπάθειες ασφάλειας μάταιες.
4. Οι οργανισμοί δεν αναφέρουν λεπτομέρειες για την επίθεση
Επειδή άλλοι οργανισμοί που έχουν πέσει θύματα του ransomware δεν μοιράζονται λεπτομέρειες για την εμπειρία τους, είναι δύσκολο να μάθετε πως να υπερασπιστείτε την επιχείρησή σας από το ransomware. Δυστυχώς, συνηθίζουν να ενημερώνουν απλώς το κοινό ότι έπεσαν θύματα μιας επίθεσης ransomware και τίποτα περισσότερο.
Παρόλα αυτά, είναι μάλλον κατανοητή αυτή η συμπεριφορά. Καταρχήν, οι οργανισμοί που δέχτηκαν την επίθεση, ενδέχεται να μην είναι σε θέση να διορθώσουν άμεσα τις αδυναμίες της ασφάλειας τους. Δεύτερον, για να μην πέσουν ενδεχομένως ξανά θύματα τέτοιων επιθέσεων, οι οργανισμοί φοβούνται να μοιραστούν λεπτομέρειες για τον φορέα της επίθεσης. Τρίτον, πολλοί οργανισμοί πιστεύουν, και λανθασμένα, ότι το να αναγνωρίσουν τα λάθη τους ενδέχεται να βλάψει το όνομα και τη φήμη τους.
Δυστυχώς, αυτή η συμπεριφορά επιβραδύνει την ανάπτυξη αποτελεσματικών μεθόδων προστασίας και έχει συνολικά αρνητικό αντίκτυπο στην ασφάλεια της πληροφορικής σε παγκόσμιο επίπεδο. Και αυτή η κατάσταση, ειδικά τώρα που ζούμε εν μέσω πανδημίας, θα μπορούσε να συγκριθεί με την περίπτωση μίας χώρας που επηρεάστηκε από έναν θανατηφόρο ιό αλλά δεν κοινοποιούσε λεπτομέρειες σχετικά για πολιτικούς λόγους.
Συμπέρασμα: Η μη κοινοποίηση στοιχείων και λεπτομερειών που αφορούν τους φορείς επίθεσης για την παράδοση του ransomware στα συστήματα των θυμάτων δυσκολεύει τις άλλες επιχειρήσεις να αποφύγουν το ransomware.
5. Τα μέσα εστιάζουν στο πρόβλημα και όχι στη λύση
Αυτό που κάνει όμως την κατάσταση ακόμη χειρότερη είναι το γεγονός ότι στις σπάνιες περιπτώσεις που γίνονται γνωστές οι λεπτομέρειες μίας επίθεσης, τα περισσότερα μέσα μαζικής ενημέρωσης αποφασίζουν να μην τις αναφέρουν τελικά. Και αυτό ισχύει στην περίπτωση όλων των παραβιάσεων ασφαλείας. Αντ ‘αυτού, τα μέσα ενημέρωσης επικεντρώνονται στα περισσότερο δημοφιλή ζητήματα, όπως στον αντίκτυπο που έχει η επίθεση ransomware.
Για παράδειγμα, για να μάθετε ότι η παραβίαση δεδομένων της Capital One το 2019 προκλήθηκε server-side request forgery (SSRF) θα πρέπει να προχωρήσετε σε ενδελεχή έρευνα και να «σκάψετε» πολύ βαθιά στις μηχανές αναζήτησης. Στη συντριπτική τους πλειονότητα, τα μέσα μαζικής ενημέρωσης δεν ανέφεραν τέτοιες κρίσιμης σημασίας πληροφορίες.
Λαμβάνοντας υπόψη την συμπεριφορά των μέσων ενημέρωσης και των επιχειρήσεων που έχει ως αποτέλεσμα το ransomware να αποτελεί ακόμα μεγαλύτερο πρόβλημα για τις επιχειρήσεις σε όλο τον κόσμο, αποτελεί ευχάριστη έκπληξη να βλέπουμε μεγάλες επιχειρήσεις να ακολουθούν τις βέλτιστες πρακτικές. Δεν υπάρχει πιθανώς καλύτερο παράδειγμα από αυτό της εταιρείας Cloudflare. Όταν το 2019 για παράδειγμα η Cloudflare αντιμετώπισε μια σημαντική διακοπή στις υπηρεσίες της που προκλήθηκε από ανθρώπινο σφάλμα και τη χρήση ενός web application firewall (WAF), περιέγραψε με εντυπωσιακό επίπεδο λεπτομέρειας ολόκληρο το συμβάν – και κάτι τέτοιο αποτελεί μόνιμη πρακτική τους.
Συμπέρασμα: Συνιστούμε θερμά τα μέσα ενημέρωσης να μοιράζονται τις λεπτομέρειες της επίθεσης. Αν γίνουν γνωστές οι πληροφορίες και μάθουμε για τα πρώτα βήματα μιας επίθεσης ransomware, όλοι μας θα έχουμε περισσότερες πιθανότητες να προστατευθούμε από τέτοιες επιθέσεις μελλοντικά.