Nowoczesny Bank Spółdzielczy | Technologie – Commvault | Commvault® Cloud Cleanroom™ Recovery – cyberodporność na miarę aktualnych zagrożeń
Krajobraz cyberzagrożeń wciąż ewoluuje, rozszerza się, a cyberataki stają się coraz bardziej wyrafinowane. By im sprostać, zespoły IT muszą wiedzieć, z czym przyjdzie im się mierzyć w roku 2024. Dlatego Darren Thomson, Chief Technology Officer Commvault na region EMEAI (Europa, Bliski Wschód, Afryka, Indie) w firmie Commvault, wskazał trzy typy cyberzagrożeń, na które obecnie należy zwracać szczególną uwagę, a także jedną z nowych funkcjonalności, pozwalającą skutecznie stawić im czoło. Przyjrzyjmy się im bliżej.
Zagrożenie 1. Live Off the Land
Zamiast instalować złośliwe oprogramowanie, aktualnie hakerzy coraz częściej korzystają z narzędzi i zasobów będących immanentną częścią systemów operacyjnych. Te ataki, zbiorczo określane jako Live Off the Land (LOL), umożliwiają obejście tradycyjnych środków bezpieczeństwa i są trudne do wykrycia.
Przykładowo, hakerzy atakują podpisane pliki binarne (LOLBins), skrypty (LOLScripts) i biblioteki. Wykorzystując natywne narzędzia systemu operacyjnego, ukrywają swoje działania w ramach normalnych operacji systemowych i omijają tradycyjne środki bezpieczeństwa, polegające na wykrywaniu i reagowaniu na punktach końcowych. Dla przykładu – natywne narzędzia systemu Windows, takie jak Cmd.exe (domyślny interpreter wiersza poleceń), są przez nich wykorzystywane do wykonywania skryptów i poleceń oraz ukrywania trwałych działań backdoora.
Co więcej, taktykę Live Off the Land coraz częściej stosują zorganizowane grupy cyberprzestępców. Niedawno ujawniono, że sponsorowana przez państwo grupa Volt Typhoon stosowała podejście LOL, by prowadzić nasłuch w kilku przedsiębiorstwach użyteczności publicznej obsługujących instalacje wojskowe w Stanach Zjednoczonych.
Zagrożenie 2. AI
Kolejna grupa cyberzagrożeń związana jest ze sztuczną inteligencją. Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (National Cyber Security Centre, NCSC) wydało niedawno ostrzeżenie o zwiększaniu przez AI liczby i zakresu cyberataków. Podkreślając, że generatywne narzędzia sztucznej inteligencji nie tylko obniżają barierę wejścia dla mniej zaawansowanych hakerów, ale i zwiększają ich możliwości, NCSC wezwało do natychmiastowych działań obronnych.
I rzeczywiście, według jednego z niedawnych raportów, specjaliści ds. cyberbezpieczeństwa w dużych przedsiębiorstwach potwierdzają, że już teraz są świadkami znacznego wzrostu zagrożeń generatywną sztuczną inteligencją. Jej narzędzia, takie jak chatboty, już są wykorzystywane do tworzenia wysoce spersonalizowanych internetowych kampanii phishingowych, złośliwego oprogramowania uruchamianego naciśnięciem klawiszy czy podstawowego kodu zaprojektowanego w celu łamania danych uwierzytelniających i algorytmów konkretnego celu.
Rosną też obawy, że złe podmioty będą wykorzystać analizę opartą na sztucznej inteligencji i modelowanie predykcyjne do odkrycia wrażliwych zasobów lub identyfikacji nowych parametrów, które można wykorzystać przy minimalnym wysiłku.
Zagrożenie 3. RaaS (Ransomware as a Service)
Wreszcie, hakerzy stworzyli ostatnio bardzo już złożone modele subskrypcji i dystrybucji RaaS (złośliwego oprogramowania wymuszającego okup), które ułatwiają podmiotom zagrażającym o ograniczonej wiedzy specjalistycznej lub know-how inicjowanie wysoce zaawansowanych ataków przy użyciu najnowocześniejszych technik i podejść.
Ponieważ dostawcy RaaS specjalizują się obecnie w określonych aspektach procesu ataku, dzisiejsi potencjalni napastnicy mogą skorzystać z zestawów zapewniających wszystko, czego będą potrzebować, aby rozpocząć działanie. Te gotowe narzędzia obejmują portale płatnicze i specjalistyczne usługi wsparcia, a także szereg wariantów ransomware, takich jak LockBit, Revil i Dharma. Wszystko to można połączyć, aby stworzyć dostosowany do indywidualnych potrzeb atak ransomware.
Przerwać błędne koło
Co robić w obliczu tak poważnego rozwoju cyberzagrożeń? Darren Thomson radzi, by powrót do normalnej działalności po cyberataku postrzegać jako najważniejszy cel bezpieczeństwa, a pierwszorzędne znaczenie nadać wdrożeniu skutecznych technik odzyskiwania danych. Za jedną z nich uznawane jest przywracanie danych po cyberataku do czystego środowiska – tzw. cleanroomu.
Cyberprzestępcy bowiem – w miarę rosnącego wyrafinowania metod swojego działania – nie tylko infiltrują i uszkadzają dane oraz systemy produkcyjne, ale także umieszczają złośliwe oprogramowanie w kopiach zapasowych. Gdy po tego typu ataku organizacja przygotowuje się do odzyskania danych, często utyka w błędnym kole przywracania wirusa, a niejednokrotnie i pierwotnego dostępu przestępcy. Sprawia to, że pomyślne odzyskanie zdrowia organizacji jest prawie niemożliwe i nie pozostawia jej innego wyboru niż zapłata okupu.
Czy oznacza to, że kopie zapasowe w przypadku cyberataku są mało ważne? Oczywiście nie. Wciąż mają one kluczowe znaczenie – jak inaczej organizacje mogłyby szybko powrócić do normalnej pracy po ataku? Jednak – ponieważ obecnie stały się celem cyberprzestępców – należy skupić się na czystych kopiach zapasowych i odzyskiwaniu danych.
Niezbędne do tego są systemy wykrywania anomalii i wczesnego ostrzegania. Tylko wtedy firmy będą mogły uniemożliwić cyberprzestępcom infiltrację kopii zapasowych. Należy więc na bieżąco analizować wszelkie nietypowe działania, takie jak szyfrowanie pliku czy zwiększenie jego wielkości, i w przypadku wykrycia, że jest to złośliwe oprogramowanie, zatrzymać je, zanim będzie miało szansę się rozprzestrzenić.
Cleanroom bardziej dostępny dzięki chmurze
– Jednak czyste kopie zapasowe są przydatne tylko wtedy, gdy masz czyste środowisko, w którym możesz odzyskać dane. Ponadto plan naprawczy jako przygotowanie do reakcji na cyberatak, który nie został przetestowany, nie jest żadnym planem naprawczym! – tłumaczy Darren Thompson. – Problem polega na tym, że właściwe testowanie i przywracanie do czystego środowiska (cleanroom) było w przeszłości bardzo kosztowne i skomplikowane. Teraz, wykorzystując moc chmury i sztucznej inteligencji, jest to możliwe niskim kosztem i w sposób skalowalny. Chmura umożliwia tworzenie od podstaw środowisk wirtualnych, które są w 100% wolne od złośliwego oprogramowania, dzięki czemu można bezpiecznie przywracać i testować czyste kopie zapasowe i dane. Takie środowiska chmurowe można uruchamiać i usuwać po zakończeniu testów, aby umożliwić regularne testowanie przy jednoczesnym utrzymaniu niskich kosztów. Dzięki temu w najbardziej krytycznych okolicznościach zapewnione jest szybkie, bezproblemowe i niezawodne przywracanie. Ostatecznie chodzi o odporność cybernetyczną – zdolność przeciwstawienia się atakom i kontynuowania działalności nawet wtedy, gdy wydarzy się najgorsze.