Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody proč by měl mít místo v moderním zabezpečení firem a organizací.
Jaké jsou hlavní faktory napomáhající útokům APT v průmyslových firmách?
Nedostatečná izolace sítě provozních technologií (OT)
Během vyšetřování incidentů se odborníci společnosti Kaspersky stali svědky případů, kdy byly problémy s oddělením a zabezpečením sítě provozních technologií (OT). Šlo například o zařízení, jako jsou technologické pracovní stanice, které byly připojeny jak k běžné IT síti, tak k síti OT.
“V situacích, kdy izolace sítě OT závisí pouze na konfiguraci síťového vybavení, mohou zkušení útočníci toto vybavení vždy překonfigurovat ve svůj prospěch,” řekl Jevgenij Gončarov, vedoucí týmu Industrial Control Systems Cyber Emergency Response Team (ICS CERT) společnosti Kaspersky. “Mohou je například přeměnit na proxy servery pro řízení fungování malwaru nebo je dokonce využít k ukládání a doručování malwaru do sítí, které byly považovány za izolované. Takové škodlivé aktivity jsme zaznamenali při více příležitostech.”
Na bezpečnostních incidentech se stále významně podílí lidský faktor
Při udělování přístupu k sítím OT, ať už vlastním zaměstnancům nebo externím dodavatelům, jsou často opomíjena opatření pro zabezpečení informací. Nástroje pro vzdálenou správu, jako je TeamViewer nebo Anydesk, které měly být použity pouze jednorázově, mohou zůstat aktivní, aniž by si toho někdo všiml. Je však třeba mít na paměti, že tyto kanály jsou snadno zneužitelné útočníky. V roce 2023 společnost Kaspersky vyšetřovala incident, kdy se dodavatel firmy pokusil o sabotáž, k níž využil vzdálený přístup do sítě ICS, který mu byl před několika lety legitimně udělen.
Tento příběh ukazuje, jak je důležité brát v úvahu lidský faktor, protože případní nespokojení zaměstnanci mohou být ovlivněni svým pracovním hodnocením, finančním příjmem nebo politickými motivy, což je může vést k zapojení do kybernetických kriminálních akcí. Možným řešením v takové situaci může být koncept nulové důvěry “Zero Trust”, který považuje uživatele, zařízení a aplikace v systému za a priori nedůvěryhodné. Na rozdíl od jiných řešení typu Zero Trust rozšiřuje společnost Kaspersky tento přístup až na úroveň operačního systému, a to svým řešením založeným na systému KasperskyOS.
Nedostatečná ochrana prostředků pro OT
Při analýze incidentů narazili odborníci společnosti Kaspersky na zastaralé databáze bezpečnostních řešení, chybějící licenční klíče, odstranění klíčů z podnětu uživatelů, zakázané bezpečnostní komponenty či nadměrné výjimky ze skenování a ochrany – to vše přispívá k šíření malwaru.
Například pokud databáze nejsou aktuální a bezpečnostní řešení nelze automaticky aktualizovat, může to umožnit rychlé a snadné šíření pokročilých hrozeb, jako je tomu u útoků APT, kdy se zkušení aktéři hrozeb snaží vyhnout odhalení.
Nezabezpečené konfigurace bezpečnostních řešení
Správné konfigurace bezpečnostního řešení jsou zásadní pro to, aby nedošlo k jeho vyřazení z funkce nebo dokonce zneužití – což je taktika, kterou často vídáme u skupin/aktérů APT. Mohou ukrást informace o síti oběti uložené v bezpečnostním řešení, aby se dostali do dalších částí systému nebo podnikli laterální útok za použití specializovaných nástrojů pro informační bezpečnost.
V roce 2022 zaznamenal tým Kaspersky ICS CERT nový trend v taktice šíření APT, kvůli kterému je správná konfigurace ještě důležitější. Například při hledání postupů laterálního průniku se útočníci již nezastavují u únosu kritických IT systémů, jako je řadič domény. Pokračují k dalšímu cíli – administračním serverům bezpečnostních řešení. Cíle mohou být různé – od umístění malwaru na seznam programů, které nebudou kontrolovány, až po využití nástrojů v bezpečnostním systému k šíření malwaru do dalších systémů, a to i těch, které mají být od infikované sítě zcela odděleny.
Absence kybernetické ochrany v sítích OT
Nechce se tomu skoro věřit, ale v některých sítích OT nejsou řešení kybernetické bezpečnosti na mnoha koncových bodech vůbec nainstalována. I když je síť OT zcela oddělena od ostatních sítí a není připojena k internetu, útočníci mají stále možnosti, jak do ní získat přístup. Mohou například vytvořit speciální verze malwaru, které se šíří například prostřednictvím vyměnitelných USB disků.
Problémy s aktualizacemi zabezpečení pracovních stanic a serverů
Průmyslové řídicí systémy mají specifický způsob fungování, kdy i tak jednoduché úkoly, jako je instalace bezpečnostních aktualizací na pracovních stanicích a serverech, vyžadují pečlivé testování. Toto testování probíhá obvykle během plánované údržby, což způsobuje, že aktualizace nebývají příliš časté. To dává aktérům hrozeb dostatek času na využití známých slabin a provedení útoků.
“V některých případech může aktualizace operačního systému serveru vyžadovat také aktualizaci specializovaného softwaru, například pro monitorování a sběr dat (SCADA), což může zase vyžadovat upgrade dalšího vybavení – to vše může být příliš nákladné. Proto se to často odkládá a v sítích průmyslových řídicích systémů přetrvávají zastaralé systémy,” dodává Gončarov. “Překvapivě dokonce i systémy v průmyslových podnicích, které jsou orientované na internet a které lze relativně snadno aktualizovat, mohou zůstat po dlouhou dobu zranitelné.To vystavuje provozní technologie (OT) útokům a vážným rizikům, jak ukazují scénáře útoků v reálném světě.”
Zdroj: ČTK
Foto: Bing
Malware Anatsa pro Android se dočkal přes 150 000 stažení přes Google Play
Bankovní trojský kůň Anatsa se zaměřuje na uživatele v Evropě a infikuje zařízení se systémem Android prostřednictvím malwarových dropperů umístěných na Google Play.
Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?
S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.
„AI přítelkyně” jsou noční můrou pro soukromí
Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.
4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA
Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.
Jak být anonymnější online
Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.
Nejhorší hacky roku 2023
Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.
0 Comments