Głośne cyberataki: sygnał ostrzegawczy dla małych firm
- W ciągu ostatniej dekady cyberataki zyskały na wyrafinowaniu i zasięgu, dotykając zarówno małe firmy, jak i gigantów technologicznych i agencje rządowe.
- Incydenty takie jak globalne ataki ransomware „NotPetya”, gigantyczne włamanie do Equifax oraz ataki SolarWinds i Kaseya na łańcuchy dostaw to alarmy, których żadna organizacja nie może zignorować, jeśli chodzi o bezpieczeństwo.
- Podczas gdy cyberataki stały się bardziej zaawansowane, ewoluowały również najlepsze praktyki w zakresie cyberbezpieczeństwa, które mogą zapewnić organizacjom skuteczną obronę.
- Ten artykuł jest przeznaczony dla właścicieli firm, którzy chcą dowiedzieć się więcej o cyberatakach i cyberbezpieczeństwie.
Jak bezpieczna jest witryna i sieć komputerowa Twojej firmy? To pytanie staje się coraz bardziej aktualne z każdym dniem, w miarę jak cyberataki stają się coraz bardziej wyrafinowane i mają coraz większy zasięg. Podczas gdy firmy mają dziś do dyspozycji więcej narzędzi zabezpieczających niż kiedykolwiek wcześniej, hakerzy również poprawili swoje możliwości ataków.
Ostatnia dekada obfitowała w głośne cyberataki, które powinny posłużyć jako lekcja cyberbezpieczeństwa dla firm na całym świecie. Niezależnie od tego, czy są to plany zorganizowane przez konkurencję, czy też kogoś z książeczką czekową i urazą, ataki o znacznej skali mogą przytrafić się zarówno dużym, jak i małym organizacjom. Przyjrzyj się niektórym z największych ataków ostatnich lat i zobacz, jakie kroki powinny podjąć firmy różnej wielkości, aby pomóc się bronić.
Głośne cyberataki w ostatniej dekadzie
W ciągu ostatnich 10 lat zaobserwowaliśmy znaczny wzrost liczby, zasięgu i skutków cyberataków. Incydenty wyszczególnione poniżej pokazują, że chociaż prawie żadna organizacja nie jest w pełni chroniona przed potencjalnymi incydentami związanymi z bezpieczeństwem, istnieją działania, które lepiej przygotowane organizacje mogą podjąć, aby zapobiec najgorszym możliwym skutkom.
2013: Włamanie do New York Timesa
W 2013 r. aktywiści hakerscy (znani również jako haktywiści) przejęli witrynę internetową The New York Times w ataku „zniekształcenia”, w wyniku którego treść witryny została zastąpiona logo i komunikatem „Zhakowany przez Syryjską Armię Elektroniczną” (SEA). Atakujący włamali się również na konto Timesa na Twitterze. Atak, choć zaszkodził reputacji Timesa i tymczasowo uniemożliwił firmie dostarczanie treści online, nie spowodował żadnych trwałych szkód.
Wygląda na to, że haktywiści nie naruszyli żadnego z wewnętrznych systemów Timesa. Zamiast tego zaatakowali rejestratora nazw domen gazety, który miał luźne standardy bezpieczeństwa. Celując w rejestratora, atakujący byli w stanie uzyskać dostęp potrzebny do tymczasowego usunięcia strony internetowej Timesa i konta na Twitterze.
2014: włamanie do Sony Pictures
Pod koniec 2014 roku grupa nazywająca się Guardians of Peace włamała się do wewnętrznych systemów Sony Pictures Entertainment. Grupa ukradła terabajty prywatnych danych firmy, skasowała oryginalne dane i powoli ujawniła skradzione informacje dziennikarzom, a ostatecznie Wikileaks. Firma Sony stanęła w obliczu katastrofy public relations, strat finansowych i uszkodzeń technologicznych w swoich sieciach wewnętrznych, których naprawienie zajęło administratorom kilka dni.
Podczas gdy Strażnicy Pokoju przedstawiali się jako haktywiści, grupa groziła również atakami terrorystycznymi. Ostatecznie FBI i NSA przypisały włamanie grupie powiązanej z Koreą Północną.
2017: Atak Maerska
W 2017 roku świat doświadczył pierwszej prawdziwej cyberpandemii, gdy cyberbroń ransomware NotPetya rozprzestrzeniła się szybko i w niekontrolowany sposób po większej części świata. Uważa się, że został opracowany przez powiązanych z Rosją hakerów zwanych „Sandworm”, grupa wdrożyła NotPetya przeciwko wybranym ukraińskim firmom, przejmując procedurę aktualizacji wszechobecnego ukraińskiego oprogramowania księgowego o nazwie MEDoc. Przejmując kontrolę nad serwerami aktualizacji MEDoc, Sandworm był w stanie zainstalować NotPetya na tysiącach komputerów na Ukrainie. [Dowiedz się , jak chronić swoją firmę przed oprogramowaniem wymuszającym okup .]
NotPetya została stworzona, aby rozprzestrzeniać się szybko i automatycznie. Szybko dotarł do firm na całym świecie, ostatecznie wyrządzając szkody szacowane na 10 miliardów dolarów. Globalna firma transportowa Maersk była jedną z najbardziej dotkniętych organizacji na świecie. NotPetya rozprzestrzenił się poprzez biuro Maersk na Ukrainie do swojej sieci, a następnie do wszystkich biur na całym świecie, szyfrując wszystkie dane firmy.
2017: Włamanie do Equifax
We wrześniu 2017 r. agencja raportowania kredytowego Equifax doznała naruszenia danych, które dotknęło nawet 143 miliony Amerykanów. Naruszenie skłoniło hakerów do uzyskania dostępu i kradzieży danych osobowych klientów, w tym numerów ubezpieczenia społecznego, dat urodzenia i adresów domowych. Incydent dotknął również niektórych kanadyjskich i brytyjskich konsumentów.
Włamanie było możliwe dzięki niezałatanej luce w aplikacji internetowej. Chociaż nie było od razu jasne, kto zhakował Equifax, rząd USA w 2020 roku oskarżył czterech członków chińskiej armii w związku z atakiem. Akty oskarżenia sugerują, że włamanie do Equifax było ciągłą operacją chińskich agencji wojskowych i wywiadowczych mającą na celu kradzież danych osobowych z różnych źródeł. Ostatecznym celem hakerów było lepsze namierzanie oficerów i urzędników amerykańskiego wywiadu w różnych operacjach, w tym w celu przekupstwa lub szantażu.
2020: Atak SolarWinds
Na początku 2020 roku osoby atakujące, które uważa się za powiązane z rosyjskim rządem, potajemnie włamały się na serwer aktualizacji należący do narzędzia do zarządzania zasobami informatycznymi Orion firmy SolarWinds z Teksasu. Kompromis umożliwił atakującym dodanie niewielkiej ilości złośliwego kodu, który po pobraniu przez firmy w ramach aktualizacji oprogramowania zapewnił atakującym tylny dostęp do firm, których dotyczy problem, w ramach ataku na łańcuch dostaw . Ten backdoor umożliwił im zainstalowanie dodatkowego złośliwego oprogramowania w celu szpiegowania zagrożonych firm i organizacji.
Firma SolarWinds oszacowała, że w ciągu kilku miesięcy nawet 18 000 klientów zainstalowało złośliwe aktualizacje, które naraziły ich na dodatkowe ataki hakerów. Dotknięte organizacje obejmowały firmę FireEye zajmującą się cyberbezpieczeństwem, firmy technologiczne, takie jak Microsoft i Cisco, oraz agencje rządowe USA, w tym części Pentagonu, Departament Energii i Skarbu.
Celem sprawców było szpiegostwo i kradzież danych. Ponieważ ataki trwały miesiącami i były wysoce niewidoczne, wiele firm nie było świadomych, że zostały nimi dotknięte lub nie było pewnych, jakie dane mogły zostać skradzione.
2021: Atak Kaseya VSA
W lipcu 2021 r. REvil — grupa cyberprzestępcza specjalizująca się w atakach ransomware — przeprowadziła atak na łańcuch dostaw za pośrednictwem platformy VSA firmy programistycznej Kaseya. Atak, w którym wykorzystano niezałatane luki w zabezpieczeniach, przeszedł przez Kaseya do wielu dostawców usług zarządzanych (MSP) korzystających z platformy VSA, a ostatecznie do klientów tych dostawców. W sumie atak ransomware dotknął ponad 1000 firm.
REvil zażądał 70 milionów dolarów okupu po rozpoczęciu ataku. Kaseya nie potwierdziłaby jednak, gdyby ostatecznie zapłaciła za narzędzie deszyfrujące, którego ostatecznie użyła do odzyskania dostępu do plików, których dotyczy problem. Incydent ten oznaczał przyjęcie przez grupę cyberprzestępczą wysoce wyrafinowanych taktyk przy użyciu metod, które wcześniej były z powodzeniem stosowane jedynie przez hakerów powiązanych z rządem.
2022: Ataki Lapsus$
W ciągu 2022 roku wysoce sprawna grupa cyberprzestępcza o nazwie Lapsus$ przeprowadziła serię cyberataków na niektóre z największych nazwisk w branży technologicznej. Ataki w dużej mierze doprowadziły do naruszeń i wycieków danych.
Lapsus$ przeprowadzał przede wszystkim ataki na swoje cele, nakłaniając niczego niepodejrzewające osoby do nieumyślnego udostępnienia haseł lub innych danych logowania w procesie zwanym inżynierią społeczną. Po uzyskaniu dostępu do sieci firmowej za pomocą nieuczciwie uzyskanych poświadczeń, Lapsus$ ukradł dane, a następnie wymusił na zaatakowanym biznesie zapłacenie okupu w zamian za to, że grupa nie ujawniła skradzionych informacji.
Następujące firmy znalazły się wśród dotkniętych przez Lapsus $ przez cały rok:
- NVIDIA (naruszenie miało wpływ na dziesiątki tysięcy danych uwierzytelniających pracowników i informacji zastrzeżonych)
- Samsung (kradzież wewnętrznych danych firmowych i kodu źródłowego urządzeń Samsung Galaxy)
- Ubisoft (incydent zakłócił gry i usługi firmowe)
- Microsoft (kradzież fragmentów kodu źródłowego Bing i Cortany)
- Uber (wewnętrzne wiadomości Slack i informacje z wewnętrznego narzędzia do fakturowania skradzione)
Wydawało się, że Lapsus$ spowolnił swoją działalność w kwietniu 2022 r. po aresztowaniu szeregu osób powiązanych z grupą. Grupa powróciła kilka miesięcy później, po czym we wrześniu nastąpiła kolejna seria aresztowań.
Czy wiedziałeś?: Podczas gdy incydenty związane z cyberbezpieczeństwem zwiększyły się w ciągu ostatniej dekady, większość ataków nadal rozpoczyna się od tego samego punktu wyjścia: błędu ludzkiego, prawdopodobnie spowodowanego wiadomościami phishingowymi, a także przestarzałych lub niezałatanych systemów, które wprowadzają techniczne luki w zabezpieczeniach.
Najlepsze praktyki w zakresie bezpieczeństwa cybernetycznego ewoluują wraz z cyberatakami
W połączeniu z rosnącymi lukami w zabezpieczeniach i pracownikami, którzy padają ofiarą złośliwych programów internetowych i pocztowych, małe firmy potrzebują większej ochrony niż kiedykolwiek. Pojawienie się wariantów złośliwego oprogramowania, takich jak ransomware, radykalnie zmieniło niszczycielski potencjał ataków, a także wpływ finansowy, na który firmy muszą być przygotowane. Na szczęście narzędzia łagodzące ewoluowały wraz z tymi atakami. Poniższe najlepsze praktyki mogą pomóc zabezpieczyć Twoją firmę w miarę wzrostu zagrożeń cybernetycznych.
Inwestuj w technologię — i edukację pracowników.
Szkolenie powinno obejmować takie działania, jak ćwiczenia dotyczące phishingu i uczenie pracowników, jak ważne jest używanie unikalnych, silnych haseł. Ponadto personel powinien zostać przeszkolony w zakresie korzystania z uwierzytelniania wieloskładnikowego — które wymaga podania hasła oraz dodatkowego, tymczasowego kodu bezpieczeństwa, do którego dostęp powinien mieć tylko pracownik — kiedy tylko jest to możliwe. Pracownicy powinni również znać oznaki infekcji komputera wirusami lub złośliwym oprogramowaniem.
Craig Kensek, dyrektor ds. marketingu IT-Harvest, podkreślił, że ochrona firmy przed cyberatakami to nie tylko wdrażanie rozwiązań technologicznych. Wymaga wielopłaszczyznowej strategii, która obejmuje zarówno inwestycje w technologię, jak i edukację.
„Najskuteczniejsza ochrona przed atakami hakerskimi obejmuje edukację użytkowników, aby nie klikali ryzykownych linków, zrozumienie, w jaki sposób objawia się zaawansowane złośliwe oprogramowanie, oraz posiadanie solidnego planu obronnego na ujawniony ślad cybernetyczny” – powiedział.
Podczas gdy Kensek doradzał firmom, aby inwestowały w ochronę przed złośliwym oprogramowaniem i produkty Generacji III, które obejmują możliwość ochrony sieci, poczty e-mail i ruchu związanego z udostępnianiem plików, szkolenie pracowników jest podstawą łagodzenia ataków opartych na phishingu.
„Rozważ szkolenie w zakresie surfowania po sieci i upewnij się, że pracownicy wiedzą, czego szukać w plikach do pobrania, podejrzanych linkach i sieciach społecznościowych. Miej zdefiniowaną politykę użytkowania dla sieci, aplikacji, współdzielonych plików i komunikacji e-mailowej” – powiedział Kensek.
Spójrz na architekturę swojej sieci.
Cyberataki ewoluowały w dużej mierze w celu wykorzystania rosnącej złożoności sieci biznesowych. Firmy nie muszą już zabezpieczać tylko kilku komputerów połączonych ze sobą za pośrednictwem fizycznej sieci. Muszą również zmagać się z zagrożeniami związanymi z mobilnymi cyberatakami wynikającymi z telefonów komórkowych i tabletów, wszechobecnym charakterem chmury, a nawet inteligentnymi urządzeniami podłączonymi do Internetu i Internetem rzeczy. Każdy z nich zapewnia hakerom dodatkowe możliwości ataku i może działać jako punkty dostępu do szerszej sieci firmowej.
Firmy mogą pomóc ograniczyć złożoność cyberbezpieczeństwa, stosując architekturę o zerowym zaufaniu (ZTA). ZTA to praktyka bezpieczeństwa, która koncentruje się na użytkownikach, zasobach i zasobach z myślą o ustawieniu odpowiednich kontroli dostępu i zarządzania. Zasadniczo ZTA zakłada, że każda sieć jest już naruszona, gdy ktoś próbuje uzyskać dostęp, bez względu na to, kim jest, i że administratorzy powinni skupić się na uwierzytelnianiu i sprawdzaniu poprawności wszystkich użytkowników.
Stosując ZTA, firmy ograniczają zakres wszelkich potencjalnych naruszeń bezpieczeństwa, ograniczając dostęp, jaki ma pojedynczy użytkownik. Dodatkowo systemy ZTA monitorują typowe działania pracowników w sieci; jeśli użytkownik zachowuje się nieregularnie, system oznaczy to jako podejrzane — pomagając wykryć potencjalne naruszenia w działaniu.
Porozmawiaj ze swoimi dostawcami i udostępnij swoje zasoby.
„Aby się chronić, musisz zrobić wszystko, co w Twojej mocy, aby firma, w której zarejestrowałeś nazwę domeny, chroniła tę nazwę domeny” — powiedział Cedric Leighton, założyciel i prezes Cedric Leighton Associates, firmy zajmującej się strategicznym zarządzaniem ryzykiem doradztwo. Problem polega na tym, że większość firm nie ma odpowiedniej ochrony, powiedział.
„[Kluczem] jest posiadanie czegoś takiego jak OpenDNS, które rejestruje strony internetowe używane przez hakerów, takich jak SEA [zaangażowany w włamanie do The New York Times]” – powiedział Leighton. „Kiedy z takich witryn przychodzą próby przekierowania legalnego ruchu internetowego na „złe” lub nieautoryzowane witryny, prośba o to jest automatycznie blokowana. Niestety, większość ludzi nie wie, że muszą się temu przyjrzeć, aby uchronić się przed takimi atakami hakerskimi”.
Oznacza to, że firmy muszą być lepiej poinformowane o swoich opcjach bezpieczeństwa oraz mieć opracowane plany łagodzenia skutków i przywracania po awarii na wypadek ataku, a nie na wypadek.
Zacznij od dogłębnej rozmowy z dostawcami Internetu. Porozmawiaj z nimi nie tylko o tym, czy jesteś chroniony, ale także o tym, jak dokładnie jesteś chroniony, jeśli nastąpi atak.
„Najpierw musisz zapytać swojego [dostawcę usług internetowych]: „Co zrobisz, jeśli zostanę zaatakowany?” — powiedział Pierluigi Stella, dyrektor ds. technologii w firmie Network Box USA, dostawcy zabezpieczeń komputerowych. „Nie licz na to, że powiedzą: „Będziemy cię chronić”. To się nie wydarzy. Dostawca usług internetowych najprawdopodobniej odpowie: „Przełączymy Cię w tryb offline”.
Następnie określ dokładnie, które obszary Twojej witryny wymagają ochrony, takie jak sama witryna i serwery DNS. Aby chronić się przed atakiem, który uszkadza twoje serwery DNS, Stella powiedziała, że twoim modus operandi powinno być dzielenie i podbijanie.
„Miej wiele DNS hostowanych w różnych lokalizacjach. Jeśli naprawdę chcesz hostować własne serwery DNS, utwórz kopię zapasową gdzie indziej, może u rejestratora lub innej dużej firmy hostingowej z wystarczającymi zasobami, aby nie martwić się zbytnio atakami DDoS. Hosting DNS nie jest kosztownym przedsięwzięciem, a jeśli rozpowszechnisz swoją obecność, o wiele trudniej będzie cię całkowicie zlikwidować” — powiedziała Stella.
Aby utrzymać witrynę online i zapobiec utracie danych, Stella zaleciła przechowywanie kopii w chmurze. Powiedział, że jeśli atakujący zablokują twoją główną stronę internetową, będziesz mógł ponownie skonfigurować DNS, aby na razie wskazywał drugą stronę internetową.
Zastosuj „głęboką obronę”.
W miarę jak cyberataki stają się coraz bardziej złożone, firmy muszą wykraczać poza uniwersalne podejście do bezpieczeństwa. Czasy instalowania zapory ogniowej i oprogramowania antywirusowego i nazywania tego dniem niestety minęły. Teraz firmy muszą się przygotować, stosując postawę bezpieczeństwa zapewniającą dogłębną obronę.
Odnosi się to do skutecznej polityki cyberbezpieczeństwa biznesu, która obejmuje wielowarstwowe podejście do bezpieczeństwa. Zapory ogniowe i programy antywirusowe nadal stanowią integralną ochronę, ale narzędzia te nie wystarczają już do zabezpieczenia urządzeń przed hakerami. Zamiast tego należy je połączyć z takimi elementami jak ZTA, szkolenie pracowników, połączenia VPN dla pracowników zdalnych, topowe rozwiązania do monitorowania pracowników i szyfrowanie komputerowe dla wszystkich danych.
Chociaż żadne rozwiązanie bezpieczeństwa nie jest niezawodne, warstwowa ochrona znacznie zwiększa szanse na zminimalizowanie najgorszych skutków każdego incydentu związanego z bezpieczeństwem.
Nie zapominaj o konserwacji.
Częstym tematem niektórych z najgorszych cyberataków w ostatniej dekadzie było to, w jaki sposób atakujący zdołali najpierw uzyskać dostęp do systemów, których dotyczy problem, poprzez niezałatane luki w oprogramowaniu. Firmy mogą znacznie zwiększyć swoje ogólne bezpieczeństwo cybernetyczne, regularnie kontrolując swoje systemy i tworząc bieżącą inwentaryzację całego oprogramowania i sprzętu, odnotowując wersję każdego programu i datę ostatniej aktualizacji.
Po utworzeniu tego spisu firmy powinny utrzymywać regularny harmonogram zarządzania poprawkami. Firmy powinny również zarejestrować się w celu otrzymywania alertów dostawców ostrzegających o krytycznych lukach w zabezpieczeniach, które należy jak najszybciej załatać. Jeśli pracujesz z MSP, upewnij się, że oni również monitorują i stosują poprawki w akceptowalnym rytmie.
Przygotowanie na najgorsze
W ciągu ostatniej dekady cyberataki stały się bardziej powszechne, bardziej wyrafinowane i bardziej destrukcyjne. Niestety, z roku na rok firmy nadal borykają się z wyższymi wskaźnikami cyberprzestępczości. Firmy każdej wielkości powinny przygotować się na najgorsze scenariusze w swoich planach bezpieczeństwa.
Istnieje jednak srebrna podszewka. Chociaż nie ma czegoś takiego jak idealne bezpieczeństwo, firmy mogą znacznie zmniejszyć ryzyko szkodliwego ataku, przestrzegając najlepszych praktyk w zakresie cyberbezpieczeństwa, takich jak te opisane powyżej. Praktyki te mogą zmienić incydent związany z cyberbezpieczeństwem z potencjalnego ataku utrudniającego działalność biznesową w moment kontrolowanego chaosu. Dowiedz się więcej z naszego szczegółowego przewodnika po bezpieczeństwie cybernetycznym dla małych firm.
Sara Angeles przyczyniła się do powstania tego artykułu. Wywiady źródłowe przeprowadzono na potrzeby poprzedniej wersji tego artykułu.
Dodaj komentarz