Uuringud näitavad, et organisatsioonid ei ole teadlikud keskmiselt 64% oma avalikest varadest. Kuidas saab olla kindel, et varad mille olemasolust me pole isegi teadlikud, on turvaliselt kaitstud? Küberkurjategijad kasutavad aktiivselt seda informatsioonilünka ära – Verizon’i 2024 aasta andmelekete aruanne näitab, et 70% andmeleketest algab väljastpoolt tulevate ohtude poolt, mis kasutavad ära avalikult ligipääsetavaid süsteeme. [1, 7]
Väline rünnakupindala sisaldab kõike alates veebilehtedes, pilveteenustest kuni kaugjuurdepääsupunktide, kolmandate osapoolte platvormide ja koostööpartneriteni. Kõik IT-varad, teenused ja muu info, mis on üle interneti kättesaadavad, on potensiaalne sihtmärk küberkurjategijate jaoks.
External Attack Surface Management (EASM) on protsess, mis hõlmab nende avalike varade pidevat avastamist, jälgimist ja turvamist. See on muutunud oluliseks küberriskide juhtimise tööriistaks, pakkudes turvameeskondadele ja juhtidele ülevaadet organisatsiooni nõrkustest.
Kuidas levib info kurjategijate vahel, kuidas seda informatsiooni kasutatakse ning mida on võimalik enda kaitseks ette võtta?
Ründaja Perspektiiv
Küberkurjategijad, olgu need riiklikult rahastatud APT-d või muud kuritegelikud rühmitused, alustavad tavaliselt kaardistades sihtmärgi välist infrastruktuuri. Selles uurimisfaasis kogutakse infot, mis võib paljastada nõrkusi. See võib hõlmata organisatsiooni internetist leitavate avalike varade kaardistamist, avatud portide ja teenuste tuvastamist, lekkinud teabe otsimist ja seotud kolmandate osapoolte kaardistamist. MITRE ATT&CK raamistik kirjeldab Reconnaissance’i kui esimest taktika osa ründaja tööriistakastis, et koguda infot sihtmärgi võrgust, süsteemidest ja töötajate kohta. Praktikas võib ta näiteks vaadata läbi LinkedIn’i profiile, et leida teavet kasutatavast tehnoloogiast ja oskuslikult sihtida töötajaid õngitsusrünnakuga. Samuti võib ta kasutada skaneerimistööriistu ettevõtte alamdomeenide ja avalike teenuste leidmiseks.
Ründaja perspektiivist on tavalised välised haavatavused madalalt rippuvad õunad. Tihtipeale pole need keerulised zero-day haavatavused, vaid lihtsalt puuduliku IT-hügieeni tulemus. Mõned näited:
- Avatud teenused ja uuendamata süsteemid: Ründajad skaneerivad sageli avatud kaugjuurdepääsu punkte (näiteks RDP või VPN portaalid) ja servereid, kus töötab vananenud tarkvara. Kui kriitilist turvauuendust pole paigaldatud, saavad ründajad seda ära kasutada. Näiteks Colonial Pipeline-i tabanud lunavararünnak sai alguse sellest, kui ründajad leidsid avatud VPN-teenuse, mis polnud mitmetasemelise autentimisega (MFA) kaitstud. Nad pääsesid süsteemi ligi kasutades parooli, mis oli lekkinud tumeveebi. Üks valesti konfigureeritud või kaitsmata teenus võib anda ründajatele otsese ligipääsu ettevõtte võrku. [2]
- Konfiguratsioonivead pilvekeskkondades: 2019 aastal õnnestus ründajal varastada andmeid üle 100 miljoni kliendi kohta Capital One pilveserveritest, mida võimaldas valesti konfigureeritud AWS-i veebiaplikatsiooni tulemüür. Selliseid vigu otsitakse automaatsete tööriistade abil – avastades avatud andmebaase, ebaturvalisi API-sid või unustatud arendusplatvorme. Ründajad kasutavad neid võimalusi pikemalt viivitamata ära.
- Lekkinud või nõrgad mandaadid: Eri sorti andmeleketes on miljardeid varastatud mandaate sattunud kurjategijate kätte. Inimestel on tihti harjumus kasutada sama parooli mitmes kohas, mis tähendab, et ühe lekkinud parooli abil saab ründaja sageli siseneda ka teistesse süsteemidesse. Lekkinud paroole on võimalik igaühel osta tumeveebi foorumites mõnekümne euro eest. [6]
Seega tihti polegi vaja keerulisi tehnilise teadmisi kui on võimalik lihtsalt kasutajanime ja parooliga sisse logida. See on endiselt ka kõige levinum viis, kuidas ründajad saavad esmase ligipääsu süsteemi. [1]
Elulise näitena võib tuua veel 2023 aastast rünnaku, milles kasutati massiliselt ära turvanõrkust populaarses MOVEit failijagamistarkvaras. Selle käigus varastati andmeid sadadest organisatsioonidest. Ründajad lihtsalt skaneerisid interneti, et leida ettevõtteid, kel olid avalikult nähtavad serverid haavatava tarkvaraga. [5]
Tumeveeb – varjatud riskimaastik
Dark web või tumeveeb viitab peidetud foorumitele ja turuplatsidele, kuhu pääseb spetsiaalsete võrkude (näiteks Tor) kaudu. See on kujunenud elavaks maa-aluseks majanduseks küberkurjategijatele. Tumeveebis vahetavad kurjategijad varastatud andmeid, häkkimisvahendeid ja ligipääsu kompromiteeritud võrkudesse. Pärast andmeleket on tavaline, et varastatud teave jõuab müüki või oksjonile tumeveebi foorumitesse. Näiteks võib kliendiandmete andmebaas või töötajate paroolide kogum olla oksjonil kõrgeima pakkumise eest.
Seetõttu on ettevõtete jaoks oluline aktiivselt jälgida seal toimuvad. Nii võib õnnestuda õigeaegselt tuvastada kompromiteeritud seadmeid ja andmelekkeid, ning neile piisavalt varakult reageerida, hoides seeläbi ära hullemat.
Näiteks võib ettevõtte olla teinud suuri pingutusi, et kaitsta oma võrku ja seadmeid, aga kõik ei ole turvatiimil alati jälgitav traditsioonilistel meetoditel. Kujuta ette järgmist olukorda: Töötaja on salvestanud mõne ettevõtte parooli isiklikus seadmes veebilehitseja paroolihoidlasse. Ta laeb isiklikus seadmes alla pahavara, mis varastab kõik salvestatud paroolid veebilehitsejast. Kõik toimus töötaja isiklikus seadmes, kasutaja ise ei saanud aru, mis just juhtus, ning ettevõtte jälgimises seade ei olnud. Tulemuseks on, et ettevõtte kontod lekkisid ilma, et keegi sellest teaks. Kui ettevõtte jälgib kontode lekkeid tumeveebis, on tal lootus sealkaudu tuvastada, et leke on toimunud, ning rakendada vastumeetmeid.
Muidugi on parem selliseid olukordi vältida, aga ei inimesed ega ettevõtted pole täiuslikud. Hea turve on ehitatud mitmekihiliselt. Välise rünnakupindala ja tumeveebi monitooring annab ühe sellise kaitsekihi lisaks.
Mida saad enda ja oma ettevõtte kaitseks teha?
Siin on mõned soovitused, mida saad rakendada nii enda isikliku info kui ka ettevõtte kaitseks:
- Kasuta teenuseid, mis aitavad tuvastada ja seirata isikliku info ja kasutajamandaatide levikut avalikes allikates. Ettevõtted peaksid seirama peale lekkinud kasutajakontode ka avalike teenustega seotud turvanõrkusi, lekkinud api võtmeid ning konfidentsiaalseid andmeid.
- Kasuta välist paroolihoidlat, et paroole säilitada ja hallata. Selle kasutuselevõtt teeb väga palju lihtsamaks turvaliste ja unikaalsete paroolide kasutamise, mis omakorda vähendab riske kui mõni neist peaks lekkima.
- Kasuta mitmefaktorilist autentimist. Kui võimalik, siis võta kasutusele FIDO2 põhine autentimine.
- Väldi liigse personaalse ning ettevõttega seotud info jagamist sotsiaalmeedias.
- Ole valvas õngitsusrünnakute suhtes ning kontrolli, et tarkvara, mida paigaldad arvutisse on turvaline. See on oluline ka isiklikes seadmetes.
OIXIO Cyber on sulle küberturbe tagamisel abiks nii nõu kui jõuga. Võta julgelt ühendust.
Allikad
- [1] 2024 Verizon Data Breach Investigations report
- [2] Darkreading – Colonial Pipeline Cyberattack Proves a Single Password Isn’t Enough
- [3] CERT-EU – Capital One Breach
- [4] Crowdstrike – What can you find on the dark web
- [5] British Airways, Boots, BBC payroll data stolen in MOVEit supply-chain attack
- [6] Privacy Affairs – 2023 Dark Web Price Index
- [7] Crowdstrike – What Is External Attack Surface Management (EASM)?