10-podrocij-varnostnih-ranljivosti

[1. del] Razkrivamo 10 področij, kjer so bila slovenska podjetja v letu 2018 najbolj ranljiva

Na osnovi številnih izvedenih varnostnih pregledov različnih okolij lahko dokaj dobro podamo sliko stanja varnosti informacijskih sistemov v slovenskih podjetjih.

Neodvisno od tega lahko zaznamo tudi nekatere skupne težave in izzive, ki veljajo za vse. Na osnovi tega ter našega poznavanja in praktičnih izkušenj smo tako identificirali 10 področij, na katerih so informacijski sistemi v slovenskih podjetjih najbolj ranljivi.

Danes vam razkrivamo prvih pet.

#1
Nezmožnost zaznavanja napadov

Z namenom varovanja svojih informacijskih sistemov so podjetja do sedaj večino svojih aktivnosti, sredstev in energije usmerjala v implementacijo varnostnih rešitev, ki so bolj ali manj uspešno preprečevale zlorabo informacijskih sistemov. Zagotavljanje varnosti z implementacijo mehanizmov zaščite je seveda pomembno, a žal nezadostno.

Za vsak varnostni sistem zagotovo velja, da se lahko vedno najde način, kako ga zaobiti. Vsekakor pa to ne pomeni, da ustrezne varnosti ni možno vzpostaviti.

Če velja prepričanje, da je nemogoče vnaprej preprečiti vdor v informacijski sistem, ali to enako velja tudi, da je vdor nemogoče izvesti na način, ki bi ostal neopažen.

Prav v tem delu pri slovenskih podjetjih in njihovih informacijskih sistemih vidimo ranljivost oz. največjo možnost za izboljšave. Ocenjujemo, da je ena izmed največjih pomanjkljivosti oz. ranljivosti nezmožnost podjetij, da zaznajo varnostne incidente, ki se dogajajo.

Na napadalčevi poti od začetne do končne točke vdora se pojavi veliko poskusov izrabe ranljivosti, zlonamernih klicev, tehnik socialnega inženiringa in podobnih zavajanj mehanizmov informacijske varnosti. Na vsakem posameznem koraku napadalec pušča sledi. Te se kažejo v povečanem prometu, v nenavadnih zapisih v log datotekah, nenavadnih vzorcih mrežnega prometa, uporabniki opazijo neobičajna e-mail sporočila itd. Namigi, da se dogaja vdor, so vedno prisotni in napadalec je stalno v nevarnosti, da bo opažen. Če vdora ne moremo onemogočiti s tehničnimi mehanizmi, imamo na voljo različna sredstva, s katerimi namige ustrezno prepoznamo in vdor še pravočasno odkrijemo.

 

#2
Dostopnost aplikacij z Internet omrežja brez močne avtentikacije

Mobilnost nas sili, da informacijski sistem odpiramo v svet. Naši zaposleni želijo dostopati do svojih servisov, tudi ko se nahajajo izven pisarne. Tako ni nič nenavadno, da lahko zaposleni preko Internet omrežja dostopajo do svoje elektronske pošte, do CRM in BI sistemov ter ostalih aplikacij, ki nudijo določene storitve.

Takšne potrebe po dostopu so razumljive in naloga skrbnikov ni, da te dostope preprečujejo, ampak jih omogoči in hkrati naredi varne. A v Sloveniji žal marsikje temu ni tako. Nezadostna varnost oddaljenih dostopov do notranjih aplikacij je pomembna ranljivost pri informacijskih sistemih, ki smo jo zaznali v slovenskem poslovnem okolju.

S tem imamo v mislih uporabo zgolj statičnih gesel. To velja tudi, če je geslo vezano na centralni AD imenik. ‘Phishing’ napadi s krajo gesla so realni in zelo učinkoviti. Napadalec v primeru kraje gesla ne pridobi dostopa le do dotičnega vstopnega portala (npr. ‘webmaila’). V primeru, da je ukradeno domensko geslo, pa lahko zelo učinkovito zlorabi še druge aplikacije. Kraja gesel enega portala torej ne pomeni nevarnosti samo za ta portal, ampak so posledice zlorabe lahko bistveno širše.

Zato uporabo statičnih gesel raje nadomestimo z uporabo dvonivojske avtentikacije, ali še bolje, z uporabo digitalnih certifikatov ali podobnih mehanizmov.

 

#3
Visoka varnostna ranljivost industrijskih (OT) okolij

OT okolje je industrijsko IT okolje. Ta okolja so sestavni del marsikaterega podjetja. Res je, da niso prisotna v vseh podjetjih, vendar se problematika varnosti v industrijskih okoljih nanaša na širši krog podjetij, kot to lahko sklepamo iz imena oz. izgleda na prvi pogled. Podobne izzive imajo lahko tudi trgovska ali logistična podjetja, ki imajo avtomatizirana skladišča, storitvena podjetja, ki imajo avtomatizirane stavbe ter podjetja, ki upravljajo kritično infrastrukturo ipd.

Za varnost IT okolja in sistemov (računalnikov, strežnikov, tiskalnikov, drugih pametnih naprav, operacijskih sistemov, aplikacij, podatkov…) znamo relativno dobro poskrbeti in uspešno obvladovati varnostna tveganja. 

V OT (procesnih) okoljih pa je povsem drugače. Ta okolja so prepletena z različnimi avtomatiziranimi vmesniki, kontrolerji. Skrbniki IT okolja največkrat nimajo točnega vpogleda v dejansko stanje naprav, niti v njihovo delovanje. Zelo pogosto avtomatizirane naprave delujejo na starejših (in seveda zelo ranljivih) operacijskih sistemih. Nadgradnja je pogosto nemogoča ali zelo težavna. Seveda si lahko predstavljate, kako ranljiva so ta okolja, obenem pa je varnost (skorajda) nemogoče zagotoviti.

OT okolja so zaradi digitalizacije in avtomatizacije procesov vse bolj odpirajo navzven in povezujejo z IT okoljem. S tem pa so postala ‘dostopna’ napadalcem z Internet omrežja ter raznim okužbam, ki prihajajo iz IT sistemov. V zadnjih letih je smo bili priča kar nekaj (ne)posrednim napadom na OT omrežja. Najbolj znan primer pri nas je zagotovo napad z WannaCry virusom leta 2017, ki je prizadel podjetje Revoz, za nekaj dni ustavil njihovo proizvodnjo in povzročil ogromno škodo.

Varnostni pregledi v letu 2018 med slovenskimi podjetji jasno pokažejo, da velika večina izmed njih ni pripravljena na varnostne izzive OT omrežij.

 

#4
Nizka raven varnosti spletnih strani in aplikacij

V IT svetu so spletne aplikacije zelo pogoste. Lahko trdim, da v Sloveniji ni podjetja, ki ne bi ponujal takšne ali drugačne spletne aplikacije. Ravno zaradi svoje kompleksnosti prinašajo celo vrsto groženj. Skrbniki se marsikdaj vseh niti ne zavedajo v celoti, saj jim za to primanjkuje poznavanja in razumevanja tehničnega vidika groženj.

Varnostni pregledi v letu 2018 so jasno pokazali, da večina podjetij v Sloveniji uporablja ranljive spletne aplikacije in ima ranljive spletne strani. Zaznane ranljivosti mnogokrat prinašajo hujše posledice kot le nepooblaščeno spremembo vsebin oz. nepooblaščen dostop do omejenega dela »nepomembnih« podatkov. V nekaterih primerih so ranljivosti spletnih strani celo omogočile poln dostop do notranjega omrežja in vseh pomembnih podatkov v podjetju.

 

#5
Prevelika občutljivost na ‘phishing’ e-mail napade

‘Phishing’ napadi oz. ribarjenje je najpogostejši način, s katerim napadalci izvedejo napad na informacijski sistem. Kompleksnejši napadi seveda vključujejo še druge korake in tehnike, a ‘phishing’ e-mail je velikokrat sestavni del napada. V marsikaterem pogledu celo najpomembnejši del.

Napadi z zlonamerno elektronsko pošto so lahko zelo raznoliki. Lahko gre za poskuse kraje gesel ali podobnih podatkov, ki jih uporabniki nehote vpišejo v lažna vnosna okna na spletni strani, kamor jih preusmeri povezava v zlonamerni e-pošti. Lahko gre za poskuse vnosa zlonamernih datotek. Lahko pa gre za raznorazne prevare, kjer napadalec uporabnika želi zavesti k plačilu fakture na bančni račun, po svoji želji. Vsem tem napadom je skupno to, da želi napadalec tako ali drugače zavesti uporabnika in ga prepričati, da je poslano elektronsko sporočilo resnično.

Obstajajo dodatne nastavitve oz. sistemi, ki so zelo pomembni pri zagotavljanju večje varnosti pred napadi z zlonamerno elektronsko pošto. Gre predvsem za nastavitve poštnih sistemov, ki znižajo nivo nevarnosti in omejujejo načine, s katerimi napadalec pretenta uporabnike, da zaupajo lažni e-pošti. Nastavitve bodo poskrbele, da bodo napadalci bistveno težje prepričali uporabnike, da je poslano elektronsko sporočilo resnično.

Vas zanima, na katerih petih področjih še ugotavljamo pomanjkljivo varnost? Preverite v BELI KNJIGI 10 področij, kjer so informacijski sistemi slovenskih podjetij najbolj ranljivi, kjer najdete tudi kar nekaj nasvetov, kako še izboljšati varnost informacijskega sistema.


Ob koncu lanskega leta smo napovedali, da se bo trend hitrosti razvoja novih ranljivosti in agresivnosti le teh samo še stopnjeval, kar menim, da se je v letošnjem letu tudi uresničilo. Podjetja se temu trendu lahko učinkovito zoperstavijo, in sicer s povečanim vložkom energije, sredstev in znanja. Vidimo, da o tem vlada vse večje zavedanje; vse več je ozaveščanja zaposlenih o primernem ravnanju in odzivih na zlonamerne poskuse hekerjev, vse večja je skrb vodstva v podjetjih, česar smo zelo veseli.

Srečno in varnostno uspešno 2019!

 

 

Author photo

 

Želite več strokovnih vsebin s področja kibernetske varnosti?

Naročite naš mesečni e-novičnik.

Anamarija Ličen Novice, Varnost
[grwebform url="https://app.getresponse.com/view_webform_v2.js?u=V1sSi&webforms_id=6394102" css="on" center="off" center_margin="200"/]
[iframe-popup id="2"]