Με την αύξηση των επιθέσεων τόσο σε εταιρίες και φορείς του δημοσίου όσο και σε ιδιώτες, το ελληνικό κοινό αποκτά αργά αλλά σταθερά μια οικειότητα με όρους όπως το phishing. Αυτή η οικειότητα δυστυχώς, δεν προκύπτει από μια στροφή στην ενημέρωση του κοινού σε ζητήματα κυβερνοασφάλειας, αλλά αποκτάται μέσω της βιωματικής εμπειρίας των επιτυχημένων επιθέσεων οι οποίες υποκλέβουν τόσο προσωπικά δεδομένα όσο και χρηματικά πόσα.
Το ζήτημα που εύλογα ανακύπτει είναι πως μπορεί ένας οργανισμός να προστατευτεί. Αρχικά πρέπει να λάβουμε υπόψιν ότι ένας επιτιθέμενος, αρκεί να ξεπεράσει μια μόνο φόρα τις άμυνες ώστε να προκαλέσει ζημιά, σε αντίθεση με τον αμυνόμενο που χρειάζεται κάθε φορά να απωθεί τις επιθέσεις. Αυτή η ασυμμετρία μεταξύ επιτιθέμενου και αμυνόμενου δεν επιλύεται με ένα θαυματουργό προϊόν ούτε με κάποιο μυστικό trick, αλλά με πολλαπλές γραμμές άμυνας και σοβαρές διαδικασίες.
Ας αναλύσουμε τον όρο πολλαπλές γραμμές άμυνας, σε ένα βασικό εταιρικό επίπεδο, δηλαδή χωρίς να υπάρχει κάποια αρμόδια ομάδα (blue team), η οποία με βάρδιες θα έχει την ευθύνη να επιβλέπει όλο το 24ώρο logs και να αντιμετωπίζει επιθέσεις.
Θα πρέπει κατά ελάχιστο να υπάρχει παραμετροποιημένο firewall με IPS το οποίο να αφήνει μόνο τις εξερχόμενες κινήσεις που χρειάζονται για την εύρυθμη λειτουργία της εταιρίας. Επιπλέον, απαιτούνται μια Anti-spam υπηρεσία που να ελέγχει τα email πριν φτάσουν στους τελικούς χρήστες, μία λύση 2FA σε χρήστες email και vpn, καθώς και εγκατεστημένα Antivirus & EDR agents στα workstations των τελικών χρηστών και στους servers. Παράλληλα είναι ουσιαστικό να υπάρχουν log servers των προαναφερθέντων για λόγους ασφάλειας και troubleshooting. Τέλος, σε περίπτωση που όλες οι προηγούμενες άμυνες αποτύχουν, είναι κρίσιμο ένα offsite backup, προκειμένου να μπορούμε να επαναφέρουμε τα δεδομένα εάν βρεθούμε στη δυσάρεστη θέση να έχουμε πέσει θύματα κάποιου ransomware.
Ωστόσο, αξίζει να επισημανθεί ότι δεν αρκεί απλά να αγοραστούν όλα αυτά τα προϊόντα που αναφέρθηκαν αλλά να παραμετροποιηθούν σωστά. Ένα λανθασμένα παραμετροποιημένο ή μη δοκιμασμένο προϊόν δίνει μια ψευδή αίσθηση ασφάλειας, η οποία μπορεί να περνάει τους τυπικούς ελέγχους πιστοποιήσεων όμως αφήνει το δίκτυο εκτεθειμένο σε επιτυχημένες επιθέσεις και κλεμμένες databases. Για παράδειγμα, όσο ακριβή και τεχνολογικά εξελιγμένη λύση backup και να έχουμε, δεν έχει καμιά αξία αν όταν τη χρειαστούμε δεν μπορούμε να επαναφέρουμε τα αρχεία μας.
Παράλληλα επειδή ο άνθρωπος είναι το πιο τρωτό σημείο σε ένα εταιρικό δίκτυο, θα ήταν ωφέλιμο το προσωπικό να περνάει περιοδικά, ανά κάποιους μήνες, εκπαίδευση user awareness ώστε οι χρήστες να είναι σε θέση να αναγνωρίζουν τέτοιες επιθέσεις και εγκαίρως να τις αναφέρουν στο τμήμα μηχανογράφησης. Εξίσου σημαντικά εργαλεία είναι τα phishing simulations και τα penetration tests, μέσω των οποίων αξιολογούνται, κατά πόσο αυτά που θεωρητικά πιστεύουμε για το δίκτυο μας ισχύουν στην πράξη. Είναι προτιμότερο να εντοπίσουμε ότι έχουμε κενά στην άμυνα μας για να τα διορθώσουμε με μια συνεχή διαδικασία hardening, βήμα-βήμα να κάνουμε πιο ασφαλές το δίκτυο μας, παρά να βρεθούμε μια μέρα με όλα τα αρχεία τις εταιρίας κρυπτογραφημένα ή ανεβασμένα στο dark web.
Όλα τα παραπάνω αποτελούν ένα μέρος μιας συνολικής στρατηγικής όπου προσεγγίζει την κυβερνοασφάλεια σαν ένα «κρεμμύδι». Όσα περισσότερα layers διαθέτει τόσο πιο αποδοτική είναι, προκειμένου να καταστίσουμε την εταιρία μας έναν ασύμφορο στόχο. Στο διαρκώς χαοτικό και ραγδαία εξελισσόμενο χώρο της κυβερνοασφάλειας δεν υπάρχουν μονολιθικές λύσεις, χρειάζεται νηφαλιότητα, σοβαρότητα και διαρκής εξέλιξη.
Αναστάσης Ταραντίλης | Senior Penetration Tester στην Sima Security