Φέτος, περιμένουμε να είναι ακόμη μία χρονιά αυξημένων επιθέσεων στους παρόχους διαχειριζόμενων υπηρεσιών (MSPs), στις μικρομεσαίες επιχειρήσεις που είναι οι περισσότεροι πελάτες τους καθώς και στο οικοσύστημα των εργαλείων που χρησιμοποιούνται εντός της κοινότητας.
Ενόψει των παραπάνω γεγονότων, η κοινότητα των MSPs έδειξε την απαραίτητη αποφασιστικότητα να αντιμετωπίσει τις υποκείμενες προκλήσεις κλιμακώνοντας τις δράσεις τους, δημιουργώντας νέα φόρουμ και ενισχύοντας τις άμυνες των υπηρεσιών τους. Καθώς βρισκόμαστε ακόμα στις αρχές της χρονιάς, και περιμένουμε τις εξελίξεις, σήμερα είναι η καταλληλότερη ώρα για να αναπτύξετε ή για να αναβαθμίσετε τα σχέδια σας όσον αφορά την διαχείριση των κινδύνων στον κυβερνοχώρο.
Κατανοώντας τις απειλές
Αρχικά, είναι σημαντικό να εντοπίσετε που είναι καλύτερο να επενδύσετε τον χρόνο σας καθώς και ποιοι είναι οι τομείς που πρέπει να δώσετε προτεραιότητα όσον αφορά την κυβερνοασφάλεια. Αυτή είναι και η βασική ιδέα για να διαπρέψετε ως MSP το 2021 – πρόκειται για μία εξελισσόμενη διαδικασία και απαιτεί προσαρμοστικότητα καθώς παρουσιάζονται ολοένα νέες απειλές. Αν και σας ενδιαφέρει να γνωρίζετε τους πιθανούς φορείς (επιθέσεων, απειλών) που ενδέχεται να βρεθείτε αντιμέτωποι, όπως για παράδειγμα κυβερνοεγκληματικές οργανώσεις ή σενάρια απώλειας δεδομένων σε εταιρικές υποδομές εξαιτίας κάποιας επίθεσης ransomware, εντούτοις αυτό που πρέπει να σας ενδιαφέρει κατά πρώτο λόγο και που αξίζει να αναλύσετε, είναι ο τρόπος που εξελίσσονται. Σε αυτό το άρθρο, θα επικεντρωθούμε στην εφαρμογή μιας διαδικασίας για την αντιμετώπιση κάποιων λίγων τεχνικών που χρησιμοποιούνται από παράγοντες απειλών ή φορείς επιθέσεων, για τον μετριασμό της επιφάνειας (επίθεσης) ενώ θα παραθέσουμε ορισμένες προτάσεις και συμβουλές για να ιεραρχήσετε σωστά τις προτεραιότητες σας.
Ας ξεκινήσουμε με τρεις βασικές τεχνικές που διάφοροι παράγοντες απειλών χρησιμοποιούν με επιτυχία τα τελευταία χρόνια ως αφετηρία για τον προγραμματισμό του 2021. Προχωρώντας βήμα-βήμα σε αυτήν τη διαδικασία μπορείτε να εφαρμόσετε τον ίδιο τρόπο σκέψης σε οποιονδήποτε τεχνικές αναγνωρίζετε.
Ηλεκτρονικό ψάρεμα
Χρησιμοποιώντας διάφορα τεχνάσματα όπως συνημμένα αρχεία και κακόβουλους συνδέσμους, οι τεχνικές ηλεκτρονικού ψαρέματος (phishing) έχουν αποδειχτεί εξαιρετικά αποτελεσματικές για την επίτευξη των στόχων των διάφορων παραγόντων ή φορέων απειλής. Αυτό που πρέπει να κατανοήσετε εδώ, είναι ότι η βασική αδυναμία είναι ο τελικός χρήστης, καθώς μπορεί με μία απλή ενέργεια του να δημιουργήσει -άθελα του τις περισσότερες φορές- μία κατάσταση που οδηγεί σε κλοπές διαπιστευτηρίων ή σε παραβιάσεις.
Κλεμμένα διαπιστευτήρια
Συχνά, σε συνδυασμό με το ηλεκτρονικό ψάρεμα (phishing) ή με κάποια παραβίαση σε τρίτο μέρος, ο φορέας της επίθεσης χρησιμοποιεί έγκυρα διαπιστευτήρια για να αποκτήσει πρόσβαση σε ιστοτόπους και υπηρεσίες ή για να κλιμακώσει προνόμια εσωτερικά. Η αδυναμία σε αυτή την περίπτωση είναι η ταυτότητα και η διαχείριση της πρόσβασης.
Υπηρεσίες απομακρυσμένης πρόσβασης
Στο πλαίσιο ATT&CK του MITRE γίνεται σαφές ότι: «Οι απομακρυσμένες υπηρεσίες όπως τα VPN, Citrix και άλλοι μηχανισμοί πρόσβασης επιτρέπουν σε χρήστες να συνδέονται σε εταιρικούς δικτυακούς πόρους από εξωτερικές τοποθεσίες». Υπάρχουν δύο πιθανές αδυναμίες στις οποίες πρέπει να επικεντρωθείτε, στους λογαριασμούς χρήστη και σε ευπάθειες ή κενά ασφαλείας στις εκτεθειμένες υπηρεσίες.
Προσδιορισμός μέτρων και πρακτικών μετριασμού του κινδύνου
Τώρα που έχετε μία καλύτερη κατανόηση των υποκείμενων αδυναμιών και των τεχνικών που χρησιμοποιούνται από τους κακόβουλους παράγοντες, το επόμενο βήμα είναι η δημιουργία μιας λίστας με μέτρα αντιμετώπισης για να μειωθούν σημαντικά οι πιθανότητες επιτυχίας των παραπάνω τεχνικών. Η λίστα δεν είναι μεγάλη και στην πράξη, μπορείτε να επικεντρωθείτε μόνο σε όσα χρειάζεστε πραγματικά, λαμβάνοντας βεβαίως υπόψη τις ελλείψεις που υπάρχουν στο δικό σας περιβάλλον πληροφορικής.
Ηλεκτρονικό ψάρεμα
- Υπηρεσίες ασφάλειας ηλεκτρονικού ταχυδρομείου – παρέχουν πρόσθετες δυνατότητες ασφάλειας πάνω από τις υπηρεσίες ηλεκτρονικού ταχυδρομείου (email) και πάνω από όσα παρέχουν τα Exchange και Gmail ως μέρος των βασικών τους υπηρεσιών.
- Ευαισθητοποίηση και εκπαίδευση πάνω σε θέματα ασφαλείας – παρέχεται σε πολλές μορφές περιεχομένου, ακόμα και σε μορφές προσομοίωσης ηλεκτρονικού ψαρέματος (phishing).
- Στοιχεία ελέγχου τερματικών συσκευών – αν τελικώς κάποιο κακόβουλο συνημμένο ή σύνδεσμος επιτύχει το στόχο του, είναι πολύ σημαντικό να έχετε εφαρμόσει πρόσθετα επίπεδα ασφάλειας, όπως ότι η συσκευή διαθέτει τα τελευταία patches, ότι οι υπηρεσίες και οι ρυθμίσεις σας (διαμόρφωση) είναι ενισχυμένες και ότι διαθέτετε μία ποιοτική λύση AV, EDR ή MDR.
Κλεμμένα διαπιστευτήρια
- Έλεγχος ταυτότητας πολλαπλών παραγόντων – ακόμα και αν βρίσκεστε εντός δικτύου, διασφαλίστε ότι έχει ενεργοποιηθεί σε όλα τα συστήματα που τον υποστηρίζουν.
- Διαχειριστής κωδικών πρόσβασης – στην αγορά υπάρχουν αρκετές ώριμες λύσεις, οι οποίες θα σας βοηθήσουν να επιτύχετε τα εξής: να δημιουργούνται με ασφάλεια κωδικοί πρόσβασης και μην χρησιμοποιούνται επανειλημμένως.
- Ειδοποιήσεις – μια αρκετά νέα χρήση του ενσωματωμένου μηχανισμού και δωρεάν: να ειδοποιείται ο χρήστης για νέες συνδέσεις και νέες εγγραφές συσκευών. Είναι σαφές πια, ότι αυτός ήταν ο τρόπος που το FireEye εντόπισε την πιο πρόσφατη παραβίαση.
Εξωτερικές υπηρεσίες απομακρυσμένης πρόσβασης
- Έλεγχος ταυτότητας πολλαπλών παραγόντων – αξίζει να επαναλάβουμε δύο φορές τη συγκεκριμένη πρακτική (να διασφαλίσετε ότι είναι ενεργοποιημένος σε όλα τα συστήματα που τον υποστηρίζουν) καθώς αποτελεί σημαντικό παράγοντα πολλών επιτυχημένων επιθέσεων σε εξωτερικές υπηρεσίες απομακρυσμένης πρόσβασης.
- Βασικές διαμορφώσεις – ακολουθήστε την εξής τακτική: φροντίστε να παραμένει εκτεθειμένος ο απολύτως ελάχιστος απαιτούμενος αριθμός υπηρεσιών. Επιπλέον, βεβαιωθείτε ότι δεν διαθέτουν ευπάθειες και κενά ασφαλείας και ότι έχουν σχεδιαστεί για εξωτερική συνδεσιμότητα. Βλέπετε, μπορεί να έχουμε 2021, ωστόσο εξακολουθούμε να βλέπουμε μεγάλο αριθμό επιθέσεων να αποδίδονται στο γνωστό πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας της Microsoft (Remote Desktop) όταν διατίθεται εξωτερικά χωρίς gateway.
- Σάρωση για ευπάθειες – Είτε πρόκειται για μια νέα ευπάθεια είτε για μια τεχνολογία που «ανοίγει» κατά λάθος κάποιο ευάλωτο web service, οι τακτικές σαρώσεις στην περίμετρο εξυπηρετούν ως μια συνεχής πηγή παρακολούθησης που βοηθά στην ελαχιστοποίηση του χρονικού παράθυρου που παραμένουν εκτεθειμένες ευπάθειες στο Internet.
Ιεράρχηση του σχεδίου δράσης
Αναμφισβήτητα το δυσκολότερο μέρος αυτής της άσκησης είναι να ιεραρχήσετε ή να προτεραιοποιήσετε τις δραστηριότητες σας σε ένα σχέδιο δράσεις καθώς και να βρείτε τον απαραίτητο χρόνο για να εργαστείτε με αυτές. Δεν χρειάζεται να ασχοληθείτε με ολόκληρη τη λίστα, αλλά επενδύστε λίγη σκέψη για να εντοπίσετε σε ποιες από τις δραστηριότητες αξίζει να επενδύσετε τον χρόνο σας. Την ώρα που οι παραδοσιακές πρακτικές διαχείρισης κινδύνου λαμβάνουν υπόψη τις οικονομικές απώλειες κατά προτεραιότητα, παρακάτω είναι μερικοί λιγότερο δομημένοι τρόποι προσέγγισης αυτού του προβλήματος.
- Συχνότητα επιθέσεων – Πόσες φορές χρησιμοποιήθηκαν επιτυχώς οι τεχνικές στη λίστα σας ενάντια στην τεχνολογική στοίβα σας και τη βάση χρηστών σας; Όσο περισσότερες φορές έχει συμβεί κάτι στο παρελθόν, είναι πιθανότερο να ξανασυμβεί και στο μέλλον.
- Κόστος – Όσον φορά στη λύση μετριασμού, αποτελεί κάποιο νέο εργαλείο ή χρησιμοποιεί αυτό που έχετε ήδη με νέους τρόπους; Το patching των τερματικών συσκευών, η ενίσχυση της διαμόρφωσης και η ενεργοποίηση του ελέγχου ταυτότητας πολλαπλών παραγόντων εξακολουθούν να αποτελούν τομείς βελτίωσης για τους MSPs. Ακόμη και η περισσότερο δημιουργική χρήση των ειδοποιήσεων μπορεί να οδηγήσει σε πολύ καλύτερα αποτελέσματα.
- Επιχειρηματικό πλεονέκτημα – Η ποιότητα των διαχειριζόμενων υπηρεσιών και ο προσδιορισμός του αν η απαιτούμενη επένδυση θα αποτελούσε επιχειρηματικό πλεονέκτημα στο μάρκετινγκ αποτελούν μία χρήσιμη διάσταση. (Σημείωση: κάτι τέτοιο ισχύει σε όλες τις περιπτώσεις, ωστόσο σε ορισμένες είναι περισσότερο ορατό από άλλες).
Καθώς εξετάζετε τα παραπάνω βήματα, θα έχετε τα θεμέλια να δημιουργήσετε μια διαδικασία που μπορεί να χρησιμοποιηθεί και να επαναχρησιμοποιηθεί για να ενισχύσει την άμυνα της υποδομής πληροφορικής σας. Το καλύτερο θα ήταν να προγραμματίσετε μία τριμηνιαία αξιολόγηση -το λιγότερο- για να επαναξιολογήσετε την αποτελεσματικότητα του προγράμματος σας με βάσει ενδεχομένως τις νέες κυβερνοεπιθέσεις που εμφανίζονται αλλά και τις τάσεις στον χώρο της κυβερνοασφάλειας (π.χ. τυχόν νέες τεχνικές αποτροπής που χρησιμοποιούνται).
Οι λύσεις επιχειρησιακής συνέχειας και αποκατάστασης καταστροφών (BCDR) θα πρέπει να χρησιμεύσουν ως θεμελιώδες συστατικό στοιχείο στην τεχνολογική στοίβα κάθε συνεργάτη. Θα λέγαμε ότι αποτελεί επιτακτική ανάγκη για την κοινότητα των MSPs να συνεχιστεί αυτή η τάση «επένδυσης» στις πρακτικές ασφαλείας και για το 2021. Μόνο μέσω της συνεχούς αξιολόγησης και βελτίωσης της «ανθεκτικότητας» στον κυβερνοχώρο, θα μπορέσουν οι λύσεις BCDR να γίνουν το τελευταίο φύλλο που παίζεται, και όχι το μοναδικό φύλλο.