Οι κυβερνοεγκληματίες εξελίσσουν διαρκώς τις μεθόδους που χρησιμοποιούν και τελευταία φαίνεται να επιτάσσουν αυτόματες διαδικασίες και τις ανθρώπινες δεξιότητες τους στο hacking για να εκτελέσουν με επιτυχία επιθέσεις σε διακομιστές.
Γιώργος Καπανίρης
Διευθυντής Στρατηγικής Ανάπτυξης, NSS
www.nss.gr
Ο νέος αυτός τύπος μικτής και συνδυαστικής επίθεσης, συνδυάζει τη χρήση ειδικών προγραμμάτων εντοπισμού δυνητικών θυμάτων (bots) με τον ανθρώπινο παράγοντα για την λήψη αποφάσεων σχετικά με τους στόχους και τη μεθοδολογία της επίθεσης. Με την λύση ανίχνευσης και ανταπόκρισης για τερματικές συσκευές της Sophos (Endpoint Detection and Response, EDR) που συμπεριλαμβάνεται στο Intercept X, οι διαχειριστές πληροφορικής έχουν τη δυνατότητα να διερευνούν τις κυβερνοεπιθέσεις ενάντια σε τερματικές συσκευές και – όλο και περισσότερο- σε διακομιστές, οι οποίοι αποτελούν βασικό στόχο των κυβερνοεγκληματιών λόγω της μεγάλης αξίας των αποθηκευμένων δεδομένων τους.
Η Ανατομία μίας συνδυαστικής κυβερνοεπίθεσης
Μόλις τα bots εντοπίσουν τους δυνητικούς στόχους, οι κυβερνοεγκληματίες στη συνέχεια επιλέγουν τα θύματα τους με βάση την έκταση και το εύρος των ευαίσθητων δεδομένων ή την πνευματική ιδιοκτησία ενός οργανισμού, την δυνατότητα του να πληρώσει ακριβά ενδεχομένως τα λύτρα που θα ζητηθούν ή την πρόσβαση σε άλλους διακομιστές και δίκτυα. Τα τελευταία βήματα στις επιθέσεις του είδους είναι πάντοτε χειροκίνητα από έμπειρους κυβερνοεγκληματίες, με στόχο την επιτυχή διείσδυση σε ένα σύστημα. Αυτοί αποφεύγουν διαρκώς την ανίχνευση και μετακινούνται εσωτερικά στο δίκτυο για να ολοκληρώσουν την αποστολή τους επιτυχώς. Αυτό γίνεται χρησιμοποιώντας τεχνικές όπως network lateral movement, που βοηθούν ώστε οι κυβερνοεγκληματίες να μπορέσουν να προχωρήσουν προοδευτικά βαθύτερα σε ένα δίκτυο καθώς παράλληλα αναζητούν κρίσιμης σημασίας δεδομένα και περιουσιακά στοιχεία. Η αποστολή τους θα μπορούσε να είναι η αθόρυβη διείσδυσή τους σε ένα δίκτυο για την κλοπή κρίσιμης σημασίας πληροφοριών (π.χ πνευματική ιδιοκτησία), την απενεργοποίηση αντιγράφων ασφαλείας ή την κρυπτογράφηση των διακομιστών για την απαίτηση λύτρων ή ακόμα και την χρήση των συγκεκριμένων διακομιστών ως «βάσεων» για να εξαπολύσουν επιθέσεις σε άλλες εταιρείες.
Οι συνδυαστικές κυβερνοεπιθέσεις που αποτελούσαν κάποτε μία επιλογή από το σύνολο των κυβερνοεπιθέσεων που χρησιμοποιούσαν κράτη εναντίων άλλων, τώρα αποτελούν συνήθη πρακτική για τους απλούς κυβερνοεγκληματίες επειδή είναι κερδοφόρες. Η διαφορά είναι ότι οι κρατικοί επιτιθέμενοι συνήθως παραμένουν εντός των δικτύων για μεγάλα χρονικά διαστήματα, ενώ οι απλοί εγκληματίες λειτουργώντας εντελώς οπορτουνιστικά χτυπούν απλώς για να βγάλουν χρήματα εύκολα και γρήγορα. Η πλειονότητα του malware είναι πια αυτοματοποιημένη, οπότε είναι εύκολο για τους επιτιθέμενους να εντοπίσουν οργανισμούς με αδύναμες στάσεις ασφαλείας, να αξιολογήσουν τις δυνατότητες που έχουν για την πληρωμή σε λύτρα και να χρησιμοποιήσουν εξελιγμένες τεχνικές hacking χειροκίνητα για να κάνουν όσο το δυνατόν μεγαλύτερη ζημιά.
Sophos Intercept X για Διακομιστές με EDR
Με το Sophos Intercept X for Server with EDR, οι διαχειριστές IT σε επιχειρήσεις κάθε μεγέθους έχουν ορατότητα κατά μήκος ολόκληρης της υποδομής της επιχείρησης. Και αυτό τους επιτρέπει να ανιχνεύουν προληπτικά κρυφές επιθέσεις, να κατανοούν καλύτερα τον αντίκτυπο ενός συμβάντος ασφαλείας και να έχουν την πλήρη εικόνα του ιστορικού της επίθεσης.
Όταν οι επιτιθέμενοι καταφέρουν να εισχωρήσουν σε ένα δίκτυο, κατευθύνονται αμέσως στους διακομιστές. Δυστυχώς, η ζωτικής σημασίας φύση των διακομιστών, περιορίζει πολλούς οργανισμούς από το να κάνουν αλλαγές, συχνά καθυστερώντας την εγκατάσταση ενημερώσεων κώδικα. Οι κυβερνοεγκληματίες βασίζονται σε αυτή την συγκυρία. Όταν οι οργανισμοί και οι εταιρείες πέφτουν θύματα μίας επίθεσης, θα πρέπει να γνωρίζουν το πλήρες πλαίσιο της επίθεσης, όπως ποιες τερματικές συσκευές και διακομιστές επλήγησαν, ώστε να βελτιώσουν την ασφάλεια και να απαντήσουν στα ερωτήματα που προκύπτουν από την αυστηρότερη ρυθμιστική νομοθεσία.
Γνωρίζοντας με ακρίβεια αυτές τις πληροφορίες από την πρώτη φορά, οι επιχειρήσεις θα μπορούν να επιλύσουν τα όποια ζητήματα προκύψουν αρκετά ταχύτερα και να αποτρέψουν να επαναληφθεί κάποια παραβίαση δεδομένων. Αν οι ρυθμιστικές αρχές βασίζονται στην ψηφιακή εγκληματολογία ως πειστήριο για την απώλεια δεδομένων, τότε και οι επιχειρήσεις μπορούν να βασιστούν στην ίδια εγκληματολογία για να αποδείξουν ότι τα δεδομένα τους δεν εκλάπησαν. Το Sophos Intercept X for Server with EDR παρέχει αυτές τις απαιτούμενες γνώσεις και πληροφορίες ασφαλείας.
Το Sophos Intercept X for Server with EDR επεκτείνει την προσφορά Endpoint Detection and Response (EDR) της Sophos που ανακοινώθηκε τον Οκτώβριο του 2018 για τερματικές συσκευές. Η λύση EDR της Sophos ενισχύεται από τεχνολογία βαθιάς εκμάθησης για την ακόμα περισσότερο εκτεταμένη ανίχνευση του malware. Το νευρωνικό δίκτυο βαθιάς εκμάθησης της Sophos εκπαιδεύεται με την χρήση εκατοντάδων εκατομμυρίων δειγμάτων για να αναζητά ύποπτα χαρακτηριστικά κακόβουλου κώδικα και να ανιχνεύει άγνωστες απειλές (never-before-seen threats). Παρέχει μία ευρεία επίσης και εξειδικευμένη ανάλυση πιθανών επιθέσεων, συγκρίνοντας το DNA των ύποπτων αρχείων με τα δείγματα κακόβουλου λογισμικού που έχουν ταυτοποιηθεί και ταξινομηθεί από την SophosLabs. Με το EDR της Sophos, οι διαχειριστές πληροφορικής μπορούν να απολαμβάνουν επίσης κατά παραγγελία πρόσβαση σε επιλεγμένες πληροφορίες της SophosLabs, σε καθοδηγούμενες έρευνες ύποπτων συμβάντων και σε συνιστώμενα επόμενα βήματα για την αντιμετώπιση του κινδύνου (incident response). Για να διατηρήσει την πλήρη ορατότητα της στο τοπίο των απειλών, η SophosLabs παρακολουθεί, αποδομεί και αναλύει 400 χιλιάδες μοναδικές και άγνωστες επιθέσεις malware σε καθημερινό επίπεδο.