Dejstvo je, da podjetja pogosto sploh ne vedo, kje so (najbolj) ranljiva in kje so razpoke v njihovi kibernetski obrambi, ki bi jih veljalo čim prej zakrpati. Te informacije pa jim lahko da varnostni pregled, ki ga opravijo varnostni strokovnjaki.
V oddelku kibernetske varnosti v podjetju A1 Slovenija so v preteklih mesecih opravili več kot 50 varnostnih pregledov in z nami delili ključne ugotovitve. »Varnostni pregled je vedno dobra naložba. Živimo v času, ko podjetja vseh vrst in velikosti preprosto morajo poskrbeti za zmogljivo digitalno obrambo, sicer jih utegnejo doleteti visoki zneski za odpravljanje škode, nastale po kibernetskem napadu na slabo zaščiten informacijski sistem,« je bil jedrnat Miloš Krunić, strokovnjak za kibernetsko varnost in vodja A1Ops.
Ranljivosti v e-pošti in spletnih strežnikih
Varnostni pregled je razdeljen na tako imenovani notranji in zunanji del. Zunanji del pregleda obravnava javno dostopne storitve in preveri, kako je podjetje videti navzven – kje so ključne razpoke ali luknje v digitalni obrambi, ki bi jih napadalci lahko izkoristili.
V A1 ugotavljajo, da se veliko število napadov in prevar zgodi prav na račun zlorabe e-poštnih strežnikov in e-poštnih računov. E-poštni strežniki in poverilnice uporabnikov so vse preveč enostavno dostopni, kar je idealna priložnost za napadalce, ki izkoriščajo e-pošto za svoje prevare. Varnostni strokovnjaki tudi ugotavljajo, da veliko podjetij ne premore namenskega orodja za zaščito elektronske pošte ali pa je to slabo/neustrezno nastavljeno.
Ranljiva je tudi spletna stran, sploh če se uporablja za prijavo do vsebin ali storitev. Zaposleni v podjetju imajo pogosto preveč pravic s področja dostopa v sistem. Temeljit varnostni pregled je osnova dobre kibernetske varnostne prakse.
Odsotnost večfaktorske avtentikacije pripomore tudi k lažjim vstopom v omrežje podjetja, pogosto prek javno dostopne prijave za prenos VPN-odjemalca. »Tako kot imajo objekti vgrajena vrata in ključavnice z razlogom, tako velja varovati tudi omrežje podjetja in druge vire. Tudi v digitalnem svetu je treba zapirati vrata in zakleniti ključavnice.«
Vse pogosteje vstopno točko v podjetje oziroma njegovo omrežje in sisteme predstavljajo kar spletne strani podjetja. »Na prvo žogo vsi mislijo, da to nima nobene povezave z njihovim omrežjem, saj spletna stran gostuje nekje zunaj (pri zunanjem ponudniku), težava pa je v tem, ker lahko napadalec ranljivo spletno stran izkoristi za napade na poslovne partnerje podjetja ali na zaposlene.«
Kako? Napadalci izkoristijo ranljivost spletne strani in nanjo podtaknejo zlonamerno kodo, ki jim omogoči izvedbo prevar. Če se spletna stran uporablja za prijavo do vsebin ali storitev, lahko napadalci tako pridobijo cel kup uporabniških imen in gesel ter drugih podatkov, ki jih v nadaljevanju izkoristijo za še obsežnejši napad na vire podjetja. Varnostni strokovnjaki zato poudarjajo pomen rednega tehničnega vzdrževanja spletnih strani in posodabljanja vtičnikov. A v tem delu je prav tako potrebna previdnost – vzdrževalci bi morali skriti prijavna okna za prijave s skrbniškim dostopom, uporabijo pa lahko še kak drug ukrep.
Več pravic, več glavobolov
Notranji del varnostnega pregleda se posveča varnostnim mehanizmom, zaščiti in uporabnikom v podjetju. Najbolj pogosta težava, vsaj z vidika varnostnih strokovnjakov, so preobsežne pravice uporabnikov. »V splošnem imajo uporabniki IT-rešitev v podjetjih preveč pravic. Pogosto so celo skrbniki na svojih računalnikih, kar pomeni, da si lahko uspešen napadalec na žrtvinem računalniku zgradi pravcato trdnjavo s stalnim dostopom,« slabo varnostno prakso izpostavi Krunić.
Podjetja pogosto sploh ne vedo, kje so (najbolj) ranljiva in kje so razpoke v njihovi kibernetski obrambi.
Varnostni pregledi razkrivajo še dodatno varnostno pomanjkljivost: zaposleni imajo pogosto preveč pravic na deljenih mapah, torej imajo dostop tudi do map, do katerih jim nujno ni treba dostopati – posledično pa lahko napadalec pridobi še več informacij. Rešitev? Pravice glede dostopov do podatkov naj se redno revidirajo, pregledujejo, uporabnikom pa omogoči dostop le do tistih map, za katere dostope res potrebujejo.
Za ustrezno urejanje pravic in dostopov mora poskrbeti IT-oddelek v podjetju. »Za napadalce lahko 'skrinjo zlata' predstavljajo tehnični podatki, ki so shranjeni na deljenih mapah. Neredko tam najdemo skrbniške poverilnice ali druge pomembne tehnične podatke, kar je skoraj tako, kot bi napadalcem prepustili ključe našega digitalnega okolja.«
Skrb za zaščito in posodobitve
Nezadostna zaščita delovnih postaj, na primer zgolj osnovni ali neposodobljeni protivirusni programi, je še eden od razlogov, da se napadalcem uspe prebiti do podatkov podjetja. V kombinaciji s prej omenjenimi skrbniškimi pravicami uporabnikov pa lahko napadalec celo odstrani protivirusno zaščito in tako nima omejitve glede nameščanja dodatnih orodij za nadaljevanje napada. V času, ki ga zaznamujejo izsiljevalski virusi in vohunska programska oprema, zgolj protivirusni programi ne zadoščajo več, temveč morajo podjetja razmisliti o namestitvi in uporabi naprednejših varnostnih rešitev (kot je XDR).
Za napadalce lahko »skrinjo zlata« predstavljajo tehnični podatki, ki so shranjeni na deljenih mapah.
Tudi neposodobljeni (ranljivi) operacijski sistemi na strežnikih omogočajo napadalcem tako imenovano bočno premikanje po omrežju in napad na glavne strežnike. »Podjetja naj redno skrbijo za posodobitve vse programske opreme. To delo jim lahko olajša tudi namenska programska oprema, ki redno preverja za novimi posodobitvami in jih tudi namesti na računalnike in strežnike.«
Kaj torej predstavlja dobro varnostno prakso? »Za začetek priporočam temeljit varnostni pregled IT-okolja, varnostnih politik in praks, s katerim se preveri raven varnosti podjetja, nato pa varnostni strokovnjaki podajo priporočila glede varovanja IT-okolja,« sklene etični heker.
Članek je bil objavljen na spletni strani delo.si
Avtor: Miran Varga.
Naslovna fotografija: Profimedia