Źródło:  https://unsplash.com/photos/uh5TTKr5e_w

Krajobraz zagrożeń ciągle się zmienia! Wraz ze zmianą motywacji ataków – od pojedynczych zakłóceń działania systemu, poprzez zakłócenia działania usług, zakłócenia działania sieci, działania sponsorowane przez państwo, gospodarkę podziemną, aż po niedawne wyłudzanie okupu – każdy jest zmuszony do zrewidowania swoich środków bezpieczeństwa wobec swoich systemów IT lub infrastruktury. Minęły już czasy, kiedy atakujący musiał włożyć rozsądny wysiłek, aby wykonać inżynierię wsteczną w celu opracowania exploita, po tym jak wydano łatę na znaną lukę. Wraz z dostępnością narzędzi i exploitów online, atakujący muszą teraz włożyć znacznie mniej wysiłku, aby poprawić lub skonstruować nowe narzędzia exploitów dla swoich potrzeb. Aby skutecznie przeciwdziałać tym atakom, należy dokonać gruntownego przeglądu swojej pozycji bezpieczeństwa.

Zapobieganie zagrożeniom bezpieczeństwa cybernetycznego i zarządzanie incydentami są traktowane nieco inaczej w dwóch szerokich kategoriach – działań podejmowanych przez organizacje oraz działań podejmowanych przez osoby fizyczne. Chociaż zakres tego dokumentu dotyczy przede wszystkim osób indywidualnych, to jednak szybkie spojrzenie na działania stosowane przez organizację może pomóc w zbudowaniu pełnej perspektywy.

Organizacje zazwyczaj osiągają cel poprzez pewne popularne działania – zarządzanie ryzykiem (swojego systemu informatycznego), budowanie zdolności zarządzania i reagowania na incydenty, okresowy przegląd metryk cyberbezpieczeństwa, wdrażanie skutecznych narzędzi wykrywania i zapobiegania, ciągłe zarządzanie poprawkami oraz, co bardzo ważne, szkolenie swoich zasobów ludzkich oraz podnoszenie i utrzymywanie wysokiej świadomości wśród zasobów ludzkich.

Osoby indywidualne podejmują proste działania, takie jak instalacja programu antywirusowego, zainstalowanie zapory sieciowej, korzystanie z autentycznego oprogramowania/aplikacji, zachowanie ostrożności wobec załączników do wiadomości e-mail, regularne tworzenie kopii zapasowych plików itp. Środki indywidualne zostaną omówione bardziej szczegółowo w niniejszym dokumencie.

Do końca tego modułu nauczysz się na temat:

• Przeglądu praktyk zapobiegania zagrożeniom i zarządzania incydentami związanymi z zagrożeniami
• Sugerowanych popularnych Najlepszych Praktyk chroniących jednostkę przed zagrożeniami cyberbezpieczeństwa
• Przeglądu wybranych futurystycznych trendów w zagrożeniach cyberbezpieczeństwa.

PRZEGLĄD PRAKTYK W ZAKRESIE ZAPOBIEGANIA ZAGROŻENIOM I ZARZĄDZANIA INCYDENTAMI ZWIĄZANYMI Z ZAGROŻENIAMI

Kluczowe popularne praktyki stosowane przez organizacje – Najlepsze praktyki organizacji w zakresie obrony przed cyberbronią obejmują podstawowe, ale niezwykle ważne środki zaradcze. Niektóre z tych kluczowych praktyk to:

Zarządzanie Ryzykiem – Minimalizacja negatywnych skutków oraz potrzeba silnej podstawy w podejmowaniu decyzji to główne powody, dla których organizacje wdrażają Zarządzanie Ryzykiem w systemach informatycznych. Zmiany w zasobach informatycznych mogą wprowadzać podatności i zmieniać ogólny status ryzyka. Skuteczne zarządzanie ryzykiem pomaga zidentyfikować, które zasoby są bardziej krytyczne lub wrażliwe, dzięki czemu można zastosować bardziej rygorystyczne kontrole bezpieczeństwa lub podjąć większe wysiłki w celu ich ochrony. Zintegrowanie zarządzania ryzykiem z cyklem życia systemu (System Development Life Cycle) pomoże w zapewnieniu bezpieczeństwa na wszystkich etapach cyklu życia i przyniesie efektywne rezultaty.

Zarządzanie incydentami – skuteczny program zarządzania ryzykiem obejmuje skuteczne zarządzanie incydentami i zdolność do reagowania. Ryzyko, któremu nie zapobiegają mechanizmy kontroli zarządzania ryzykiem, staje się incydentem. Organizacje muszą posiadać silny zespół reagowania na incydenty, z jasno określonymi rolami i obowiązkami oraz planami zarządzania incydentami, aby zarządzać takimi incydentami z zamiarem powstrzymania ich przed doprowadzeniem do katastrofy. Zarządzanie incydentami jest częściej zarządzaniem kryzysowym, dlatego też polityki i  procedury powinny być jasne i łatwe do naśladowania. Procedury te powinny być okresowo przeglądane i testowane w celu zwiększenia ich skuteczności.

Okresowy przegląd – Organizacje powinny stale monitorować metryki bezpieczeństwa i okresowo dokonywać przeglądu ich efektywności. Pomaga to poznać skuteczność wdrożonych kontroli bezpieczeństwa, dostosować istniejące lub wdrożyć dodatkowe kontrole w celu zarządzania bezpieczeństwem informacji.

Narzędzia do wykrywania i zapobiegania włamaniom – Większość organizacji posiada systemy wykrywania i zapobiegania włamaniom (Intrusion Detection lub Intrusion Prevention) lub oba te systemy w celu wykrywania i ochrony sieci przed złośliwymi atakami lub naruszeniami. Oprócz wykrywania zagrożeń lub ataków, systemy IDS mogą być również wykorzystywane do identyfikowania problemów z polityką bezpieczeństwa organizacji, dokumentowania istniejących zagrożeń oraz wykorzystywania informacji do aktualizacji programów uświadamiających, aby powstrzymać użytkowników przed naruszaniem polityki bezpieczeństwa informacji organizacji. Regularne dostrajanie tych narzędzi w celu maksymalizacji dokładności w rozpoznawaniu rzeczywistych zagrożeń przy jednoczesnej minimalizacji liczby fałszywych alarmów pomoże skutecznie wykrywać i bronić się przed nowymi atakami i  atakami zero-day.

Zarządzanie łatkami – Organizacje powinny zrewidować swój proces zarządzania łatkami i rozszerzyć go na wszystkie systemy IT. Zwiększona ilość ataków na urządzenia IoT może być zaadresowana poprzez włączenie aktualizacji firmware’u do procesu zarządzania łatami w organizacji.

Szkolenia i świadomość – Ludzie stanowią największe ryzyko dla każdej organizacji. Ich działania przez pomyłkę, przypadek, brak wiedzy, a czasami w złych zamiarach prowadzą do incydentów. Zapewnienie okresowych szkoleń z zakresu wiedzy operacyjnej oraz kampanii uświadamiających na temat koncepcji bezpieczeństwa informacji pomoże im wnieść swój wkład w zarządzanie bezpieczeństwem informacji. Uwzględnij w sesjach szkoleniowych wiedzę na temat obsługi załączników do poczty elektronicznej, Phishingu, Vishingu, Click-jack, Inżynierii Społecznej, itp. Okresowo sprawdzaj skuteczność szkoleń uświadamiających.

W przypadku osób indywidualnych, najlepsze praktyki są proste.

Dobrą wiadomością jest to, że w większości przypadków, niektóre całkiem duże organizacje bezpieczeństwa stoją między konsumentem a hakerem, np. zespół SecOps w Verizon lub AT&T. Nadal istnieją środki zapobiegawcze, które należy podjąć, aby pomóc zapewnić bezpieczeństwo swoich informacji i są one omówione szczegółowo w   następnej sekcji tego dokumentu.

SUGEROWANE POPULARNE NAJLEPSZE PRAKTYKI

Popularne środki bezpieczeństwa

Hasło: Aby uniemożliwić nieupoważnionym użytkownikom bezprzewodowe podłączenie się do naszego routera, kradzież naszego łącza internetowego, a nawet dostęp do innych komputerów w naszej sieci lokalnej, są one zazwyczaj chronione hasłem. Bez niego dostęp nie jest możliwy. Jednak hasła te są często słabe i łatwe do złamania. Jeśli sprawdzimy nasz router, na pewno znajdziemy jedno z tych 3: admin/admin; admin/password; admin/. Po uzyskaniu dostępu do naszego routera, hakerzy hasło ma całkowitą swobodę, aby zmienić hasło Wi-Fi i uniemożliwić nam dostęp do każdego urządzenia, którego używamy. Aby tego uniknąć, musimy zmienić domyślne hasło dostępu do sieci Wi-Fi dostarczane przez naszego dostawcę Internetu. Hasła te są skonfigurowane za pomocą algorytmu, który jest dostępny dla każdego. Tak więc, czytając poradnik w Internecie, możemy być w stanie sami wykorzystać te informacje w niewłaściwy sposób. Dlatego musimy nadać hasło, które spełnia wszystkie środki bezpieczeństwa:

• Zawiera małe i duże litery, cyfry i litery
• Nie używaj dat urodzenia, imion zwierząt domowych, ulubionych potraw i innych łatwych do odgadnięcia danych.

Szyfrowanie: Musimy uważać na to, co publikujemy na naszych portalach społecznościowych. Przechowują one duże ilości informacji o naszych działaniach, miejscach, które odwiedzamy, ludziach, z którymi wchodzimy w interakcje, naszych zainteresowaniach, jedzeniu, które lubimy itd. Wszystkie te informacje mogą być wykorzystane przez atakującego do poznania naszego profilu lub zaplanowania i przeprowadzenia niestandardowych ataków, takich jak phishing, o którym wspominaliśmy w pierwszej części tego poradnika. Poza tym, zebrane informacje mogą być wykorzystane nawet do porwań czy wymuszeń.

Jak rozpoznać, która aplikacja jest bezpieczna? W technologii mobilnej większość serwisów do przesyłania wiadomości, takich jak na przykład WhatsApp, oferuje system szyfrowania wszystkich naszych rozmów. Oznacza to, że tylko my i osoba, z którą się komunikujemy, możemy czytać wiadomości, uniemożliwiając dostęp osobom trzecim. W rzeczywistości, a nawet jeśli cyberprzestępca mógłby uzyskać wszystkie udostępnione informacje, zobaczyłby tylko kody, których nie można odszyfrować.

Podczas surfowania po Internecie zaleca się, aby robić to na tych stronach, gdzie HTTPS jest umieszczony w pasku adresu, co również daje użytkownikowi dodatkowe szyfrowanie. Kiedy adres URL strony zaczyna się od https: //, twój komputer jest połączony ze stroną, która mówi do ciebie w zakodowanym, odpornym na inwazję i bardziej bezpiecznym języku. I musimy poruszać się po tego typu stronach szczególnie wtedy, gdy dokonujemy zakupów online, o ile są one połączone z uznanymi bramkami płatności elektronicznych, takimi jak Visa, Mastercard, Paypal, między innymi.

Firewalls: Dodatkowym narzędziem chroniącym przed zagrożeniami internetowymi jest zastosowanie zapory sieciowej (firewall). Jest to po prostu narzędzie zabezpieczające, które kontroluje, które aplikacje mają dostęp do Internetu i które połączenia są dopuszczone do naszego komputera. Firewalle są zazwyczaj zaprogramowane tak, aby automatycznie rozpoznawać zagrożenia, co oznacza, że są zazwyczaj łatwe w użyciu i nie ingerują w sposób, w jaki korzystamy z komputera.

VPN Virtual Private Network: Innym bardzo dobrym środkiem jest użycie VPN (Virtual Private Network), czyli technologii sieciowej, która pozwala nam stworzyć sieć lokalną (LAN), nawet jeśli przeglądamy strony zdalnie i musimy przekazać informacje przez sieć publiczną. VPN tworzy swego rodzaju tunel i uniemożliwia komukolwiek przechwycenie i wykorzystanie tych informacji. W ten sposób mamy pewność, że wszystko, co wychodzi z naszych urządzeń jest zaszyfrowane do momentu, gdy odbiorca wiadomości otrzyma te informacje. Może to zapobiec atakom man-in-the-middle, czyli rodzajowi zagrożenia, w którym cyberprzestępca uzyskuje możliwość przekierowania lub kontrolowania komunikacji między dwiema stronami.

Antywirus: Istotne jest, aby nasz system operacyjny był aktualizowany i korzystał z najlepszego programu antywirusowego, który będzie ostrzegał i chronił nas przed ewentualnymi zagrożeniami. Ważne jest również, aby okresowo uruchamiać go w celu znalezienia i usunięcia złośliwego oprogramowania, a także przeprowadzać automatyczne aktualizacje. Jeśli zastanawiasz się, czy kupić licencję antywirusa, czy dostać ją za darmo, musimy pamiętać, że chociaż większość darmowych programów jest wysokiej jakości i oferuje rozsądny poziom bezpieczeństwa dla użytkowników domowych, nie zawsze oferują one ten sam poziom ochrony. Najlepszym rozwiązaniem będzie skonsultowanie się z ekspertem, a jeśli to możliwe, wybranie antywirusa, który posiada wsparcie techniczne, które pomoże nam w konfiguracji.

• Najlepszą opcją jest nie ufać niewinnie pierwszej rzeczy, która przychodzi do naszej skrzynki mailowej, temu linkowi oferującemu nam darmowy produkt, temu użytkownikowi, który chce nas dodać do sieci społecznościowej, a którego nie znamy, itd.
• Należy się dwa razy zastanowić, zanim podejmie się którekolwiek z tych działań – jeśli coś jest zbyt piękne, aby mogło być prawdziwe, to jest bardzo prawdopodobne, że jest to oszustwo lub szkodliwe.
• Zawsze warto korzystać z filtrów antyspamowych, które pomagają blokować masowe wiadomości mogące zawierać złośliwe oprogramowanie.
• Trzeba być ostrożnym, jeśli ktoś, nawet przyjaciel z dobrymi intencjami lub członek rodziny, daje nam USB lub dysk wymienny, aby włożyć go do naszego komputera. Mógł w nim ukryć złośliwe oprogramowanie, nawet o tym nie wiedząc. Dlatego tak ważne jest skanowanie antywirusem każdego elementu, który wprowadzamy do naszych urządzeń lub pobieramy z sieci.
• Należy również przyzwyczaić się do okresowego tworzenia kopii zapasowych naszego urządzenia, aby zminimalizować utratę danych.

Urządzenia takie jak smartfon, tablet, smart TV; inteligentne urządzenia, takie jak lodówki czy piekarniki; nawet termostaty, rolety, drzwi i światła sterowane z telefonu. To właśnie jest Internet Rzeczy lub IoT. Obecnie wszystkie te urządzenia są połączone za pomocą Wi-Fi, Bluetooth lub podczerwieni i komunikują się z centralnym sterownikiem, który zazwyczaj znajduje się w tym samym domu lub na centralnym serwerze producenta. Tendencja wskazuje, że w każdym domu będzie więcej urządzeń niż ludzi. Urządzenia te odgrywają coraz ważniejszą rolę w życiu domowym.

IoT stanowi jednak trudne wyzwanie dla bezpieczeństwa. Czujniki wszystkich urządzeń domowych, nawet robotów odkurzających, które stały się tak znane w ciągu ostatnich kilku lat, mogą przechowywać cenne informacje o naszych domach. Znana na całym świecie marka Roomba przechowuje informacje o wymiarach domów i planuje sprzedać je innym dużym firmom technologicznym.

Urządzenia Internetu Rzeczy gromadzą dane o nas: wiedzą, jakie programy telewizyjne oglądamy, co mówimy w danym pomieszczeniu, o której godzinie wróciliśmy do domu itp.

PRZEGLĄD WYBRANYCH FUTURYSTYCZNYCH TRENDÓW W ZAKRESIE ZAGROŻEŃ CYBERBEZPIECZEŃSTWA

Jak poważnym problemem jest cyberprzestępczość? Badanie przeprowadzone przez Cybersecurity Ventures przewiduje, że do 2021 r. przestępstwa te będą kosztować świat 6 bilionów dolarów rocznie. O cyberprzestępstwach zrobiło się głośno, gdy na pierwsze strony gazet trafiły informacje o dużych naruszeniach bezpieczeństwa danych w firmach, a cyberzagrożenia z zagranicy, takie jak Chiny i Rosja, zagrażają amerykańskim firmom i wyborom.

Deepfakes to połączenie słów „deep learning” i „fake”. Deepfakes zdarzają się, gdy technologia sztucznej inteligencji tworzy fałszywe obrazy i dźwięki, które wydają się prawdziwe. Deepfake może tworzyć wideo, w którym słowa danej osoby są manipulowane, sprawiając wrażenie, że dana osoba powiedziała coś, czego w rzeczywistości nigdy nie powiedziała. Technologia Deepfake voice Technologia umożliwiająca podszywanie się pod głosy innych osób – często polityków, celebrytów lub dyrektorów generalnych – przy użyciu sztucznej inteligencji.

Tożsamość syntetyczna to forma oszustwa tożsamości, w której oszuści wykorzystują połączenie prawdziwych i sfabrykowanych danych uwierzytelniających, aby stworzyć iluzję prawdziwej osoby. Na przykład, przestępca może stworzyć syntetyczną tożsamość, która zawiera prawdziwy adres fizyczny.

Wykorzystując sztuczną inteligencję, hakerzy są w stanie tworzyć programy, które naśladują znane ludzkie zachowania. Hakerzy mogą następnie wykorzystywać te programy do oszukiwania ludzi, aby podawali swoje dane osobowe lub informacje finansowe. W tych atakach, znanych jako ataki zatruwające, cyberprzestępcy mogą wstrzykiwać złe dane do programu sztucznej inteligencji. Te złe dane mogą następnie spowodować, że system AI nauczy się czegoś, czego nie powinien.

Idea obliczeń kwantowych jest wciąż nowa, ale w najbardziej podstawowym ujęciu jest to rodzaj obliczeń, które mogą wykorzystywać pewne elementy mechaniki kwantowej. Dla cyberbezpieczeństwa ważne jest to, że komputery te są szybkie i potężne. Zagrożenie polega na tym, że komputery kwantowe mogą rozszyfrować kody kryptograficzne, których złamanie zajęłoby tradycyjnym komputerom znacznie więcej czasu – o ile w ogóle byłyby w stanie to zrobić.

Ponieważ coraz więcej samochodów osobowych i ciężarowych jest podłączonych do Internetu, wzrasta zagrożenie cyberatakami z wykorzystaniem pojazdów. Istnieje obawa, że cyberprzestępcy będą w stanie uzyskać dostęp do pojazdów w celu kradzieży danych osobowych, śledzenia lokalizacji lub historii jazdy tych pojazdów, a nawet wyłączenia lub przejęcia funkcji bezpieczeństwa.

W miarę jak świat przechodzi transformację cyfrową, biorąc pod uwagę tempo zmian, wiarygodne i możliwe do wykorzystania informacje o zagrożeniach stają się bardzo ważne. Popularne metody analizy zagrożeń to:

Wzajemne badanie zagrożeń: Pierwsza i najbardziej powszechna metoda opiera się na ankiecie przeprowadzanej wśród liderów ds. bezpieczeństwa lub podobnych osób, w której pyta się o rodzaje zagrożeń, z jakimi się zetknęli. Ten rodzaj wywiadu może być szczególnie cenny, jeśli ankietowane osoby działają w tej samej branży lub mieszkają w tym samym regionie geograficznym.

Raporty o zagrożeniach prowadzone przez ekspertów: Wywiad dotyczący zagrożeń musi nie tylko dostarczać historyczny przegląd krajobrazu zagrożeń, ale również przewidywać potencjalne punkty zwrotne w rozwoju złośliwego oprogramowania i strategii cyberprzestępców. Należy zacząć od raportów o zagrożeniach opracowywanych przez profesjonalne zespoły badawcze ds. zagrożeń

Kanały informacyjne o zagrożeniach i informacje zbierane wewnętrznie: Oprócz tych źródeł informacji, liderzy ds. bezpieczeństwa muszą subskrybować kanały informacji o zagrożeniach, które dostarczają wiarygodnych i użytecznych informacji, a także usługi, które zapewniają aktualizacje w czasie rzeczywistym i zalecenia z linii frontu cyberbezpieczeństwa.

Poprawa zdolności organizacji nie tylko do właściwej obrony przed bieżącymi trendami zagrożeń, ale również do przewidywania szerokiej gamy ataków w przyszłości wymaga inteligencji zagrożeń, która umożliwia organizacjom przyjęcie postawy proaktywnej. Zdolność do „widzenia przyszłości” trendów zagrożeń pozwala organizacjom nie tylko skuteczniej bronić się przed bieżącymi atakami, ale również zapobiegać kolejnym falom ataków zanim one nastąpią.