CAPITOLUL 4: Prevenirea amenințărilor de securitate cibernetică și cele mai bune practici

Sursa:  https://unsplash.com/photos/uh5TTKr5e_w

Introducere

Peisajul amenințărilor cibernetice este în continuă schimbare. Odată cu modificarea motivațiilor care stau la baza atacurilor, de la o perturbare a unui sistem individual, perturbarea serviciilor, perturbări ale rețelei, atacuri organizate de state, economie subterană la recentele cereri de răscumpărare, toată lumea este  acum nevoită să  își revizuiască  măsurile de securitate ale sistemelor IT sau ale infrastructurii. Au trecut vremurile în care atacatorii trebuiau să depună eforturi considerabile, să facă inginerie inversă pentru a dezvolta un exploit, după ce un  patch este lansat pentru o vulnerabilitate cunoscută. Odată cu disponibilitatea instrumentelor și exploit-urilor online, atacatorii trebuie să depună acum eforturi mult mai mici pentru a îmbunătăți sau a construi noi instrumente de atac. Pentru a contracara în mod eficient aceste pericole, trebuie făcută o revizuire aprofundată a nivelului de securitate.

Prevenirea amenințărilor cibernetice și gestionarea incidentelor sunt tratate puțin diferit pentru cele două categorii generale – măsurile luate de companii și măsurile luate de persoane fizice. Deși domeniul de aplicare al acestui document este centrat în principal pe persoanele fizice, o vizualizare rapidă a activităților utilizate de o companie poate ajuta la construirea unei perspective complete.

Companiile ating de obicei obiectivul prin anumite măsuri – gestionarea riscurilor (a sistemului lor IT), crearea capacităților de gestionare a incidentelor și de răspuns la incidente, revizuirea periodică a indicatorilor de Securitate cibernetică, implementarea unor instrumente eficiente de detectare și prevenire, gestionarea continuă a patch-urilor și, foarte important, instruirea resursei umane, creșterea și menținerea gradului ridicat de conștientizare în rândul angajaților.

Persoanele fizice iau măsuri simple, cum ar fi instalarea de antivirus, instalarea unui firewall, folosire de software/aplicații autentice, precauția în legătură cu orice atașament email, back-up regulat de fișiere etc. Măsurile individuale vor fi discutate mai detaliat în acest document.

Până la sfârșitul acestui modul, veți descoperi:

• O prezentare generală a practicilor de prevenire a pericolelor și de gestionare a incidentelor
• Cele mai bune practici sugerate pentru a proteja o persoană împotriva amenințărilor la adresa securității cibernetice
• O prezentare generală a anumitor tendințe viitoare în amenințările cibernetice.

Prezentare generală a practicilor de prevenire a pericolelor și de gestionare  a incidentelor

Practici principale comune ale companiilor – Cele mai bune practici ale companiilor pentru apărarea împotriva atacurilor cibernetice includ contramăsuri de bază, dar extrem de importante. Unele din practicile principale sunt:

Managementul riscurilor – Minimizarea impactului negativ și necesitatea unei baze solide în luarea deciziilor sunt principalele motive pentru care organizațiile implementează Managementul Riscurilor pe sistemele IT. Modificările aduse resurselor IT pot introduce vulnerabilități și pot modifica starea generală de risc. Gestionarea eficientă a riscurilor ajută la identificarea resurselor mai critice sau mai sensibile, astfel încât să poată fi aplicate controale de securitate mai stricte sau să se depună mai multe eforturi pentru a le proteja.  Integrarea gestionării riscurilor în ciclul de viață al dezvoltării sistemului contribuie la abordarea securității în toate etapele ciclului de viață și produce rezultate eficiente.

Managementul incidentelor – Un program eficient de gestionare a riscurilor include capacități eficiente de gestionare a incidentelor și de răspuns. Un risc, care nu este prevenit de controalele de gestionare a riscurilor, stabilește un incident. Organizațiile trebuie să aibă o echipă puternică de răspuns la incidente, cu roluri și responsabilități clar definite, precum și cu planuri de management al incidentelor, pentru a le gestiona și a împiedica producerea unui dezastru. Managementul incidentelor este mai degrabă o gestionare a crizelor și, prin urmare, politicile și procedurile ar trebui să fie clare și să poată fi urmate cu ușurință. Procedurile ar trebui revizuite și testate periodic pentru o mai mare eficacitate.

Revizuire periodică – Organizațiile ar trebui să monitorizeze în permanență indicatorii de securitate și să le revizuiască periodic eficacitatea. Acest lucru ajută la cunoașterea eficacității controalelor de securitate implementate, la realinierea controalelor existente sau la implementarea controalelor suplimentare pentru a gestiona securitatea informațiilor.

Instrumente de Detectare/Prevenire – Majoritatea companiilor au un sistem de detecție a intruziunilor sau de prevenire a intruziunilor sau ambele sisteme pentru a detecta atacurile cibernetice și a proteja rețeaua de atacuri. Pe lângă detectarea amenințărilor sau atacurilor, sistemul poate fi utilizat și pentru identificarea problemelor legate de politica de securitate a unei companii, pentru a documenta amenințările existente și a utiliza informațiile pentru actualizarea programelor de conștientizare cu scopul de a împiedica utilizatorii să încalce politicile de securitate a informațiilor ale companiei. Ajustarea regulată a acestor instrumente pentru a maximiza acuratețea recunoașterii amenințărilor reale, reducând în același timp numărul de rezultate fals pozitive, ar ajuta la detectarea și apărarea efectivă în fața atacurilor noi.

Managementul patch-urilor – Organizațiile ar trebui să revizuiască procesul de gestionare a patch-urilor și să extindă acest lucru la sistemele IT complete. Atacurile crescute asupra dispozitivelor IoT pot fi abordate prin includerea actualizărilor de Firmware în procesul de gestionare a patch-urilor din organizație.

Instruire și conștientizare – Oamenii reprezintă cel mai mare risc pentru orice organizație. Acțiunile lor făcute din greșeală, accident, lipsă de cunoștințe și poate ocazional cu rea intenție, duc la incidente. Oferirea de instruire periodică privind cunoștințele operaționale și campaniile de sensibilizare cu privire la conceptele de Securitate a informațiilor îi vor ajuta să contribuie la managementul securității informațiilor. Sunt incluse și cunoștințe despre gestionarea atașamentelor de email, Phishing, Vishing, Click-jack, Inginerie Socială etc. E necesară testarea periodică a eficienței instruirii de conștientizare.

Pentru persoanele fizice, cele mai bune practici sunt simple.

Vestea bună este că, în cele mai multe cazuri, unele organizații de Securitate destul de mari se află între consumator și hacker, de exemplu echipa SecOps de la Verizon sau AT&T. Există încă măsuri preventive pe care ar trebui să le luați pentru a vă garanta siguranța informațiilor și acestea sunt discutate în detaliu în următoarea secțiune a acestui document.

Sugestii de bune practici

Măsuri comune de siguranță

Parola: Pentru a împiedica utilizatorii neautorizați să se conecteze wireless la router-ul nostru, să fure conexiunea noastră la Internet și chiar să acceseze alte computere din rețeaua noastră locală, acestea sunt de obicei protejate cu o parolă. Fără aceasta, accesul nu poate fi posibil. Cu toate acestea, unele parole sunt adesea slabe și ușor de piratat. Dacă ne verificăm router-ul, cu siguranță vom găsi unul din aceste 3 elemente: admin/admin; admin/password; admin/. Odată ce a accesat router-ul nostru, hackerul are libertatea totală de a schimba parola Wi-Fi și de a ne împiedica să accesăm orice dispozitiv pe care-l folosim. Pentru a evita acest lucru, trebuie să schimbăm parola de acces implicită a rețelei Wi-Fi livrată de furnizorul nostru de Internet. Aceste parole sunt configurate cu un algoritm disponibil oricui. Așadar, citind pur și simplu un tutorial pe internet, am putea folosi noi înșine acele informații. Prin urmare, trebuie să atribuim o parolă care să respecte toate măsurile de securitate:

• Conține litere mici, majuscule, cifre și litere.
• Nu utilizați date de naștere, nume de animale de companie, alimente preferate și alte date ușor de ghicit.

Criptare: Trebuie să fiți foarte atenți la ceea ce publicați pe rețelele sociale. Ele stochează cantități mari de informații despre activitățile pe care le desfășurați, locurile pe care le vizitați, oamenii cu care interacționați, hobby-uri, mâncare preferată etc. Toate aceste informații pot fi folosite de un atacator pentru a cunoaște profilul sau planul dvs. și de a lansa atacuri personalizate, cum ar fi phishing-ul, menționat în prima parte a acestui ghid. În plus, informațiile colectate pot fi utilizate pentru răpiri sau extorcări.

Cum se știe care aplicație este sigură? În tehnologia mobilă, majoritatea serviciilor de mesagerie precum WhatsApp, de exemplu, oferă un sistem de criptare în toate conversațiile noastre. Aceasta înseamnă că numai noi și persoana cu care comunicăm putem citi mesajele, împiedicând accesul terților. De fapt, și chiar dacă infractorul cibernetic ar putea obține toate informațiile partajate, el ar putea vedea doar coduri care nu ar putea fi descifrate.

Când navigați pe Internet, este recomandat să o faceți pe acele site-uri web unde  HTTPS este plasat în bara de adrese, ceea ce oferă utilizatorului o criptare suplimentară. Când  URL-ul unui website începe cu https: //, computerul dvs. este conectat la o pagină care vă vorbește într-un limbaj codificat, inaccesibil atacatorilor și mai sigur. Și trebuie să navigăm în aceste tipuri de site-uri web în special atunci când facem achiziții online, atâta timp cât acestea sunt conectate la puncte de plată electronice recunoscute, precum Visa, Mastercard, Paypal, printre altele.

Firewall-uri: Un instrument suplimentar de protecție împotriva amenințărilor de pe Internet este utilizarea unui firewall. Este pur și simplu un instrument de securitate care controlează ce aplicații au acces la Internet și ce conexiuni au permisiunea de a accesa computerul nostru. Firewall-urile sunt de obicei programate pentru a recunoaște automat amenințările, ceea ce înseamnă că sunt de obicei ușor de utilizat și nu interferează cu modul în care folosim computerul.

VPN Rețea Privată Virtuală: O altă măsură foarte bună este utilizarea VPN (Rețea Privată Virtuală), care este o tehnologie de rețea ce ne permite să creăm o rețea locală (LAN), chiar dacă navigăm de la distanță și trebuie să transmitem informațiile printr-o rețea publică. Un VPN creează un fel de tunel și împiedică ca informațiile transmise să fie accesate și utilizate de alte persoane. Astfel, ne asigurăm că tot ce iese din dispozitivele noastre este criptat până când receptorul mesajului primește acele informații. Acest lucru poate preveni atacurile de tip man-in-the-middle, un tip de amenințare în care infractorul cibernetic dobândește capacitatea de a devia sau controla comunicațiile dintre cele două părți.

Antivirus: Este esențial să ne menținem sistemul de operare actualizat și să folosim cel mai bun antivirus pentru a ne alerta și proteja împotriva posibilelor amenințări. De asemenea, este important să-l rulați periodic pentru a găsi și elimina malware, precum și pentru a efectua actualizări automate. Dacă oscilați între cumpărarea unei licențe antivirus sau obținerea uneia gratuite, trebuie să aveți în vedere că, deși majoritatea software-urilor gratuite sunt de înaltă calitate și oferă un nivel rezonabil de securitate pentru  utilizatorii persoane fizice, ele nu oferă întotdeauna același nivel de protecție. Cea mai bună opțiune ar fi să consultați un expert și, dacă este posibil, să alegeți un antivirus care are suport tehnic pentru a vă ajuta cu configurația.

• Cea mai bună opțiune este să nu ne încredem în primul lucru care intră în căsuța noastră de email, în acel link care ne oferă un produs gratuit, în acel utilizator pe care nu-l cunoaștem și dorește să ne adauge la o rețea socială etc.
• Trebuie să vă gândiți de două ori înainte de a face oricare dintre aceste acțiuni – dacă este ceva prea frumos pentru a fi adevărat, atunci este foarte posibil să fie ceva fraudulos sau dăunător.
• Este întotdeauna recomandabil să utilizați filtre spam care ajută la blocarea e-mailurilor care pot conține programe malware.
• Trebuie să fiți atenți dacă cineva, chiar și un prieten cu intenții bune sau un membru al familiei, vă oferă un USB sau un CD, poate conține malware fără ca cel care vi l-a dat să știe acest lucru. Prin urmare, este esențial să scanați cu un antivirus fiecare element pe care-l introduceți în dispozitivele dvs. sau îl descărcați de pe web.
• De asemenea, trebuie să vă obișnuiți să faceți periodic copii de rezervă ale datelor care le aveți pe dispozitivele dvs., pentru a minimiza pierderile acestor date.

Dispozitive precum smartphone-uri, tablete, televizoare inteligente, electrocasnice  inteligente, ca de exemplu frigidere sau cuptoare, chiar și termostate, jaluzele, uși, lumini controlate de pe telefon – acesta este Internetul Obiectelor sau IoT. În prezent, toate aceste dispozitive sunt conectate prin conexiuni Wi-Fi, Bluetooth sau infraroșu și comunică un control central care se găsește de obicei în același domiciliu sau cu un server central al producătorului. Se preconizează că vor fi mai multe dispozitive decât oameni în fiecare casă. Și aceste dispozitive joacă un rol din ce în ce mai important în viața casnică.

Totuși IoT reprezintă o provocare pentru securitate. Senzorii tuturor dispozitivelor casnice, chiar și aspiratoarele-robot care au devenit atât de cunoscute în ultimii ani, pot stoca informații valoroase despre locuințele utilizatorilor. Brandul Roomba, cunoscut pe plan internațional, stochează informații despre dimensiunile caselor, și intenționează să le vândă altor mari companii de tehnologie.

Dispozitivele IoT colectează date chiar și despre noi: știu ce programe TV urmărim, ce spunem în interiorul unei camere, la ce oră ajungem acasă etc.

Prezentare generală a tendințelor  viitoare în amenințările cibernetice

Cât de gravă este problema criminalității informatice? Un studiu realizat de Cybersecurity Ventures prezice că aceste infracțiuni vor ajunge să coste la nivel global 6 trilioane de dolari pe an până în 2021. Infracțiunile cibernetice au devenit știri importante cu date și breșe de securitate la mari companii și amenințări cibernetice din țări precum China sau Rusia, periclitând afacerile și alegerile din SUA.

Deepfakes reprezintă o combinație a cuvintelor „deep learning” – învățare profundă și „fake” – fals. Deepfakes se întâmplă atunci când tehnologia Inteligenței Artificiale creează imagini și sunete false care par reale. Un Deepfake ar putea crea un videoclip în care cuvintele unei persoane sunt manipulate, făcând să pară că acea persoană a spus ceva ce în realitate nu a spus niciodată. Tehnologia vocală Deepfake permite oamenilor să falsifice vocile altor persoane – adesea politicieni, vedete sau directori generali – folosind Inteligența Artificială.

Identitățile Sintetice sunt o formă de fraudă a identității în care escrocii folosesc o combinație de real și artificial pentru a crea iluzia unei persoane adevărate. De exemplu, un infractor ar putea crea o identitate sintetică care să includă o adresă fizică legitimă.

Folosind Inteligența Artificială, hackerii sunt capabili să creeze programe care imită comportamentele umane cunoscute. Ei pot folosi apoi aceste programe pentru a păcăli oamenii să le furnizeze informații personale sau financiare. În aceste atacuri, cunoscute sub numele de poisoning attacks – atacuri otrăvitoare, infractorii cibernetici pot injecta date alterate într-un program AI. Aceste date alterate pot determina sistemul AI să învețe să facă lucruri pe care nu ar trebui să le facă.

Ideea de calcul cuantic este încă nouă dar, foarte simplu explicat, acesta este un tip de calcul ce poate utiliza anumite elemente ale mecanicii cuantice. Ceea ce este important pentru securitatea cibernetică este că aceste computere sunt rapide și puternice. Amenințarea constă în faptul că aceste computere cuantice pot descifra coduri criptografice mult, mult mai rapid comparativ cu calculatoarele tradiționale, asta dacă cele tradiționale pot realiza aceste descifrări.

Pe măsură ce mai multe autovehicule sunt conectate la Internet, amenințarea atacurilor cibernetice asupra vehiculelor crește. Îngrijorarea este că infractorii cibernetici vor putea accesa vehicule pentru a fura date cu caracter personal, urmări locația sau istoricul conducerii acestor vehicule, sau chiar dezactiva și prelua funcțiile de siguranță.

Pe măsură ce lumea continua să adopte transformarea digitală, având în vedere rata de schimbare, informația fiabilă și care permite luarea de măsuri despre un pericol devine foarte importantă. Măsurile informative comune privind amenințările sunt:

Informații bazate pe evaluări inter pares privind amenințările: Prima, și cea mai comună, se bazează pe un sondaj al liderilor de Securitate sau al unor persoane similare care întreabă despre tipurile de amenințări pe care le-au experimentat ceilalți. Această modalitate poate fi valoroasă dacă persoanele intervievate lucrează în aceeași industrie sau locuiesc în aceeași regiune geografică.

Rapoarte privind amenințările realizate de experți: Informațiile privind amenințările nu trebuie să furnizeze numai un istoric și o analiză a tabloului amenințărilor, ci și să anticipeze potențiale puncte evolutive ale programelor malware și ale strategiilor cibernetice. Se poate începe cu rapoartele privind amenințările redactate de echipe profesionale de cercetare a amenințărilor cibernetice.

Fluxuri de amenințări și informații colectate intern: Pe lângă aceste surse de informații, liderii de Securitate trebuie să se aboneze la fluxuri live de amenințări care oferă informații importante și care permit luarea de măsuri, precum și la servicii care oferă actualizări și recomandări în timp real din partea liniilor de luptă din securitate cibernetică.

Îmbunătățirea capacității companiei de a se apăra nu numai în mod corespunzător împotriva tendințelor actuale de amenințare, ci și de a prezice un număr mare de atacuri viitoare necesită informații despre amenințări care să permită companiilor să fie proactive. Această abilitate de a “vedea viitorul” tendințelor de amenințare le permite companiilor nu numai să se apere eficient împotriva atacurilor cibernetice actuale, ci și să prevină următorul val de atacuri înainte ca acesta să apară.