Annak ellenére, hogy az elmúlt években egyre nagyobb hangsúlyt fektettek a kiberbiztonságra, az adatbiztonság megsértésének száma továbbra is növekszik. Miközben a vállalkozások egyre nagyobb hangsúlyt fektetnek (és többet költenek) a biztonságra, a kiberbűnözők fokozzák erőfeszítéseiket. Ezt különösen a tárgyak internetét használó eszközökre irányuló fejlett, tartós fenyegetések (APT-k) területén tapasztaljuk.
A mai kiberbűnözőket nagy anyagi és egyéb ösztönző erő mozgatja.
A zsarolóprogram-csomagok könnyen elérhetők a Dark Web-en, és a zsarolóprogramok erős pénzügyi motivációt jelentenek a bűnözők számára. A nemzetállami fenyegetések szereplői is megjelentek a fenyegetések között, és politikai indíttatású támadásokat hajtanak végre.
Ezen okok miatt, és más okok miatt is, a rosszindulatú szoftverek száma egyre növekszik, és az előállított rosszindulatú szoftverek egyre fejlettebbé válnak, ahogy a vállalatok fokozzák kibervédelmi erőfeszítéseiket.
Ez a tendencia valószínűleg nem fog egyhamar véget érni, mivel túl sok az ösztönző erő a rosszfiúk számára.
A tárgyak internetének sebezhetőségei
A tárgyak internete (IoT) a fogyasztók és a vállalkozások által egyaránt használt, internetképes eszközök hálózatát jelenti. A hálózatra csatlakoztatott pacemakertől a Nest füstérzékelőn át az önvezető Tesláig minden IoT-eszköznek számít.
Az IoT-eszközök egyre népszerűbbek. Sajnos az IoT kibertámadások is egyre népszerűbbek. IoT-támadások:
- Könnyen elindíthatóak a nyilvánosan elérhető kódnak köszönhetően, mind a Dark Web-en, mind a GitHub-hoz hasonló kódtárakban.
- Magas a sikerességi arány
- Nehezen észlelhetőek és orvosolhatóak, lehetővé téve az APT-k számára az APT-ket.
- Lehetővé teszi a támadó számára, hogy megvethesse a lábát a szervezet hálózatán belül.
- Lehetővé teszi a támadó számára, hogy további eszközöket adjon hozzá a botnetjéhez (a botneteket DDoS-támadásokra, spamelésre stb. lehet használni).
A sebezhetőségek száma összességében növekszik, és különösen a tárgyak internetét használó eszközök elleni támadások száma emelkedik.
A dolgok internete támadási felületek
A támadók először is sebezhető IoT-eszközöket keresnek, és megpróbálják kompromittálni őket. A támadók ezt tömegesen tehetik meg. Megengedhetik maguknak, hogy újra és újra meghiúsítsák az eszközök feltörését, de az IoT-eszközöknek csak egyszer kell átadniuk magukat egy támadásnak ahhoz, hogy veszélybe kerüljenek.
A helyzetet tovább rontja, hogy az IoT-eszközök gyakran számos ismert és ismeretlen sebezhetőséggel rendelkeznek. Az IoT sebezhetőségek száma egyre nő, és a felhasználók gyakran nem alkalmazzák időben a javításokat vagy nem telepítik a frissítéseket, ami sokkal könnyebbé teszi a támadók számára az eszközök kompromittálását.
Egy másik aggályos terület, hogy az IoT-eszközök gyakran alapértelmezett hitelesítő adatokkal érkeznek, amelyeket soha nem frissítenek. Ez gyakorlatilag tárgytalanná teszi a sebezhetőségek és a foltozás kérdését: ha egy támadó egyszerűen feltörheti a hitelesítő adatokat, vagy megszerezheti azokat egy nyilvánosan elérhető listáról, akkor az eszköz akár már veszélyeztetett is lehet.
Az IoT fejlett tartós fenyegetések néhány jellemzője
Kitérési technikák
A fejlett tartós fenyegetéseket gyakran úgy tervezik, hogy a kód elhomályosításával, a virtuális környezet felderítésével és számos más módszerrel elkerüljék a felderítést.
Rejtőzködési technikák
A kiberbűnözők egyre jobban elrejtik a rendszert megfertőző rosszindulatú szoftvereket.
Önterjesztő
Sok APT amellett, hogy tartósan egy rendszerben marad, más rendszereket is keres, hogy megfertőzze.
Erőforrás-hatékonyság
Ez egy olyan tényező, amely megkülönbözteti az IoT APT-ket a hagyományos számítógépes APT-ktől. Az IoT APT-knek egy átlagos eszköz számítási teljesítményének kevesebb mint 5%-ára van szükségük a működéshez, és néha a rosszindulatú szoftver elég okos ahhoz, hogy az eszköz memóriakapacitásának észlelése után beállítsa magát.
Az új IoT Cyber Kill Chain
A kiber-gyilkossági lánc a fenyegető szereplők által végrehajtott lépések sorozata. Elméletileg minden egyes lépés azonosítható és blokkolható a kibervédelemmel. A Lockheed Martin a következőképpen írta le az APT-k "kibergyilkos láncát":
Az IoT-eszközök esetében azonban további lépések vannak a gyilkos láncban, amelyek még fenyegetőbbé teszik az IoT APT-ket. Az új IoT-gyilkossági lánc így néz ki:
Az IoT APT-k célja nem csupán egyetlen eszköz vagy hálózat megfertőzése; más eszközökre is átterjednek, és elrejtőznek, hogy tartósan fennmaradhassanak.
IoT védelmi stratégiák
A rendszerfrissítések elengedhetetlenek a sebezhetőségek javításához, de gyakran vagy nem kivitelezhetőek, vagy más okokból nem hajtják végre őket. A javítás kiadása után a támadók visszafejthetik az exploitot, így a nem frissített eszközök sebezhetővé válnak. Emellett a gyártók gyakran nem tudnak vagy nem akarnak lépést tartani a termékeikben felfedezett sebezhetőségek foltozásával.
A karanténba helyezés egy lehetséges megoldás a fertőzések esetén. A valós körülmények miatt azonban előfordulhat, hogy az eszközök karanténba helyezése nem lehetséges vagy nem praktikus. Például nehéz lehet karanténba helyezni egy olyan biztonsági kamerát, amely a fertőzöttség jeleit mutatja, de az épület biztonságának felügyelete szempontjából elengedhetetlen.
IoT APT: OPSWAT's ajánlott védelmi stratégiák
Az IoT APT-k megállításához az adatokban elrejtett összes fenyegetés blokkolása szükséges. Ismétlem, a kiberbűnözők könnyen megengedhetik maguknak a kudarcot, de a kibervédelemnek mindig sikeresnek kell lennie.
Az észlelésen alapuló védelem sebezhető a rosszindulatú szoftverek elrejtési technikáival szemben. A fejlett fenyegetések még a sandboxokat is képesek becsapni azzal, hogy véletlenszerűen hajtják végre őket, vagy a végrehajtás előtt felismerik , hogy virtuális környezetben vannak-e vagy sem. Emellett még a legjobb rosszindulatú szoftverek elleni felderítő technológia sem biztos, hogy észreveszi a nulladik napi fenyegetést.
OPSWAT hisz a felderítésen alapuló stratégiák és a fejlett fenyegetésmegelőzés kombinálásában. Adatszanitizációs (CDR) technológiánk semlegesíti a hálózatba belépő dokumentumokban vagy képekben lévő fenyegetéseket azáltal, hogy hatástalanítja és újraépíti a fájlokat a potenciálisan rosszindulatú tartalom eltávolításával. Bármely fájl átmehet és át is kell esnie ezen a folyamaton, függetlenül attól, hogy észlel-e fenyegetést vagy sem.
Az adatszanálás (CDR) kihasználása mellett az IoT-eszközöket használó szervezeteknek a lehető legnagyobb mértékben követniük kell a legjobb biztonsági gyakorlatokat az eszközök rendszeres frissítésével és az alapértelmezett bejelentkezési adatok visszaállításával. Végül a hálózatra képes eszközöket csak akkor szabad a nagyobb internethez csatlakoztatni, ha ez feltétlenül szükséges.
