Jak zdążyć przed hakerem. Raport cyberbezpieczeństwo

Partner: Volkswagen Bank

To, co obserwujemy jako typowy cyberincydent, kiedy orientujemy się, że nasze systemy nie są dostępne albo informacje, które chcieliśmy chronić, zostały upublicznione, stanowi w większości przypadków tylko końcowy akt ataku, który zazwyczaj trwa od jakiegoś czasu. Cyberprzestępcy kontrolowali nasze systemy przez pewien okres i przygotowywali się do tego, aby w wybranym przez siebie momencie eskalować sytuację. W zależności od tego, co było ich motywacją (sława, korzyści finansowe, destabilizacja instytucji będącej ofiarą ataku), wybrali moment incydentu tak, aby w swojej ocenie zmaksymalizować zaplanowane korzyści. 

Takie postrzeganie cyberataku jako trwającego w czasie procesu, a nie jednostkowego zdarzenia, ma fundamentalne znaczenie dla budowania skutecznych mechanizmów ochrony przed cyberincydentami. Alternatywne podejścia menedżera do postrzegania cyberzagrożeń będą prowadziły do zupełnie innej strategii tworzenia zabezpieczeń wokół systemów. I tak menedżer obawiający się, że systemy jego firmy mogą być celem jednorazowego ataku, zwróci się do swojego szefa IT z pytaniem: „Co zrobić, aby nasze systemy nie padły ofiarą hakerów?”. W reakcji na to pytanie firma będzie inwestowała w kolejne (drogie) zabezpieczenia chroniące przed dostępem hakerów do sieci firmowej z zewnątrz. 

W innej sytuacji menedżer rozumiejący, że atak jest zdarzeniem rozłożonym w czasie, zapyta: „W jaki sposób możemy wykryć, że hakerzy są już obecni w naszej sieci, zanim dojdzie do eskalacji ataku?”. Firma mniej zainwestuje w budowanie trudnych do sforsowania barier, ale zamiast tego przeznaczy część środków na systemy analizujące pracę sieci, wykrywające anomalie w pracy systemów czy nietypowe zachowania stacji roboczych (które mogą wskazywać na obecność hakerów). 

To pierwsze podejście jest spuścizną odziedziczoną po pionierskich czasach komercyjnego wykorzystania internetu. W latach 90. XX w., nawet jeżeli instytucje miały stały dostęp do internetu, był on ograniczony do ściśle wybranych aplikacji i poczty elektronicznej. Przy takim stopniu wykorzystania technologii sieć firmową można było otoczyć zaporą, chroniąc ją przed niepowołanym dostępem z zewnątrz. Milcząco zakładano, że skoro zapora pozostaje nie do sforsowania, ruch odbywający się wewnątrz sieci firmowej trzeba w zasadzie traktować jako zaufany. Ewentualnie w wybranych instytucjach, gdzie wymagana była szczególna ochrona, budowano kolejną (wewnętrzną) zaporę chroniącą szczególnie istotne zasoby. 

W popularnych publikacjach częstą analogią do architektury zabezpieczeń sieciowych był zamek rycerski z fosą, murami obronnymi, bramami, bastionami – część z tej średniowiecznej terminologii została zresztą bezpośrednio przejęta przez informatyków. 

Siedem faz ataku

Nowoczesna architektura systemów w dowolnej firmie jest znacznie bardziej skomplikowana niż 20 lat temu. Podstawowe rozwiązania wspierające bezpieczeństwo są w dalszym ciągu wykorzystywane, ale nie wystarczają. Zwiększenie liczby użytkowników systemów, upowszechnienie technologii mobilnych (a w ostatnim okresie także chmurowych) powoduje, że w praktyce nawet wyznaczenie precyzyjnej granicy między infrastrukturą firmową i światem zewnętrznymi nie jest w zasadzie możliwe. 

Nowy sposób myślenia o bezpieczeństwie opiera się na modnym ostatnio haśle „zero trust”, czyli założeniu, że każde urządzenie w naszej sieci może być nie tylko celem, lecz także źródłem ataku. Takie podejście wymaga zupełnie innego arsenału narzędzi, skupiających się w pierwszej kolejności na wykrywaniu niepokojących zdarzeń, a następnie umożliwiających ich szybką analizę pod kątem zagrożeń. Przyjęcie takiej strategii obrony wymaga przede wszystkim zaakceptowania faktu, że cyberprzestępczość jest realnym zagrożeniem dla naszej instytucji i że jesteśmy gotowi na podjęcie aktywnej obrony przed działalnością hakerów, a nie biernie oczekujemy na incydent. 

Podejmując wyzwanie aktywnej obrony naszych systemów, powinniśmy zrozumieć modus operandi hakerów. Tylko rozumiejąc ich styl działania, jesteśmy w stanie odpowiednio wcześnie diagnozować zdarzenia, które mogą być przesłanką do potwierdzenia, że jesteśmy celem ataku. 

Jedną z pierwszych prób usystematyzowania podejścia stosowanego przez hakerów podjęła firma Lockheed Martin, która bazując na swoim doświadczeniu z branży zbrojeniowej i korzystając z analogii do działań militarnych zobrazowała cyberatak w formie modelowego scenariusza obejmującego siedem faz:  • etap rozpoznania (ang. reconnaissance) • etap uzbrojenia (ang. weaponisation), • etap dostarczenia (ang. delivery) • etap wykorzystania (ang. exploitation) • etap instalacji (ang. installation) • etap dowodzenia i kontroli (ang. command and control) • etap działania (ang. actions on objectives). 

W ramach kolejnych etapów atakujący stopniowo poszerza swoją wiedzę na temat wybranej ofiary i wykorzystuje zdobyte informacje do planowania i przygotowania szczegółów ataku, jednocześnie zwiększając zakres wpływu, jaki ma na infrastrukturę będącą przedmiotem ataku. Podział na etapy nie oznacza oczywiście, że wszystkie ataki cyberprzestępców przebiegają dokładnie według tego scenariusza lub że hakerzy postępują według szczegółowego planu podzielonego na formalne fazy. Wręcz odwrotnie: zazwyczaj wykonują oni różne działania równocześnie, często wykorzystując do tego zautomatyzowane narzędzia. 

Etap rozpoznania

Podłączając systemy informatyczne do internetu, nie jesteśmy w stanie uniknąć publikowania informacji technicznych na temat tego, jakie urządzenia sieciowe, systemy i ich wersje wykorzystujemy w firmie (informacje te są potrzebne systemom do przedstawienia się w sieci i nawiązania połączenia). Upublicznioną informacją są także adresy internetowe dostępnych z internetu serwerów czy adresy poczty elektronicznej (a przynajmniej ich formaty). 

Rozpoznanie (rekonesans) polega na zgromadzeniu i przeanalizowaniu ogólnie dostępnych informacji na temat przyszłej ofiary i wykorzystywanej przez nią technologii. Analiza tej informacji może stanowić punkt wyjścia do zaplanowania ścieżki ataku albo po prostu do wyboru ofiary, która na tle innych będzie łatwiejszym celem, bo wykorzystuje przestarzałe technologie albo nieaktualne wersje systemów. Działania podejmowane w fazie rozpoznania mogą mieć charakter całkowicie pasywny (i ograniczać się do analizy już dostępnych informacji) albo mogą obejmować podstawowe próby automatycznego gromadzenia informacji (tzw. skanowanie sieci). 

Warto podkreślić, że jeżeli rozpoznanie jest robione w wyrafinowany sposób, wykrycie na tym etapie, że jesteśmy potencjalnym przyszłym celem ataku, jest trudne do zidentyfikowania. Tym bardziej że wiele działań wykonywanych przez hakerów w fazie rozpoznania jest całkowicie legalnych i w dużej mierze odbywa się poza infrastrukturą ofiary.

Etap uzbrojenia

Po zgromadzeniu podstawowych informacji na temat ofiary haker wykorzystuje swoją wiedzę i umiejętności do opracowania planu ataku. W sytuacji, gdy w fazie rozpoznania wykryte zostaną typowe luki, które są znane i opisane w środowisku specjalistów od bezpieczeństwa (i cyberprzestępców), etap uzbrojenia będzie ograniczał się do wybrania gotowego narzędzia i zaplanowania, w jaki sposób zostanie ono użyte. W bardziej wyrafinowanym scenariuszu konieczne może być stworzenie dedykowanego oprogramowania lub dostosowanie narzędzia do specyfiki danej organizacji. 

Etap dostarczenia

Pierwszym zadaniem realizowanym przez cyberprzestępcę bezpośrednio na atakowanej infrastrukturze jest dostarczenie złośliwego oprogramowania (ang. malware) do sieci ofiary. Złośliwe oprogramowanie zazwyczaj jest stworzone w taki sposób, że skutki jego działania ujawniają się z pewnym opóźnieniem, po tym jak zostanie ono zreplikowane na większą liczbę urządzeń sieciowych. Bomba logiczna (ang. logic bomb) zawarta w oprogramowaniu jest uruchamiana dopiero na późniejszym etapie ataku. 

Najbardziej znanym opinii publicznej, można powiedzieć klasycznym, narzędziem realizującym to zadanie (które samo w sobie stanowi złośliwe oprogramowanie) są wirusy komputerowe. Wirusy po uruchomieniu samodzielnie replikują się na inne komputery lub konta pocztowe i o ile nie zostaną wykryte przez dedykowane oprogramowanie antywirusowe, mogą w bardzo krótkim czasie zainfekować wszystkie stacje robocze i serwery w sieci firmowej. Specjaliści wprowadzają rozróżnienie między wirusami (które dołączają się do innych programów) i robakami komputerowymi (które są samodzielnymi programami), ale z perspektywy zarządczej rozróżnianie ich nie ma większego znaczenia

W katalogu strategii, które mogą być wykorzystane przez cyberprzestępców do dostarczania złośliwego oprogramowania, mieszczą się także rozwiązania oparte na wykorzystaniu nośników (dysków USB czy płyt CD), ale przy bardzo wysokiej (sięgającej do 40 proc.) skuteczności kampanii phishingowych tracą one na znaczeniu. Nośniki fizyczne mogą być wykorzystane (wobec nieskuteczności innych metod) przez hakerów, którzy uzyskali dostęp do pomieszczeń lub urządzeń firmy, albo podrzucone pracownikom z nadzieją, że zostaną włączone do komputerów firmowych. 

Etap wykorzystania 

Cyberprzestępcy dysponują katalogiem rozwiązań pozwalających na zdobycie przyczółka, który będzie wykorzystany jako dalszy punkt do przeprowadzenia ataku. Typowym celem tego etapu ataku jest albo uruchomienie złośliwego oprogramowania, które przejmuje kontrolę nad danym komputerem (lub smartfonem), albo wyłudzenie od użytkownika jego hasła systemowego, które potem może być bezpośrednio wykorzystane przez hakera.

Uzyskanie dostępu do systemu wymaga od hakera przełamania jakiejś luki w bezpieczeństwie. Luka może być spowodowana m.in. przez błędy w konfiguracji (system nie pyta się o hasło użytkowników uruchamiających usługę sieciową), błędy w architekturze systemów (serwer jest podłączony do niewłaściwego fragmentu sieci) lub przez samych użytkowników (hasło do systemu jest zbyt łatwe do odgadnięcia). 

Ważną grupą luk systemowych są błędy popełnione przez producentów na etapie tworzenia oprogramowania. Luki te są odkrywane przez hakerów lub ekspertów od bezpieczeństwa i stopniowo usuwane w nowych wersjach oprogramowania, ale wiedza o tych lukach i narzędzia pozwalające na ich wykorzystanie są praktycznie dostępne dla każdego. Dla instytucji, które nie prowadzą aktualizacji systemów na bieżąco, pozostawienie systemu w wersji sprzed kilku miesięcy, która zawiera opublikowane luki, jest równoznaczne z zaproszeniem cyberprzestępców do przeprowadzenia skutecznego ataku. 

Skuteczność działań podejmowanych przez cyberprzestępców w fazie wykorzystania zależy nie tylko od kwestii ściśle technologicznych, ale także w bardzo dużym stopniu od użytkowników. Z perspektywy hakera alternatywą dla przełamywania luk w konfiguracji systemów jest odgadnięcie lub wyłudzenie hasła dowolnego użytkownika, dzięki czemu przestępca uzyskuje dostęp do systemu i może realizować dalsze etapy ataku. Hasła zbyt łatwe do odgadnięcia (np. imię użytkownika) lub na tyle proste, że mogą być automatycznie odkodowane (np. 12345), mimo że stanowią jedno z zagrożeń najczęściej omawianych w publikacjach na temat cyberbezpieczeństwa, w dalszym ciągu są jedną z głównych przyczyn większości incydentów. 

Wyłudzenie hasła może przyjąć formę nieco bardziej wyrafinowaną i opierać się na skłonieniu użytkownika do wpisania go do aplikacji, która tylko udaje właściwy system, a w rzeczywistości jest narzędziem przygotowanym przez hakera jako pułapka do przechwytywania haseł. Ta metoda pozyskiwania haseł może być łączona z phishingiem lub tzw. inżynierią społeczną (ang. social engineering). Typowym przykładem inżynierii społecznej są rozmowy telefoniczne nakłaniające potencjalne ofiary do wejścia na określoną stronę WWW i uruchomienie oprogramowania. 

Etap instalacji 

Z perspektywy hakera elementem domykającym wykorzystanie luki systemowej jest możliwość zainstalowania w systemie ofiary oprogramowania przejmującego kontrolę nad komputerem, serwerem lub urządzeniem mobilnym. Tak zainfekowane urządzenie stanowi przyczółek, który jest następnie wykorzystywany jako punkt startowy do kolejnej fazy ataku i zdobywania kolejnych informacji na temat atakowanej infrastruktury. 

Typową strategią cyberprzestępców jest zapewnienie sobie możliwości zdalnego dostępu do zainfekowanego komputera. Zainstalowane na zainfekowanej stacji roboczej oprogramowanie łączy się ze wskazanym serwerem i wysyła na niego kopię ekranu użytkownika czy ważniejszych plików. Daje także hakerowi możliwość uruchamiania programów w imieniu użytkownika korzystającego z komputera. Zainstalowane oprogramowanie działa w tle i jest niewidoczne dla użytkownika. W sytuacji, gdy użytkownik podniesie alarm, zaniepokojony na przykład zbyt wolną pracą komputera, i poprosi o wsparcie administratora systemu, to ten, nieostrożnie rejestrując się na stacji roboczej, może ujawnić cyberprzestępcy swoje hasło administracyjne do zasobów sieciowych, które będzie stanowiło kolejne trofeum hakera. 

Etap dowodzenia i kontroli 

Kontrolowanie infrastruktury za pośrednictwem tylko jednej zainfekowanej stacji roboczej jest z perspektywy hakera bezpieczne i trudne do wykrycia, ale daje ograniczone możliwości. Jego działanie jest uzależnione od obecności zaatakowanego pracownika w pracy (aby służyć jako narzędzie do ataku, stacja robocza musi być włączona). 

Dlatego kolejnym celem przestępcy, który uzyskał dostęp do zasobów sieciowych swojej ofiary, jest rozszerzenie zakresu swojego działania na kolejne stacje robocze, serwery i urządzenia sieciowe. Przeprowadzenie ataku na kolejne osoby – tym razem przez działanie z wewnątrz firmy – jest zazwyczaj łatwiejsze, ale jednocześnie zbyt szerokie działanie zwiększa ryzyko wykrycia działań hakera. Następnym celem są najczęściej przedstawiciele kierownictwa instytucji albo grupa administratorów. Dostęp do komputerów kierownictwa umożliwia zwykle pozyskanie atrakcyjnych biznesowo informacji. Z kolei dostęp do kont administratorów otwiera nowe możliwości ataku. 

Dalsze działania i czas trwania tej fazy ataku w dużej mierze zależą od motywacji hakera. Jeżeli jego celem jest zaszkodzenie reputacji ofiary i nagłośnienie swojego działania, to całość może zamknąć się w okresie kilku dni lub kilku godzin. Przy atakach motywowanych innymi korzyściami ujawnianie swojej obecności w systemach ofiary nie leży w interesie hakera. Ponadto, jeżeli działania hakera nie zostały wykryte w początkowej fazie ataku, przy nienadużywaniu przez niego uzyskanych możliwości, szanse na wykrycie włamania są stosunkowo niewielkie. Cyberprzestępcy mogą być miesiącami obecni w naszej sieci, stopniowo zbierając dalsze informacje na nasz temat i czekając z eskalacją zdarzeń na większą okazję. 

Etap działania 

Sytuacja, w której haker decyduje się na realizację ostatniego etapu swojego długotrwałego planu, zazwyczaj oznacza dla niego ujawnienie swojej obecności w systemach ofiary. Zaatakowana instytucja lub osoba doświadcza negatywnych skutków włamania, które w zależności od motywacji cyberprzestępcy oznaczają niedostępność systemów, ujawnienie poufnych informacji lub (ostatnio coraz częściej) utratę środków finansowych. Bardzo często straty poniesione przez ofiarę są nieproporcjonalne do korzyści, które cyberprzestępcy osiągnęli z włamania. Zacierając ślady, przestępcy mogą dokonać dodatkowych szkód, które w dłużej perspektywie mogą okazać się poważniejsze w skutkach, niż początkowo sądzimy. 

Z perspektywy hakera założony cel został osiągnięty i atak jest zakończony. Można skupić się na rozpoznaniu kolejnych celów i opracowaniu nowego scenariusza ataku. Dla zaatakowanego koniec ataku jest zazwyczaj dopiero początkiem incydentu. Oprócz konieczności zarządzenia sytuacją kryzysową, która wpływa na reputację instytucji, ale często także na bieżącą możliwość prowadzenia działalności operacyjnej, ofiarę cyberincydentu czeka długotrwały proces analizy zdarzenia, odbudowy zniszczonej infrastruktury i w zakresie, w jakim jest to możliwe, odtworzenie utraconych danych.