Što su hakeri duže nevidljivi, korisnici i kompanije su ugroženiji

Vrijeme koje hakeri provedu neotkriveni unutar mreže mete se produžilo, čime im se pruža mogućnost da obave kompleksne napade i naprave još više štete kompanijama u čiju mrežu su prodrli, pokazalo je istraživanje sigurnosnih stručnjaka kompanije Sophos.

Na osnovu analize cyber incidenata koji su se prošle godine desili širom svijeta i u različitim granama industrije, stručnjaci iz Sophosa su došli do zaključka da hakeri u prosjeku ostaju neprimijećeni 15 dana, što je povećanje u odnosu na 2020. godinu, kada su cyber kriminalci ostajali neprimijećeni u napadnutim sistemima 11 dana.

U osnovi, to ukazuje da su njihove zlonamjerne aktivnosti sve sofisticiranije jer duži period neprimijećeno mogu da “posmatraju” korisnike, kradu podatke i obave pripreme za malware i ransomeware napade, upozoravaju stručnjaci.

Kako se u godinu dana produžilo vrijeme u kojem hakeri ostanu neprimijećeni postavilo se pitanje da li ćemo doći u situaciju da će ovi periodi biti izuzetno dugotrajni ili da ih uopće nećemo moći detektirati, što bi značilo da će zlonamjerni stručnjaci moći neopaženo krasti podatke ili činiti druge maliciozne radnje bez ikakvog straha.

Srećom, “pozitivci” odnosno stručnjaci koji se borbe protiv ovakvih upada uspijevaju da se nose s ovakvim napadima, gdje ima želje i mogućnosti, govore sagovornici Al Jazeere.

Bojan Ždrnja, viši savjetnik za informatičku sigurnost kompanije Infigo IS, specijalizirane za pružanje profesionalnih usluga u području informatičke sigurnosti, ističe da zapravo, kada se pogledaju statistike na duži vremenski rok može se vidjeti da se vrijeme u kojem hakeri ostaju neprimijećeni (takozvani dwell time) u biti čak i smanjuje, iako se i dalje radi o velikoj brojci.

Dugotrajni upadi

Prema njegovim riječima, prije nekoliko godina znalo se desiti da hakeri neotkriveni budu mjesecima prisutni na sistemima.

“S obzirom da se Infigo bavi i analizom incidenata i forenzikom, i sami smo bili u mogućnosti rješavati slučajeve gdje su velike firme iz regije bile kompromitirane i gdje smo nakon analize otkrili da je inicijalni prodor bio mjesecima prije aktivnosti korisnika”, govori Ždrnja.

U ovom trenutku, dodaje, glavni problem je taj što većina firmi zaostaje u implementaciji sistema koji bi im omogućili dobru vidljivost na cijelom IT nivou, a pogotovo na radnim stanicama zaposlenika, koje su obično prvi korak u modernim napadima.

“Iako su hakerske metode sve bolje, potrebno je znati da niti jedan haker nije ‘savršen’ u smislu da će uvijek napraviti nekakvu grešku – ako je sustav koji omogućava vidljivost dobro postavljen, to je trenutak u kojem ga moramo detektirati”, govori Ždrnja.

Ključ brze reakcije je povećanje vidljivosti na svim nivoima sistema.

“Tradicionalno kompanije ulažu najviše sredstava na praćenje servera, dok su se radne stanice ignorirale, tipa dovoljan je običan antivirus”, ističe.

Danas, pojavom EDR (endpoint detection and response – detekcija i odziv krajnjih tačaka) i NGAV (next-generation antivirus, odnosno antivirus naredne generacije) alata to se mijenja te se vidljivost povećava i na radnim stanicama.

“Čak i Microsoft daje besplatan alat u vidu Sysmona, koji je moguće svugdje postaviti i onda u SIEM (upravljanje sigurnosnim sistemima) slati podatke o pokretanju procesa, što se može i treba koristiti za detekciju napadača”.

Posljedice napada

Svima je jasno da je nužno skratiti vrijeme u kojem cyber kriminalci ostanu neprimijećeni u napadnutim sistema, govori freelance programer Damir Karić.

“Da napravimo poređenje: ako vam lopov upadne u kuću, koliko će ukrasti zavisi u velikoj mjeri koliko dugo će se zadržati. Ako samo razbije prozor, uđe na 5-10 minuta, može vam ukrasti laptop, možda televizor i slične vrijednosti koje su jasno vidljive i dostupne, a vrlo lako im se može desiti da im promaknu vrlo vrijedne stvari. Ako ostane cijelu noć, može preroviti svaki ćošak, naći novac sakriven ispod dušeka, sef u zidu, ako ga imate, možda komprimitujuće fotografije kojim vas može ucjenjivati. Možda čak i postaviti skrivene kamere i mikrofone, pa vas snimati i dodatno vas ucjenjivati, ako ima za šta. Tako i haker koji se zadrži dugo u sistemu može puno više profitirati nego neko ko samo kratko upadne. Zato je ključ u povećanju sigurnosti”, objašnjava Karić.

Kako će štetu prouzrokovati zavisi od više faktora: može proučiti poslovne procese i otkriti gdje treba “udariti” kako bi žrtvu to najviše boljelo, možda je riječ o krađi podataka, enkripciji/ransomware, krađi novaca kroz transakcije ili nešto treće, upozoravaju sagovornici Al Jazeere.

Što duže ostaju neotkriveni, time dobijaju priliku da sve “dublje” prodru u sistem i dobijaju više prilike za činjenje štete.

Jedna od glavnih metoda koje cyber kriminalci koriste kako bi došli do inicijalnog pristupa mrežama jeste zloupotreba “nezakrpljenih” sigurnosnih propusta, za šta je Sophos utvrdio da je korijen 47 posto incidenata koje su istraživali prošle godine.

Sigurnosni propusti

Karić ističe da je jedan od razloga što hakeri uspijevaju duže vrijeme provedu u napadnutim mrežama jeste što su mnoge organizacije bile spore da “zakrpe” te sigurnosne propuste ili to uopće nisu uradili.

Sophos je naveo da su organizacije koje su imale najviše problema i u čijim sistemima su hakeri najviše vremena proveli neotkriveni su male kompanije (21 dan) te obrazovne organizacije (34 dana).

Takve kompanije i organizacije tipično imaju problem da pronađu sredstva i dovoljno IT sigurnosnog osoblja da bi se efektivno posvetili čak i osnovnoj cyber sigurnosti, a kamoli da brzo otkriju sumnjive aktivnosti u mreži.

Druge tehnike koje hakeri koriste za upad u mreže uključuje takozvane phishing napade, te korištenje ukradenih podataka za ulazak u sisteme, do kojih su došli tokom ranijih upada. Cyber kriminalci također koriste takozvane brute force napade kako bi otkrili i “razbili” slabe ili uobičajene korisničke šifre i zatim pristupili željenim sistemima.

“Zato je poželjno imati jedinstvene, kompleksne šifre, s kombinacijom slova, brojeva i specijalnih znakova, kako bi im se taj posao otežao i produžio”, dodaje Karić.

Za kraj upozorava da, iako je regija siromašnija od zemalja Zapada, to ne znači da je sigurna od hakerskih napada.

“Svako ima nešto vrijedno za ukrasti. Hakeri će uvijek tražiti priliku, bez obzira na geografiju”.