Aasta 2021 infoturbes: õngitsusründed muutusid keerukamaks, turvanõrkuste osakaal kasvas
Infoturbe juht Janar Randväli tegi kokkuvõtte turvaintsidentidest, mida Datafox aitas 2021. aastal lahendada.
Datafoxil tuli eelmisel aastal tegelda keskmiselt ühe turvaintsidendiga nädalas, ent need ei jaotunud aasta lõikes sugugi ühtlaselt. Täpsem analüüs näitas, et selges kasvutrendis olid sügis ja jõuluaeg. Kõik intsidendid ei olnud väga ohtlikud, kuid nii mõnedki neist olid ülimalt kriitilised, näiteks esines kõigi andmete krüpteerimist või turvahaavatavuse ärakasutamist, mis võimaldas rünnata kliendi digitaalseid varasid.
Suurima osa ehk täpselt poole lahendatud turvaintsidentidest moodustasid õngitsusründed, mille käigus püüti kätte saada kasutajaõigusi (14 juhul), saata laiali võltsarveid ja toime panna muid finantspettusi (8 juhul) või levitada pahavara (4 juhul). Õngitsusrünnete osas torkab silma, et need on muutunud palju rohkem eestikeelseks: on väga selgeid ja heas eesti keeles kirjutatud õngitsuskirju. See näitab, et osad ründajad võivad olla eestlased või vähemalt kasutavad küberkurjategijad eesti keele oskajaid kirjade tõlkimisel. Kui enne kaitses meid väike rahvaarv ning kurikaelad ei pingutanud meie ründamiseks kuigi palju rohkem Google Translate’ga tõlgitud konarlikest tekstidest, siis nüüd on küberkuritegevuse turul läinud ilmselt nii kitsaks, et ka veidi enam kui miljon eesti keele oskajat on piisavalt atraktiivne number suuremaks panustamiseks.
Õngitsusründed muutusid keerukamaks
Suurema panustamisega on kooskõlas ka rünnete kasvanud keerukus. Näiteks nägime suunatud õngitsusrünnet, kus inimese arvuti nakati Ida-Euroopas töölähetuses viibimise ajal. Ehkki tema kontol oli seadistatud mitmeastmeline autentimine (MFA/2FA), meelitati inimest vahemehe ründega sisestama uuesti SMSiga saadud koodi. Sisselogimisleht oli äravahetamiseni sarnane Microsofti teenuste omaga, aga tegelikult oli see häkkerite loodud veebileht. Saadud koodiga logisid häkkerid ise meiliteenusesse sisse, varastasid ilmselt kogu postkasti sisu ning hakkasid inimese meilikontolt välja saatma rämpsposti, üritades ka arvepettust toime panna. Selle õngitsusründe edu tagas vaatamata mitmeastmelisele autentimisele mitme halva asjaolu kokkulangemine: pahavaraga nakatatud arvuti, vahemehe rünne ning kasutaja tähelepanematus, et ta ei lugenud korralikult läbi dialoogiaknaid ega saanud täpselt aru, kuhu ta oma ligipääsuandmeid sisestab.
Õngitsusrünnete vastu kaitseb kõige paremini mitmeastmeline autentimine, sest enamasti jääb selle kasutamise korral rünne katki pärast seda, kui inimese kasutajanimi ja parool on välja petetud. Et ära hoida eelpool kirjeldatud suunatud õngitsusründeid, tuleb lisaks töötajaid koolitada ja õpetada neid õngitsuskirju ära tunda. Samuti tuleb kasutajaid regulaarselt testida simuleeritud õngitsuskampaaniatega, et oleks selge, kui paljud neist siiski kahtlastele linkidele klikivad ja oma andmeid sisestavad.
Kaks kriitilist turvahaavatavust
Kahe olulise turvahaavatavuse ilmsikstulek kasvatas oluliselt seda tüüpi intsidentide osakaalu, kusjuures statistikas on iga nõrkust käsitletud ühe intsidendina sõltumata sellest, mitme kliendi juures neid juhtumeid lahendada tuli. Esimeseks neist oli Confluence serveri haavatavus, mis võimaldas häkkeril serveris käivitada ründekoodi, pääseda ligi andmebaasis olevale infole ning mõjutada sellega serveri tööd. Ühel juhul õnnestuski häkkeritel seda nõrkust kasutades serverisse sisse saada ning pidime olukorra lahendamiseks tegema täistaaste, teisel korral jõuti turvaauk ennetavalt paigata ning suurem kahju jäi sündimata. Seejuures tuvastas kliendi juures kasutuses olnud IDS/IPS võimekusega tark tulemüür ründe serveri pihta juba enne, kui turvaauk laiemalt teatavaks sai.
Teiseks oluliseks turvanõrkuseks oli Log4j haavatavus, mis võimaldas samuti ründekoodi kaugkäivitamist ning ohustas kõiki seda laialt levinud Java teeki kasutavaid seadmeid. Selle kriitilise haavatavuse tõsidust on 10-palli skaalal hinnatud 10-ga. Nende intsidentide lahendamisel tuligi esmalt tegelda häkkeri serverist väljasaamise ja süsteemi puhastamisega, alles seejärel saime serveri paigata ja esialgse seisu taastada.
Kolmas märkimisväärne haavatavus oli Exchange’i füüsilise serveri turvanõrkus, mille lahendamiseks kolisime andmed maapealsest serverist Microsofti pilveteenusesse. See turvanõrkus näitab, et tegelda ei tule mitte ainult uute tehnoloogiate kasutuselevõtu ja innovatsiooniga, vaid ka vananenud süsteemide kinnipaneku ja uutele platvormidele kolimisega.
Kiire reageerimine ja tark tulemüür päästab päeva
Haavatavustega seotud intsidendid näitavad, et turvanõrkuse avaldamise ja rünnete toimumise vahele jääb järjest lühem aeg. Seetõttu tuleb vea avalikustamisele reageerida võimalikult kiiresti, et turvanõrkust ei oleks võimalik rünnakuteks ära kasutada.
Nullpäevarünnete ärahoidmiseks on olnud kõige tõhusam rünnete tuvastamise ja tõkestamise võimekusega (IDS/IPS) tulemüüri kasutamine, mis antud haavatavuste puhul suutis kõik ründed tuvastada ning enamikel juhtudel ka blokeerida. Kui tavaline tulemüür suudab ainult võrguliiklust lubada või keelata, siis tark tulemüür vaatab ka liikluse sisse ning võimaldab hiljem kindlaks teha, kustkaudu on süsteemi sisenetud ning mis on olnud rünnaku täpne sihtmärk. Kui ründemustrid on targale tulemüürile teada, siis suudab see ründeid märgata ja tõrjuda isegi siis, kui tootja pole veel turvapaika valmis saanud. Näiteks võib olla abi mingite moodulite ajutisest sulgemisest, välisvõrgust eemaldamisest vms. Tänu sellele on tark tulemüür umbes 80% tõhusam tavalisest tulemüürist.
Tahad lisainfot küberohtude tõrjumise kohta või esmast konsultatsiooni? Võta meiega ühendust e-posti aadressil [email protected]
Loe lisaks:
Kanaliülene teenindusplatvorm Zendesk aitas Kaubamajal kiirendada kliendipöördumistele vastamist