Kolm tegevust, mis aitavad ära hoida 80% küberintsidentidest

Küberintsidentide arv kasvab igal aastal – ja mitte ainult suurtes ettevõtetes. CERT-EE ja politsei statistika näitavad, et rünnakute ja küberpettuste arv tõuseb, ründevektorid arenevad ja kahjud kasvavad. Oluline on ka see, et rünnakud ei eelda tänapäeval enam suurt tehnilist võimekust – sageli piisab paikamata seadmest, lekkinud paroolist või heausksest kasutajast.

Viimase viie aasta jooksul on Eestist lekkinud 5 korda rohkem paroole kui siin elab inimesi. See tähendab, et igal inimesel on suure tõenäosusega parool vähemalt korra kuhugi lekkeandmebaasi sattunud – ja nii mitu korda.

Probleem ei piirdu ainult paroolidega. Keskmiselt neljal ettevõttel viiest on vähemal või suuremal määral legacy’t – vananenud riistvara, tarkvara või süsteeme, mida pole aastaid uuendatud ega taaskäivitatud. Halvimal juhul jooksevad just nende kriitiliste teenuste peal ettevõtte kõige olulisemad äriteenused. Need on serverid, mis ei saa turvapaiku, ei tee restart´e ja mille ülesehitus pärineb ajast, mil küberrünnakud nägid välja hoopis teistsugused. Sageli piisab juba sellest, kui turvapaigaga on hiljaks jäädud mõned nädalad.

Rahaline kahju on samuti väga konkreetne: Eestist pumbatakse küberkuritegevuse kaudu välja hinnanguliselt ligi 50 miljonit eurot aastas – ehk umbes 136 000 eurot päevas. Halvimatel päevadel ulatuvad kahjud 500 000 euroni ja enamgi.

Hea uudis: enamik intsidente on välditavad

Positiivne on see, et suurem osa intsidentidest oleks olnud välditavad, kui kriitilised tegevused oleksid õigel ajal ära tehtud. Sageli on probleem selles, et „pigistame silma kinni” ja lükkame ebamugavaid turvatoiminguid edasi.

Tegelikult piisab kolmest asjast, et ära hoida 80% küberintsidentidest:

1.      Kaitse oma identiteeti

Identiteet on tänases küberruumis sinu kõige olulisem vara. Esimene samm on panna MFA kõikidele kontodele, sest ükski parool ei ole piisav, kui ründajal on juba varastatud või lekkega parool olemas. Teine kriitiline meede on passkey’d ja nõrkade paroolide täielik keelamine, et vähendada automaatsete sisselogimiskatsete edukust. Kolmandaks tuleb kasutajakontodelt eemaldada mittevajalikud õigused: mida vähem ligipääsu, seda väiksem on kahju, kui konto ikkagi kompromiteeritakse. Ja lõpuks peab iga ettevõte rakendama sisselogimise anomaaliate tuvastust – süsteeme, mis märkavad ebaharilikku käitumist, isegi siis, kui parool ja MFA on õiged, kuid konto kasutamine on kahtlane.

2.      Paigalda turvapaigad kiiresti

Turvapaikade paigaldamine on üks lihtsamaid viise rünnakuid ennetada, kuid praktikas on just see koht, kus enamik ettevõtteid komistab. Süsteeme uuendatakse alles siis, kui „aega on”, või hoitakse kriitilisi Windowsi servereid aastaid taaskäivitamata, sest kardetakse töökatkestust. Ründajate jaoks on see ideaalne võimalus: nad skännivad internetti, otsivad teadaolevaid haavatavusi ja kasutavad valmis exploit’e, mille tootjad on ammu ära parandanud. Kui sinu süsteem pole seda parandust saanud, on ründaja jaoks uks sisuliselt lahti. Statistika näitab, et enamik edukaid rünnakuid toimuvadki juba parandatud turvaaukude kaudu — lihtsalt ettevõte pole uuendusi õigel ajal peale pannud. Turvapaikade kiire paigaldamine ei ole mugavusvalik, vaid kõige olulisem kaitsemehhanism vananenud ja nähtavate süsteemide vastu.

3.      Peida RDP ja teised kaugligipääsud interneti eest ära

Kaugligipääs on ründajatele kõige sirgem ja lihtsam tee ettevõtte sisemusse, eriti kui RDP, SSH või muud haldusliidesed on avalikult internetis ja kasutavad nõrka või juba lekkinud parooli. Kuuleme liiga sageli juhtumitest, kus serverisse „logiti lihtsalt sisse”, ilma ühegi erilise triki või pahavarata. Piisab paroolist ja avatud pordist. Reaalses elus on ründajad saanud RDP kaudu administraatoriõigused, liikunud edasi domeenikontrollerisse ja krüpteerinud kogu ettevõtte failid vähem kui poole tunniga. Samamoodi on WinRM-i kaudu saadud ligipääs, käivitatud automaatne skript ja kustutatud kõik varunduskaustad enne, kui keegi midagi märkas. Kõik sellised rünnakud oleksid olnud täielikult välditavad, kui kaugligipääsud oleks VPNi taga ja mitte otse internetti avatud — sest kuldreegel on lihtne: ükski kaugühendus ei tohi olla internetis nähtav.

Kui intsident siiski juhtub: kolm asja, mis peavad olemas olema

Ükski turvameede pole 100% kindel, seega peab ettevõte olema valmis ka olukorraks, kus ründaja siiski sisse saab. Selleks on vaja kolme kriitilist elementi, mis määravad, kas intsident lahendatakse tundidega või kuudega:

• Esiteks on vaja logisid, sest ilma logideta on iga uurimine pime juhus – ei tea, kes sisse logis, millal, millega, mida tegi või kas midagi üldse lekkis. Logisid tuleb säilitada minimaalselt üks aasta (soovitavalt kuni kolm), sest rünnaku ajajoon ulatub sageli poolteise kuu taha.
• Teiseks on vaja turvalisi varukoopiaid, mis peavad olema lunavararünnaku- kindlad, krüpteeritud, võti hoitud tootmiskeskkonnast eraldi ning võimalusel offline. Varundus on viimane kaitseliin: kui ründaja krüpteerib serverid koos varundusega, siis taastada pole enam midagi.
• Kolmandaks on vaja selget ülevaadet ja kriisiplaani. Läbimõeldud kriisiplaan annab sulle selle, et sa tead, millised teenused ja kuhu ning millises järjekorras taastada, et tagada äri jätkumine.

Ei tohi unustada, et enamik rünnakuid saab alguse õngitsemisest, seega peab ettevõte rakendama maksimaalsed kaitsemeetmed pettuste, ohtlike linkide ja võltsitud e-kirjade vastu ning õpetama töötajatele, kuidas neid ära tunda.