În pofida unei atenții sporite acordate securității cibernetice în ultimii ani, numărul de încălcări ale securității datelor continuă să crească. Pe măsură ce întreprinderile se concentrează mai mult (și cheltuiesc mai mult) pe securitate, infractorii cibernetici își intensifică eforturile. Observăm acest lucru în special în domeniul amenințărilor persistente avansate (APT) îndreptate împotriva dispozitivelor Internet of Things.
Există stimulente mari, atât financiare, cât și de altă natură, care îi determină pe infractorii cibernetici contemporani.
Pachetele de ransomware sunt ușor disponibile pe Dark Web, iar ransomware-ul oferă o motivație financiară puternică pentru infractori. În peisajul amenințărilor au intrat și actori ai amenințărilor care aparțin statelor naționale, care efectuează atacuri motivate politic.
Din aceste motive, dar și din altele, numărul de tulpini de malware este în creștere, iar malware-ul produs devine tot mai avansat pe măsură ce companiile își intensifică eforturile de apărare cibernetică.
Este puțin probabil ca această tendință să se încheie prea curând, deoarece există prea multe stimulente pentru băieții răi.
Vulnerabilități în Internetul obiectelor
Internetul obiectelor (Internet of Things - IoT) se referă la rețeaua de dispozitive conectate la internet utilizate de consumatori și întreprinderi deopotrivă. Totul, de la un stimulator cardiac conectat la rețea, la un detector de fum Nest și până la o Tesla care se conduce singură, este un dispozitiv IoT.
Dispozitivele IoT sunt din ce în ce mai populare. Din păcate, atacurile cibernetice IoT sunt, de asemenea, tot mai populare. Atacurile IoT:
- Sunt ușor de inițiat datorită codului disponibil public, atât pe Dark Web, cât și în depozite de cod precum GitHub.
- Au o rată de succes ridicată
- Sunt dificil de detectat și de remediat, permițând APT-urilor
- permit unui atacator să intre în rețeaua unei organizații
- permit unui atacator să adauge mai multe dispozitive la rețeaua botnet (rețelele botnet pot fi utilizate pentru atacuri DDoS, spamming etc.).
Numărul vulnerabilităților este în creștere în general, iar atacurile împotriva dispozitivelor din Internet of Things sunt în creștere în mod special.
Suprafețele de atac ale internetului lucrurilor
Atacatorii încep prin a căuta dispozitive IoT vulnerabile și încearcă să le compromită. Atacatorii pot face acest lucru în masă. Ei își pot permite să eșueze în a sparge dispozitive la nesfârșit, dar dispozitivele IoT trebuie să cedeze atacurilor doar o singură dată pentru a fi compromise.
Pentru a înrăutăți situația, dispozitivele IoT au adesea o serie de vulnerabilități, atât cunoscute, cât și necunoscute. Numărul vulnerabilităților IoT este în creștere, iar utilizatorii nu reușesc adesea să aplice patch-uri sau să instaleze actualizări în timp util, ceea ce face mult mai ușor pentru atacatori să compromită dispozitivele.
Un alt motiv de îngrijorare este faptul că dispozitivele IoT vin adesea cu acreditări implicite care nu sunt niciodată actualizate. Acest lucru face ca problema vulnerabilităților și a aplicării de patch-uri să devină practic discutabilă: dacă un atacator poate forța brutal acreditările sau le poate obține dintr-o listă disponibilă public, atunci dispozitivul ar putea fi deja compromis.
Unele caracteristici ale amenințărilor persistente avansate IoT
Tehnici de evaziune
Amenințările persistente avansate sunt adesea concepute pentru a evita detectarea prin ofuscarea codului, detectarea mediului virtual și multe alte metode.
Tehnici de camuflare
Infractorii cibernetici se pricep din ce în ce mai bine să ascundă programele malware care infectează un sistem.
Autopropagare
Multe APT-uri, pe lângă faptul că rămân în mod persistent pe un sistem, caută alte sisteme pe care să le infecteze.
Eficiența resurselor
Acesta este un factor care separă APT-urile IoT de APT-urile tradiționale pe un computer obișnuit. APT-urile IoT au nevoie de mai puțin de 5% din puterea de calcul a unui dispozitiv mediu pentru a funcționa și, uneori, malware-ul este suficient de inteligent pentru a se adapta după ce detectează capacitatea de memorie a dispozitivului.
Noul lanț de ucidere cibernetică IoT
Lanțul ucigaș cibernetic este o serie de pași parcurși de actorii de amenințare. În teorie, fiecare etapă poate fi identificată și blocată de apărarea cibernetică. Lockheed Martin a descris "lanțul ucigaș cibernetic" pentru APT-uri după cum urmează:
Cu toate acestea, în cazul dispozitivelor IoT, există etape suplimentare în lanțul de distrugere care fac ca APT-urile IoT să fie cu atât mai amenințătoare. Noul lanț de ucidere IoT arată astfel:
APT-urile IoT nu urmăresc doar infectarea unui singur dispozitiv sau a unei singure rețele; ele se răspândesc pe alte dispozitive și se ascund astfel încât să poată rămâne persistente.
Strategii de apărare IoT
Actualizările de sistem sunt esențiale pentru remedierea vulnerabilităților, dar deseori acestea sunt fie imposibile, fie nu sunt efectuate din alte motive. Odată ce patch-ul este lansat, atacatorii pot face o inginerie inversă a exploatării, făcând vulnerabile dispozitivele neactualizate. În plus, adesea, furnizorii nu pot sau nu vor să țină pasul cu corectarea tuturor vulnerabilităților descoperite în produsele lor.
Carantinarea este o soluție posibilă atunci când apar infecții. Cu toate acestea, din cauza constrângerilor din lumea reală, este posibil să fie imposibil sau nepractic să se pună în carantină dispozitivele. De exemplu, poate fi dificil să se pună în carantină o cameră de securitate care prezintă semne de compromitere, dar care este esențială pentru monitorizarea securității clădirii.
IoT APT: OPSWAT Strategii de apărare recomandate de
Pentru a opri APT-urile IoT, este necesară blocarea tuturor amenințărilor ascunse în date. Din nou, infractorii cibernetici își pot permite cu ușurință să eșueze, dar apărarea cibernetică trebuie să aibă succes în orice moment.
Sistemele de apărare bazate pe detecție sunt vulnerabile la tehnicile de ascundere a programelor malware. Amenințările avansate pot păcăli chiar și sandbox-urile prin executarea aleatorie sau prin detectarea faptului că se află sau nu într-un mediu virtual înainte de a fi executate. În plus, chiar și cea mai bună tehnologie de detectare anti-malware poate să nu vadă venind o amenințare de tip zero-day.
OPSWAT crede în combinarea strategiilor bazate pe detectare cu prevenirea avansată a amenințărilor. Tehnologia noastră de dezinfectare a datelor (CDR) neutralizează amenințările din orice document sau imagine care intră într-o rețea prin dezarmarea și reconstrucția fișierelor cu conținutul potențial malițios eliminat. Orice fișier poate și ar trebui să treacă prin acest proces, indiferent dacă este sau nu detectată o amenințare.
În plus față de utilizarea sanitizării datelor (CDR), organizațiile care utilizează dispozitive IoT ar trebui să urmeze pe cât posibil cele mai bune practici de securitate prin actualizarea periodică a dispozitivelor și resetarea acreditărilor de conectare implicite. În cele din urmă, dispozitivele conectate la rețea ar trebui să fie conectate la internetul mai larg numai dacă este absolut necesar să se facă acest lucru.
