Wąż w kieszeni

Choć phishing stosowany jest od kilkunastu lat, nadal jest bardzo skuteczny. Dzieje się tak z kilku powodów, a jednym z nich jest spryt napastników stosujących wymyślne sztuczki, aby przechytrzyć CISO, administratorów sieci czy kierowników działu IT. Nie byłoby to możliwe, gdyby nie środki, jakie pozyskują dzięki okupom od ofiary. Największe gangi działają według modelu Ransomware as a Service (RaaS), w którym operatorzy dostarczają złośliwe oprogramowanie podmiotom stowarzyszonym, a w zamian otrzymują część płatnego okupu. W większości przypadków wykonujący czarną robotę „partnerzy” zachowują ok. 70 proc. zysków, zaś współpracujący z BlackCat nawet do 90 proc.

Po drugiej stronie barykady znajdują się nie do końca świadomi czyhających na nich zagrożeń przedsiębiorcy, z których część ma przysłowiowego węża w kieszeni. W tym kontekście znamienny jest pewien raport, zaprezentowany przez firmę konsultingową NCC Group, specjalizującą się w bezpieczeństwie IT. Dokument bazuje na spostrzeżeniach menedżerów IT związanych z klubami piłkarskimi z Wysp Brytyjskich. Jego autorzy nie zostawiają suchej nitki na właścicielach klubów z Premier League. W niewielu z nich istnieje etat dla CISO, a zarządcy nie zamierzają inwestować w tego rodzaju specjalistów. Jak powszechnie wiadomo, największe tuzy tej ligi wydają setki milionów na graczy, żałując, jak widać, na średnią roczną pensję CISO wynoszącą 112 tys. funtów brytyjskich.

Phishing bazuje na wywołaniu strachu bądź silnych emocji. Z tego względu Julie Haney, Computer Scientist and Human-Centered Cybersecurity Researcher w National Institute of Standards and Technology, staje w obronie przeciętnych użytkowników. Jej zdaniem eksperci ds. cyberbezpieczeństwa, podkreślając, że najsłabszym ogniwem jest człowiek, tworzą dysfunkcyjną relację „my kontra oni”. Liczne badania pokazują, że ludzie tak naprawdę nie są naiwni, ale przytłoczeni obowiązkami i źle wyposażeni, przy czym niekoniecznie z własnej winy.

Cyberbezpieczeństwo i backup: razem czy osobno?

Oczywiście specjaliści wciąż poszukują złotego środka pozwalającego zastopować cyberprzestępców. Obok wprowadzania nowych narzędzi ochrony, jak XDR, pojawiają się nowe koncepcje. Jedną z nich jest głębsza integracja systemów do backupu i cyberbezpieczeństwa. Zwłaszcza, że walka z gangami ransomware wymaga ciągłego zwiększania nakładów finansowych zarówno na produkty, jak i specjalistów ds. bezpieczeństwa. Połączenie zasobów, a także pracowników wydaje się sensownym rozwiązaniem.

– Oferta dostawców systemów do backupu i DR ewoluuje w kierunku bardziej zaawansowanych i elastycznych rozwiązań, z jednej strony umożliwiających tworzenie kopii zapasowych, których nie można modyfikować i usuwać, zaś z drugiej szybko przywracać dane. Integrowanie systemów bezpieczeństwa IT z rozwiązaniami do backupu i DR staje się coraz ważniejsze. Pozwala lepiej zarządzać incydentami i ochroną przed utratą danych – tłumaczy Paweł Mączka, CTO Storware’u.

Nie brakuje jednak przeciwników takiej opcji, którzy zamiast wielofunkcyjnych kombajnów preferują wyspecjalizowany sprzęt lub oprogramowanie. Drugim argumentem przeciw unifikacji jest porzekadło, że jeśli coś jest do wszystkiego, to jest do niczego.

Zdaniem specjalisty

Piotr Kawa, Business Development Director, Bakotech Piotr Kawa, Business Development Director, Bakotech  

Jedna z koncepcji ochrony, a więc „defense in depth”, polega na budowaniu ekosystemu bezpieczeństwa składającego się z warstw. Każda z nich stanowi przeszkodę dla cyberprzestępców, a dodatkowo zapewnia pewnego rodzaju redundancję w sytuacji, gdy zawiedzie mechanizm kontroli lub gdy zostanie wykorzystana podatność któregoś z komponentów. Oprócz oczywistych filarów, jakimi są narzędzia chroniące poszczególne warstwy, nie należy zapominać o politykach i procedurach, które muszą być jasne i zrozumiałe dla wszystkich użytkowników. Dodatkowo organizacje powinny położyć nacisk na świadomość użytkowników. To właśnie ludzie stają się frontem obrony przed atakami cybernetycznymi. Ważne jest, aby wiedzieli, jak rozpoznać i unikać zagrożeń, a co za tym idzie, powinniśmy w sposób ciągły podnosić ich kompetencje w zakresie bezpieczeństwa i higieny IT.

  
Sven Janssen, VP Sales EMEA Central for Channel, Sophos Sven Janssen, VP Sales EMEA Central for Channel, Sophos  

Phishing niezmiennie odnosi sukcesy, a według naszych badań aż 30 procent wszystkich ataków ransomware rozpoczyna się od otwarcia złośliwej wiadomości mejlowej. Istnieją dwa główne wyjaśnienia takiego stanu rzeczy. Pierwszym jest czynnik ludzki i w tym kontekście należy podkreślić, że nie wszyscy są świadomi istnienia tego problemu oraz skali działania inżynierii społecznej. Drugim wytłumaczeniem jest sztuczna inteligencja. Wiadomości phishingowe powstałe przy użyciu narzędzi, takich jak ChatGPT, wyglądają niezwykle wiarygodnie. Nawet specjaliści ds. cyberbezpieczeństwa miewają trudności w ich identyfikacji. Niezgrabne, pełne błędów teksty są już przeszłością. Zastępuje je przemyślana i nierzadko personalizowana treść.

  
Wiktor Żabiński, Junior Penetration Tester, Dagma Bezpieczeństwo IT Wiktor Żabiński, Junior Penetration Tester, Dagma Bezpieczeństwo IT  

Jednym z głównych czynników determinujących skuteczność ataków phishingowych jest ciągłe doskonalenie technik przez cyberprzestępców. Kampanie phishingowe ze scenariuszem „uniwersalnym”, takim jak wygranie smartfonu na „loterii” są już dzisiaj rzadkością ze względu na niską skuteczność. Bardziej niebezpieczny jest tak zwany spear phishing, czyli atak spersonalizowany pod konkretne przedsiębiorstwo. Częstym schematem tego typu ataków jest próba podszycia się pod osobę wysoko postawioną w firmie. Coraz częściej zauważa się wykorzystanie ataków z udziałem deepfake’ów, co pomaga uwiarygodnić przestępcę w oczach ofiary. Istotnym elementem, który składa się na skuteczność ataków phishingowych jest ludzka natura.