Małe firmy łatwym celem
Odpowiedzialność za powodzenie cyberataków w dużym stopniu jest rozproszona pomiędzy pracowników, działy IT, a także zarządy firm. Najczęściej praprzyczyną bywa nieskuteczna komunikacja pomiędzy tymi grupami. To idealna okazja dla firm partnerskich, aby ucywilizować u swoich klientów podejście do bezpieczeństwa.
W kampaniach phishingowych pojawiła się tematyka wojny i kryzysu.
Szukanie igły w stogu… igieł
Decyzja dotycząca wyboru producenta rozwiązań ochronnych jest jedną z najtrudniejszych w skali całego procesu zabezpieczania przedsiębiorstwa. Od strony marketingowej wszyscy obiecują mniej więcej to samo, a szczegóły techniczne bywają tak bardzo skomplikowane, że tylko ekspert zrozumie różnice między poszczególnymi produktami. Tu oczywiście kluczowa jest rola integratorów – najpierw powinni oni bardzo skrupulatnie poznać środowisko klienta, następnie zaproponować systemy, z obsługi których zostali przeszkoleni i mogą okazać stosowne certyfikaty, wytłumaczyć dlaczego tak drogo (ta kwestia podnoszona jest przez klientów zawsze, warto więc mieć zestaw gotowych odpowiedzi) i po podpisaniu kontraktu przeprowadzić wdrożenie.
Mnogość dostępnych rodzajów rozwiązań ochronnych, jak też ich producentów, z pewnością nie ułatwia sprawy. Nieodzowne będzie oczywiście wdrożenie oprogramowania antywirusowego do ochrony urządzeń końcowych i serwerów, jak też firewalla nowej generacji zabezpieczającego sieć. Niestety, na rynku jest niewielu liczących się producentów, którzy mają w ofercie oba te rodzaje produktów. Wskazane bowiem jest, aby antywirus komunikował się z firewallem na temat podejrzanych zjawisk – zdecydowanie ułatwia to przeciwdziałanie tzw. ruchowi bocznemu (lateral movement), obserwowanemu w sytuacji, gdy na przykład zdalny pracownik wróci do biura z zainfekowanym laptopem, a złośliwy kod rozprzestrzeni się na inne stacje robocze nie będąc zauważonym przez firewalla.
Warto także zwrócić uwagę na nowy trend łączenia oprogramowania do backupu z mechanizmami antywirusowymi. Pierwsze takie rozwiązanie zaprezentował trzy lata temu Acronis, a obecnie drogą tą podążają także Commvault i Veeam. W zamyśle twórców takich narzędzi jest całościowe spojrzenie na proces zabezpieczania środowisk IT i ewentualnego usuwania skutków ataku. Dzięki temu można zaproponować klientowi mechanizmy chroniące przed ransomware’em, a gdy te zawiodą – automatyczne przywrócenie danych z kopii backupowej.
Kolejnym ważnym narzędziem jest oprogramowanie, które weryfikuje, czy na urządzeniach końcowych i serwerach zainstalowane jest oprogramowanie w najnowszych wersjach i z aktualnymi łatkami dotyczącymi bezpieczeństwa. Powodzenie znakomitej większości ataków zależy bowiem od tego, że cyberprzestępcy znają luki w starszych wersjach oprogramowania, a następnie próbują je eksploatować. W bardzo dużym stopniu dotyczy to także serwerów NAS – przez ostatnich kilka lat byliśmy świadkami kilku poważnych ataków na urządzenia firm QNAP, Synology i WD, tymczasem w większości przypadków dostępne już były odpowiednie łatki.
Zarządy małych firm często też zadają pytanie, czy warto inwestować w rozwiązania, które podążają za trendami charakterystycznymi raczej dla dużych przedsiębiorstw – chodzi o mechanizmy Zero Trust, zaangażowanie sztucznej inteligencji i uczenia maszynowego w proces wykrywania zagrożeń itd. Odpowiedź jest pozytywna – jak już wspomnieliśmy, cyberprzestępcy dokonują ataków w sposób automatyczny, dlatego jak najbardziej zautomatyzowana powinna być też ochrona. Warto tu pochwalić producentów UTM-ów – w ramach jednej rodziny tego typu urządzeń zazwyczaj obecne jest to samo oprogramowanie, różnica występuje tylko w skalowalności i wydajności sprzętu. Dzięki temu nawet małe oddziały firm mają taki sam poziom zabezpieczeń jak duże korporacje.
Co by tu jeszcze zabezpieczyć?
Oczywiście, ochroną należy objąć nie tylko sieć, serwery i urządzenia końcowe. Wszystko, co jest podłączone do sieci i ma panel administratora, powinno podlegać zabezpieczeniu i ciągłej weryfikacji, czy nie zdarzył się jakiś incydent.
Na szczególną uwag zasługują tu drukarki, które w kontekście bezpieczeństwa często są ignorowane, a przetwarzają równie istotne informacje jak pozostały sprzęt IT. Od lat wyposażone są w zaawansowane funkcje komunikacyjne, w tym możliwość wysyłania dokumentów do wydrukowania pocztą elektroniczną, przesyłanie skanów do sieciowych folderów użytkowników, często także przez internet do oddalonych biur. Wyposażone są też w nośnik pamięci, który tymczasowo (ale czas ten bywa bardzo długi) przechowuje przetwarzane dokumenty – to jest potencjalna kopalnia złota, jeśli chodzi o informacje wywiadowcze, których poszukują cyberprzestępcy.
– Nie trzeba tłumaczyć w jaki sposób każda z tych funkcji może być wykorzystana przez cyberprzestępców. Niezabezpieczona drukarka podłączona do firmowej sieci może być wykryta za pomocą wyszukiwarek urządzeń Internetu Rzeczy, takich jak Shodan czy Censys. To pozwoli atakującemu na korzystanie z funkcji urządzenia, modyfikowanie jego ustawień, a nawet zmianę hasła, co pozbawi właściciela dostępu. Bywały sytuacje, w których niezabezpieczona drukarka była wykorzystywana do wysyłania wiadomości e-mail typu phishing. Fakt, że pochodziły one z wewnątrz firmy, „znieczulał” systemy zabezpieczające i częściej trafiały one do adresata – mówi Robert Zając, specjalista ds. przedsprzedaży w firmie Brother.
Oczywiście skrupulatnej konfiguracji należy poddawać każdy nowy instalowany sprzęt, ale nie można zapominać też o starszych rozwiązaniach, które wciąż funkcjonują i są podłączone do firmowej sieci. Ich systemy zabezpieczeń mogą nie być pierwszej świeżości, niemniej warto sprawdzić czy zmienione zostały domyślne hasła użytkowników (listy takich haseł od dawna krążą w internecie) i czy dostępne są aktualizacje firmware’u.
Olbrzymią uwagę należy poświęcić urządzeniom, które opuszczają firmę – trafiają do serwisu, odsprzedaży lub utylizacji. Jeśli są sprawne, koniecznie należy skorzystać z funkcji czyszczenia danych z wbudowanego nośnika. Jeśli nie – należy ten nośnik usunąć i zutylizować w bezpieczny dla danych sposób.
Kolejną grupą urządzeń, o których zdecydowanie nie wolno zapominać, są telefony i tablety – szczególnie te z systemem Android. Zagraża im zarówno złośliwe oprogramowanie, które albo dostępne jest w sklepie Google Play, jak też często instalowane przez użytkowników jako samodzielnie pobrana aplikacja z internetu. Drugą grupę zagrożeń stanowią phishingowe SMS-y (smishing), które budzącym niepokój komunikatem próbują nakłonić użytkownika do kliknięcia w link. Plan minimum to instalacja oprogramowania antywirusowego, ale warto też zaproponować klientowi coraz popularniejsze oprogramowanie typu Mobile Device Management (MDM), w którym zawarte są mechanizmy uniemożliwiające przeprowadzenie wielu rodzajów ataków.
Podobne artykuły
Prawo stwarza szansę dla integratorów
Przedsiębiorcy zgłaszają potrzebę i chęć współpracy z zewnętrznymi zaufanymi ekspertami, aby pokonać bariery i wdrożyć szyfrowanie w kluczowych dla swojego funkcjonowania obszarach.
SASE to przyszłość łączności i bezpieczeństwa
Odpowiedzią na postępujące rozproszenie danych i aplikacji, znajdujących się obecnie nie tylko w firmowej serwerowni, ale także w różnych usługach chmurowych, jest połączenie sieci i aspektów dotyczących bezpieczeństwa w pakiet rozwiązań o wspólnej nazwie SASE.
Dyrektywa NIS2 – rewolucja dla tysięcy firm
Do 17 października 2024 roku państwa UE muszą włączyć przepisy NIS2 do prawa krajowego. Dokument jest odpowiedzią na rosnące uzależnienie od technologii cyfrowych branż o krytycznym znaczeniu dla działania państwa.