Zloupotreba lozinki i legitimnih naloga postala najjače oružje sajberkriminalaca
U svetu sajber bezbednosti svedočimo velikom strateškom zaokretu. Tradicionalni, bučni napadi u kojima zlonamerni softveri (malver) masovno inficiraju računare i aktiviraju crvene alarme na bezbednosnim sistemima polako odlaze u prošlost. Savremeni hakeri danas igraju pametnije, tiše i efikasnije – umesto da obijaju vrata, oni jednostavno otključavaju sisteme koristeći prave ključeve.
Prema najnovijem globalnom izveštaju kompanije Kaspersky, pogađanje lozinki i zloupotreba važećih korisničkih naloga ubedljivo su najefikasnije taktike koje su sajberkriminalci koristili u prethodnoj godini. Napadači masovno odustaju od upotrebe upadljivog malvera koji pokreće odbranu krajnjih uređaja (Endpoint Protection). Umesto toga, oni daju prednost korišćenju legitimnog pristupa i postojećih resursa unutar mreže kako bi se potpuno stopili sa okruženjem i ostali nevidljivi.
Anatomija sajber sveta: Šta kažu podaci sa prve linije odbrane?
Sveobuhvatna studija pod nazivom „Anatomija sajber sveta“ (Anatomy of a Cyber World) predstavlja detaljan globalni izveštaj koji se bazira na realnim podacima prikupljenim kroz napredne usluge kompanije Kaspersky, kao što su Managed Detection and Response (MDR), Incident Response (IR), Compromise Assessment i SOC Consulting.
Izveštaj pruža precizan uvid u to koje tehnike najčešće vode do uspešnog i potvrđenog incidenta. Analiza stopa uspešnosti različitih indikatora napada (Indicators of Attack – IoA) otkrila je pet najrasprostranjenijih i najopasnijih taktičkih šablona koji se direktno oslanjaju na kompromitovanje digitalnih identiteta:
1. Pogađanje lozinki (34,8%)
Ova tehnika se nalazi na samom vrhu liste. Napadači koriste automatizovane, sistematske metode (poput brute-force ili credential stuffing napada) isprobavajući različite kombinacije lozinki sve dok ne pogode pravu i ne ostvare pristup nalogu. Visoka stopa uspeha ove metode leži u činjenici da se mnoge organizacije i zaposleni i dalje oslanjaju na slabe, predvidive lozinke ili prepisuju iste šifre na različitim platformama, ostavljajući hakerima širom otvorena vrata.
2. Kreiranje lokalnih korisničkih naloga (34,7%)
Jednom kada hakeri uspeju da probiju prvu liniju odbrane i uđu u sistem, njihov primarni cilj je da osiguraju svoju stalnu prisutnost (persistence). Zbog toga oni unutar kompromitovanog sistema kreiraju potpuno nove lokalne naloge. Na taj način osiguravaju da, čak i ako bezbednosni tim primeti njihov prvobitni upad i zatvori ga, oni i dalje imaju rezervni, tajni prolaz za ponovni ulazak. Otkrivanje ove tehnike zahteva izuzetno detaljne i napredne telemetrijske podatke, koje mnoge kompanije ne prikupljaju adekvatno.
3. Zloupotreba važećih korisničkih naloga (34,5%)
Ovo je takozvani „nevidljivi“ napad. Umesto ubacivanja sumnjivih fajlova, napadač se prijavljuje preko ukradenih ili kupljenih akreditiva koji pripadaju stvarnom radniku firme. Kada se jednom uloguje, on se ponaša i kreće kroz sistem baš kao i svaki drugi zaposleni. Detekcija je ovde ekstremno teška jer sam pristup sistemu softverski deluje potpuno legitimno, što objašnjava zašto su ukradeni identiteti jedan od najopasnijih vektora napada danas.
4. Manipulacija postojećim korisničkim nalozima (32%)
Hakeri ne kreiraju uvek nove profile; veoma često modifikuju već postojeće u okruženju. To rade tako što reaktiviraju stare, deaktivirane naloge bivših radnika, menjaju članstva u bezbednosnim grupama ili sami sebi neovlašćeno podižu nivo administratorskih privilegija. Ovaj obrazac ponašanja jasno potvrđuje modernu maksimu sajber kriminala: koristi resurse koji već postoje u napadnutom okruženju, umesto da unosiš nove alate.
5. Otkrivanje mrežnih servisa (31,2%)
Pre nego što krenu u dublje i destruktivnije faze napada, kriminalci sprovode detaljno izviđanje unutar mreže. Oni skeniraju dostupne mrežne servise i sisteme kako bi mapirali teren i identifikovali ranjivosti koje mogu dalje eksploatisati za takozvano lateralno (bočno) kretanje kroz infrastrukturu kompanije. Rano uočavanje ove faze izviđanja daje bezbednosnim timovima ključnu prednost i dragoceno vreme da reaguju i preseku napad u korenu.
Fokus na ponašanje, a ne samo na kataloge pretnji
Stručnjaci ističu da, iako globalni katalozi detaljno opisuju stotine različitih tehnika koje hakeri mogu upotrebiti, kvalitetna i moderna odbrana ne sme da se raspline na sve strane. Efikasna detekcija zahteva fokusiranje i davanje prioriteta onim ponašanjima koja statistički imaju najveću verovatnoću zlonamerne namere. Na taj način se bezbednosni timovi štite od takozvanog zamora od upozorenja (alert fatigue) koji nastaje usled prevelikog broja lažno pozitivnih rezultata.
Zlatno pravilo moderne odbrane: Ključ uspeha više nije samo prepoznavanje poznatih virusa, već sposobnost uočavanja anomalija u ponašanju korisnika. Kada se legitiman nalog odjednom prijavi u tri sata ujutru sa nepoznate lokacije i počne da pretražuje baze podataka koje mu nisu u opisu posla – to je jasan signal za uzbunu.
Perspektiva stručnjaka: Napadačima ne treba sofisticiranost da bi uspeli
„Sajber kriminalci ne moraju uvek da koriste skup i sofisticiran malver da bi ostvarili svoje ciljeve. U velikom broju slučajeva, legitimni administrativni alati i kompromitovani korisnički nalozi ostaju najbrži, najjeftiniji i najefikasniji način za kretanje unutar jedne organizacije uz uspešno izbegavanje detekcije“, objašnjava Rade Furtula, Presales manager kompanije Kaspersky za Zapadni Balkan.
On dodaje da neprekidna popularnost ovih tehnika jasno ukazuje na to da su modernim kompanijama preko potrebni dubok uvid u ponašanje napadača i sposobnost povezivanja (korelacije) sumnjivih aktivnosti kroz sve, pa i najranije faze napada.
Da bi uspešno odgovorile na ove izazove i podigle odbranu na viši nivo, kompanije moraju unaprediti svoju bezbednosnu arhitekturu rešenjima kao što su Kaspersky Managed Detection and Response i Incident Response. Ova rešenja efikasno pokrivaju kompletan ciklus upravljanja incidentima – počevši od ranog otkrivanja sofisticiranih pretnji, preko konstantne zaštite, pa sve do brze sanacije i otklanjanja štetnih posledica ukoliko je do proboja već došlo. U digitalnoj eri, vaša bezbednost vredi onoliko koliko je sigurna vaša najslabija lozinka.
Foto: Freepik
Autor: Portal ObjektivNI.rs
