19.01.2023

 

Täna ei ole enam piisav installeerida arvutisse pahavarakaitse ja turvateema unustada. Turvalisus vajab pidevat käe pulsil hoidmist ja turvasündmustega tegelemist, milleks on vaja pädevaid inimesi. Oma turvatiimi palkamisele on tekkinud arvestatav ja kuluefektiivne alternatiiv 24/7 toimiva turvaintsidentide tuvastus- ja reageerimisteenuse näol, kirjutab infoturbejuht Janar Randväli.

 

Vaatame korra „lunavaraäris“ toimuvat. Eelmisel aastal kogus kõige enam lunaraha Conti-nimeline „turuosaline“, mille „käive“ ulatus hinnanguliselt ligikaudu 180 miljoni dollarini. Selle loojaid nimetatakse õigustatult Conti lunavara grupiks, kuna sinna kuulub üle 100 inimese ning lisaks häkkeritele on hõivatud üsna tavapärased IT-ametid nagu juhid, programmeerijad, testijad, süsteemiadministraatorid, pöördprojekteerijad (reverse engineers), tehniline tugi, „müük“ jne. Analüüsiandmed osutavad, et grupi „peakontor“ on Peterburis, kust algas ka president Vladimir Putini poliitiline karjäär.

 

Conti käekirjaks on avatud koodil põhinevad ründelahendused ning turvahaavatavuste, vananenud tehnoloogia, nõrga turvalisusega ligipääsuhalduse ja inimeste teadmatuse ärakasutamine, samuti hästi varjatud jätkuv „istumine“ kord juba rünnatud süsteemides. Seepärast kasutatakse koos pahavaraga ka täiesti seaduslikke IT-tööriistu nagu interaktiivne pahavara otsija AnyRun, kaughalduse tarkvara Splashtop, seadmehaldus- ja monitooringulahendus Atera jne, mida turvatarkvara ei avasta ja mis võimaldavad IT-süsteemidesse tungimise järel jääda kaitsjatele märkamatuks. Kui rünnatud ettevõte keeldub Contile lunaraha maksmisest, riputatakse info rünnaku kohta üles Conti veebilehele, avaldatakse ohvrilt varastatud andmed või müüakse need edasi asjast huvitatud osapooltele.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Kahju minimeerimiseks tuleb reageerida minutitega

Conti tüüpiline rünne näeb välja nagu ülaltoodud joonisel. Kui vaadata üht näidet Ukrainast, siis esimesel rünnakupäeval määrati ligipääsupunkt süsteemidesse, milleks sai FortiGate tulemüüri püsivaraversiooni turvanõrkus. Häkkeril läks aega täpselt 16 minutit, et saada selle haavatavuse kaudu kahes serveris domeeniadministraatori õigused. Järgmise 6 tunni jooksul jooksutas pahalane ühes ülevõetud serveris küberturvalisuse läbistustestideks (pentesting) mõeldud Cobalt Strike tarkvara, et panna kokku nimekiri kõigi teiste serverite administraatorikontodest ja domeenide ligipääsudest. Teisel rünnakupäeval ei tehtud midagi, kolmandal aga rakendati kolmandas serveris RClone’i varundustarkvara ja loodi konfigureerimisfail ligipääsudega, et kopeerida ulatuslikult erinevate osakondade andmeid. Neljandaks päevaks oli kurikaeltel täpne ülevaade ohvri võrgustruktuurist ja IT-seadmetest ning Cobalt Strike tarkvara käivitati juba ligikaudu 300 serveris ja lõppseadmes, et alustada andmete krüpteerimist. Edasise kahju minimeerimiseks tuli sel hetkel reageerida minutite jooksul.

 

Küberturbelahenduste pakkuja Sophose andmetel on kõige enam pahavararündeid just nädalavahetusel ja reedeti, kui ettevõtte IT-meeskonna suutlikkus neile reageerida on eeldatavasti väiksem. Rünneteks ja pahavara edasilevitamiseks kasutatakse segu lubatud ja ebaseaduslikest vahenditest, näiteks printeriprotokollid, legaalsed tööriistad läbistustestideks (nt Cobalt Strike), varundustarkvarad, lahendused kasutajaseadmete monitooringuks ja kaughalduseks jne.

 

Kui maksad korra, jäädki maksma

Kui lunavararünne on õnnestunud ja kahju sündinud, on paljudel sageli kiusatus küsitud summa ära maksta ja juhtunu unustada. Isegi kui jätta kõrvale filosoofilisemad põhjendused kuritegevuse rahastamisest, pole see mõistlik mõte, sest uuringute järgi on vaid 8% ohvritel maksmise järel kõik andmed lahti krüpteeritud ning keskmiselt on saadud tagasi vaid 65% oma andmetest. Veelgi enam, kuna pahalased soovivad alati säilitada hästi varjatud tagauksed ülevõetud süsteemidesse, siis mõne aja pärast krüpteeritakse need uuesti ja nõutakse taas lunaraha.

 

Seetõttu on ainus mõistlik viis ründele vastu hakata, kuid sageli tehakse seda alles siis, kui süsteemid on juba krüpteeritud. Korraliku varunduse korral ja kindlaid põhimõtteid järgides on enamasti ka siis võimalik päev päästa ning andmed taastada, ent valutum ja odavam on valmistuda kaitseks juba enne rünnakut. Enamikes ettevõtetes on kasutusel tulemüür ja turvatarkvara, mille monitooringuraportid annavad märku ukselingi lõgistamisest IT-süsteemidesse ja võivad osutada ohtlikele turvanõrkustele. Kui haavatavustele reageerida tundide jooksul, siis suure tõenäosusega küberründe viimasesse etappi ei jõutagi, kuna turvapaikamine muudab ründe oluliselt keerukamaks ning välistab automaatründe ohvriks sattumise. Nüüd aga tekib küsimus, kes seda paikamist teeb ja kui kiiresti?

 

Tulemüüri ja turvatarkvara teavitustel pidev silma pealhoidmine on IT-meeskonnale arvestatav töökoormus ning turvariskide maandamine eeldab ka spetsiifilisemat küberkaitsealast kompetentsi. Isegi kui see on tänu palgatud infoturbejuhile olemas, võib pudelikaelaks osutuda ühe inimese suutlikkus 24/7 sellist tuge pakkuda. Seetõttu tuleks eelistada moodsamat lahendust, kus pahavarakaitse pole enam toode, vaid sisseostetud teenus. Sellega kaasneb 24/7 töötav turvatiim, kes jälgib pidevalt IT-süsteemides toimuvat ning on valmis igal hetkel intsidentidele reageerima.

 

Sophose tuvastus- ja reageerimisteenus pakub 24/7 valmisolekut

Turvaintsidentide tuvastus- ja reageerimisteenus nagu Sophose MDR pakub 24/7/365 kaitset lõppseadmetele, serveritele, võrkudele, pilveteenustele, töövoogudele, e-posti kontodele, identiteedihalduse süsteemidele jne. Kuna Sophose tööriistad blokeerivad automaatselt 99,98% turvaohtudest, saavad analüütikud keskenduda keerukamatele ja konkreetsele ettevõttele suunatud rünnetele, mida suudavad tuvastada ja peatada ainult eksperditasemel pädevust omavavad inimesed. Kui ettevõtete enda turvaoperatsioonide keskustes (SOC) avastatakse turvaintsidendid ja need lahendatakse keskmiselt 16 tunniga, siis Sophoses tuvastatakse oht tavaliselt minutiga, selle uurimiseks kulutavad analüütikud 25 minutit ning 12 minutiga rünne peatatakse, nii et kogu intsidendi käsitlemine võtab aega 38 minutit. Samuti annavad Sophose analüütikud juba ennetavalt soovitusi erinevate turvariskide vähendamiseks ilma, et turvaintsidente peaks üldse ilmnema. 

 

Sophose teenust saab integreerida erinevate tulemüüride, pilvekeskkondade, identiteedihalduse süsteemide, võrguturbe lahenduste ja e-posti tarkvaradega. Lisaks Sophose enda toodetele sobib see kokku paljude juhtivate turvatarkvaradega.

 

Tõsi ta on, et pahavarakaitse teenusena koos 24/7 töötava monitooringu- ja turvatiimiga on mõnevõrra kallim kui lihtsalt turvatarkvara litsentside ostmine. Turvatarkvara ning rünnete tuvastamise ja tõkestamise võimekusega (IDS/IPS) tulemüür suudavad küll avastada suure osa rünnetest ning paljud neist ka blokeerida, ent taolisel suutlikkusel on ka selge piir. Haavatavuste haldust, turvapaikamist ja intsidentide lahendamist saavad teha vaid inimesed ning seda eriti keerukate sihitud rünnete korral. Kui USAs kulub 250 töötajaga ettevõttes keskse tervikliku turvatarkvara ostmisele, oma turvatiimi palkamisele ja 24/7 toimiva SOCi tööshoidmisele 785 000 dollarit aastas, siis Sophose turvalahenduste ja MDR teenusega saab kõik need vajadused kaetud 52 000 dollariga. Lisaks otsesele rahalisele kokkuhoiule vabastab see ettevõtte enda IT-tiimi tulekahju kustutamisest, nii et neil oleks võimalik rohkem keskenduda IT kaudu äri toetamisele ja arendamisele.

 

Soovid nõu enda kaitsmiseks küberrünnete eest? Võta meiega ühendust See e-posti aadress on spämmirobotite eest kaitstud. Selle nägemiseks peab su veebilehitsejas olema JavaSkript sisse lülitatud.

 



Janar Randväli

See e-posti aadress on spämmirobotite eest kaitstud. Selle nägemiseks peab su veebilehitsejas olema JavaSkript sisse lülitatud.

 

 

 

 

 Loe lisaks:

Rünnakuahel kübermaailmas: kuidas peatada pahalane võimalikult vara?

Äriline digipööre loob majanduslanguse üleelamiseks piiramatuid võimalusi