Prepoznajte znakove dok još nije kasno
Kibernetička sigurnost više nije luksuz rezerviran za velike korporacije. Svaka organizacija koja koristi digitalnu infrastrukturu potencijalna je meta napada.
Odmah na samom početku članka donosimo dokaze te rečenice potvrđene u IBM-ovu izvješću Cost of a Data Breach, prosječna šteta od jednog proboja sigurnosti iznosi 4,45 milijuna dolara, a prosječno vrijeme otkrivanja kompromitacije premašuje 200 dana.
U tom razdoblju napadači nesmetano pristupaju osjetljivim podacima, kradu intelektualno vlasništvo i pripremaju teren za još razornije napade.
U Hrvatskoj situacija nije ništa bolja. CARNET CERT bilježi kontinuirani porast sigurnosnih incidenata, a male i srednje tvrtke posebno su ranjive. Naime, nemaju pristup naprednim SOC uslugama ni resursima za provedbu redovite analize ranjivosti.
Nadam se da su ovi podaci potaknuli IT administratore i vlasnike tvrtki da razviju sposobnost prepoznavanja ranih znakova kompromitacije vještina, ako još nisu.
U nastavku donosimo pet ključnih signala koji ukazuju na to da je vaša informatička sigurnost narušena, zajedno s konkretnim koracima za reagiranje na incidente.
1. Neobičan mrežni promet
Mreža je krvotok svakog IT sustava. Kada napadač kompromitira vaše okruženje, gotovo uvijek mora komunicirati s vanjskim poslužiteljem, bilo da šalje ukradene podatke, prima naredbe ili preuzima dodatne zlonamjerne alate.
Ta komunikacija ostavlja trag u obliku anomalija u mrežnom prometu.
Obratite pozornost na:
Neočekivane odlazne veze prema nepoznatim IP adresama, posebno u zemljama s kojima nemate poslovne odnose, ozbiljan su signal za uzbunu.
Napredne trajne prijetnje (APT) koriste enkriptirane kanale prema command-and-control poslužiteljima koji mogu biti smješteni bilo gdje u svijetu.
Neuobičajeni volumeni prijenosa podataka tijekom noći ili vikenda, kada nema planiranih sigurnosnih kopija, mogu ukazivati na ekstrakciju podataka.
Posebnu pozornost zaslužuje DNS promet jer napadači sve češće koriste DNS tuneliranje za izvlačenje informacija, a mnoge organizacije taj promet ne nadziru dovoljno detaljno.
Za provjeru sumnjivih IP adresa koristite javno dostupne baze poput AbuseIPDB ili VirusTotal.
Za nadzor mrežnog prometa preporučujemo alate poput Wiresharka za dubinsku analizu paketa, ntopng za praćenje u stvarnom vremenu ili Zeek za generiranje detaljnih zapisnika mrežne aktivnosti.
Praktični savjet: Uspostavite bazičnu razinu normalnog mrežnog prometa za vašu organizaciju. Bez poznavanja uobičajenog obrasca nemoguće je prepoznati anomalije.
Dokumentirajte standardne odlazne veze, prosječne volumene i vremenske obrasce korištenja mreže. Svako značajno odstupanje zaslužuje istragu.
2. Neobjašnjivi padovi performansi
Mnogi korisnici pad performansi pripisuju zastarjelom hardveru. Međutim, naglo i neobjašnjivo usporavanje može biti jasan simptom zlonamjernog softvera koji radi u pozadini.
Kriptomineri, keyloggeri i botnet agenti troše procesorske resurse, memoriju i mrežni kapacitet, što se izravno odražava na brzinu rada.
Ključni pokazatelji:
Trajno visoko opterećenje procesora iznad 80 do 90 posto bez vidljivog razloga jedan je od najučestalijih simptoma. Kriptomineri mogu iskoristiti gotovo sve dostupne resurse za rudarenje kriptovaluta u korist napadača.
Padovi aplikacija bez jasnog uzroka mogu ukazivati na to da zlonamjerni softver ometa normalan rad sustava, posebno ako se padovi pojavljuju kod sigurnosnih alata koje napadači ciljano onemogućuju.
Na Windows sustavima koristite Task Manager ili Resource Monitor za pregled aktivnih procesa. Na Linux sustavima pomažu naredbe poput top, htop i iotop.
Obratite pozornost na procese s neobičnim imenima, one koji se pokreću iz neočekivanih direktorija ili koriste nesrazmjerno mnogo resursa.
Alati poput Zabbixa, Nagiosa ili Grafane omogućuju kontinuirano praćenje performansi i automatsko upozoravanje kada vrijednosti prijeđu definirane pragove, čime značajno skraćujete vrijeme potrebno za otkrivanje anomalija.
3. Neovlašteni korisnički računi
Jedan od prvih koraka koje napadač poduzima nakon uspješnog upada jest osiguravanje trajnog pristupa.
Da prevedemo tu rečenicu. Pristup znači kreiranje novih korisničkih računa, povećanje privilegija postojećih računa ili krađu vjerodajnica legitimnih korisnika.
Prema NIST Cybersecurity Frameworku, upravljanje identitetima i pristupom temeljna je komponenta cyber sigurnosti.
Znakovi na koje treba reagirati:
Pojava nepoznatih korisničkih računa najočitiji je signal. Redovito pregledavajte popise korisnika na svim sustavima, uključujući operativni sustav, baze podataka i mrežnu opremu.
Promjene privilegija bez odobrenja, posebno kada obični računi odjednom dobivaju administratorske ovlasti, ukazuju na eskalaciju privilegija.
Sumnjiva vremena i lokacije prijava također otkrivaju neovlašteni pristup. Ako se korisnik koji nikada ne radi noću prijavljuje u tri sata ujutro ili primjećujete prijave iz zemalja u kojima nemate zaposlenike, to zahtijeva neposrednu reakciju.
Implementirajte princip najmanjih privilegija, prema kojemu svaki korisnik ima samo one ovlasti koje su mu nužne za posao.
Uvedite višefaktorsku autentifikaciju za sve račune, a posebno za administratorske pristupe. Provodite mjesečnu reviziju korisničkih računa kao obaveznu praksu, što je ujedno i zahtjev GDPR-a koji se izravno primjenjuje u Hrvatskoj.
4. Izmijenjene ili izbrisane datoteke
Svaki kibernetički napad na kraju se svodi na manipulaciju podacima. Napadač krade datoteke, šifrira ih radi ucjene, briše kako bi prikrio tragove ili modificira kako bi održao pristup.
Prepoznavanje neovlaštenih promjena u datotečnom sustavu ključno je za rano otkrivanje kompromitacije.
Kritični signali upozorenja:
Neočekivane promjene sustavskih datoteka i konfiguracijskih postavki izuzetno su ozbiljan signal. Te se datoteke ne bi smjele mijenjati izvan planiranih ažuriranja.
Nestanak ili praznine u zapisničkim datotekama gotovo sigurno ukazuju na pokušaj prikrivanja tragova jer napadači rutinski brišu logove kako bi sakrili dokaze o svom djelovanju.
Pojava nepoznatih izvršnih datoteka u privremenim direktorijima ili skripti na neobičnim lokacijama može ukazivati na instalirani zlonamjerni softver. P
osebno pazite na datoteke čija imena oponašaju legitimne sistemske procese, ali su smještene izvan uobičajenih direktorija.
Za zaštitu podataka i praćenje integriteta datoteka koristite specijalizirane alate poput OSSEC-a, Tripwirea ili Wazuha. Konfigurirajte ih da prate kritične direktorije i automatski šalju obavijesti o svim neplaniranim promjenama.
5. Neobično ponašanje antivirusa
Sofisticirani napadači znaju da su sigurnosni alati prva linija obrane, pa jedan od njihovih prioriteta postaje onemogućavanje ili zaobilaženje tih alata.
Paradoksalno, upravo neobično ponašanje vašeg sigurnosnog softvera može biti najjasniji znak kompromitacije.
Alarmantni pokazatelji:
Ako se vaš antivirusni program, vatrozid ili sustav za detekciju upada iznenada isključi bez vašeg znanja, gotovo sigurno imate posla s napadačem.
Napredni malware ima rutine za prepoznavanje i onemogućavanje poznatih sigurnosnih proizvoda.
Ako ne možete ažurirati sigurnosne baze podataka, moguće da je zlonamjerni softver blokirao komunikaciju s poslužiteljima za ažuriranje.
Cilj toga je sprečavanje vlastite detekcije.
Ponavljajuće detekcije zlonamjernog softvera koje se vraćaju nakon svakog čišćenja sugeriraju da se malware uspješno ugnijezdio u sustavu i koristi mehanizme za ponovnu instalaciju. To može ukazivati na prisutnost rootkita ili na to da napadač još uvijek ima aktivan pristup.
Neovlaštene promjene konfiguracije vatrozida, poput novih pravila koja dopuštaju promet na neobičnim portovima, mogu značiti da je napadač otvorio pristupne točke za komunikaciju sa svojim poslužiteljima.
Otkrili ste kompromitaciju sustava?
U tom slučaju trebate strukturirani pristup.
U prvim minutama odvojite kompromitirane sustave od mreže fizičkim isključivanjem mrežnog kabela, ali nemojte gasiti računalo jer se time gube forenzički dokazi u radnoj memoriji. Dokumentirajte sve što primjećujete i ne brišite nikakve podatke.
Zatim procijenite opseg incidenta. Angažirajte interni sigurnosni tim ili vanjske stručnjake za penetration testing i forenzičku analizu.
U Hrvatskoj se možete obratiti CARNET CERT-u za prijavu incidenta i stručne savjete.
Tijekom oporavka promijenite sve lozinke počevši od administratorskih računa, zakrpajte poznate ranjivosti i obnovite sustave iz verificiranih sigurnosnih kopija koje potječu iz razdoblja prije napada. Nakon sanacije nastavite intenzivno nadzirati sustav jer napadači često ostavljaju više pristupnih točaka.
Ako je došlo do povrede osobnih podataka, prijavite incident Agenciji za zaštitu osobnih podataka u roku od 72 sata sukladno zahtjevima GDPR-a.
Temelj zaštite je prevencija
Prevencija je uvijek jeftinija od sanacije. Provodite redovitu analizu ranjivosti i penetration testing kako biste otkrili slabosti prije napadača.
Održavajte sustave ažurnima primjenom sigurnosnih zakrpa što je prije moguće. Implementirajte višefaktorsku autentifikaciju za sve korisničke račune.
Uložite u sigurnosnu edukaciju zaposlenika jer ljudski faktor ostaje najčešći vektor napada.
Uspostavite strategiju sigurnosnog kopiranja prema pravilu 3-2-1, što znači tri kopije podataka na dva različita medija s jednom kopijom na udaljenoj lokaciji.
I prijedlog za kraj je da razvijete redovito testirajte plan odgovora na incidente kroz simulacije i vježbe.
Budite proaktivni
Pet ključnih znakova kompromitacije, neobičan mrežni promet, pad performansi, neovlašteni korisnički računi, izmijenjene datoteke i neobično ponašanje sigurnosnih alata, vaši su najvažniji pokazatelji da je informatička sigurnost narušena.
Rano otkrivanje može značiti razliku između manjeg sigurnosnog incidenta i katastrofalne povrede podataka.
Započnite danas. Pregledajte mrežni promet, provjerite korisničke račune, verificirajte integritet kritičnih datoteka i uvjerite se da su svi sigurnosni alati aktivni i ažurirani.
Cyber security nije jednokratni projekt, već kontinuirani proces koji zahtijeva stalnu pozornost i prilagodbu novim prijetnjama. Vaša sposobnost brzog prepoznavanja znakova kompromitacije može biti presudna za opstanak vašeg poslovanja.
