Kas iš tiesų laužia įmonių saugumą šiais metais?

Šiandien visi tik ir kalba apie dirbtinį intelektą. Konferencijose klausausi istorijų apie save modifikuojančius AI virusus ir nusikaltėlių sindikatus, valdančius neuroninius tinklus. Skamba įspūdingai, tiesa? Bet realybė mano kasdienybėje – kaip etinio hakerio ir incidentų tyrėjo – yra kur kas žemiškesnė.

Nereikia kurti superkompiuterių, kad įsilaužtum į tarptautinės įmonės tinklą. Kam vargti laužiant šifravimo kodus, jei galima tiesiog paprašyti administratoriaus prisijungimo duomenų? Šiandien kibernetiniai nusikaltėliai renkasi mažiausio pasipriešinimo kelią: jie atakuoja ne programinį kodą, o žmogų ir jo skaitmeninę tapatybę.

Mano, kaip gynėjo, tikslas – parodyti jums, kur iš tikrųjų atsiveria spragos. Pažvelkime į technikas, kurios šiuo metu dominuoja „pogrindyje“.

1. Tapatybės vagystės (Identity-Based Attacks) – kam laužti duris, jei turi raktą?

Saugumo sistemos (EDR) tapo tokios geros, kad hakeriams tiesiog nusibodo ieškoti programinės įrangos spragų. Kam vargti su „0-day“ pažeidžiamumais, jei galima nusipirkti arba pavogti teisėto vartotojo kredencialus?

MFA apėjimas: Tradicinis dviejų veiksnių autentifikavimas (MFA) jau nebėra neperšaunama liemenė. Matome milžinišką Adversary-in-the-Middle (AiTM) atakų šuolį. Naudodami tokias platformas kaip Tycoon 2FA, užpuolikai veikia kaip tarpininkai tarp vartotojo ir tikrosios sistemos – jie vagia ne tik slaptažodžius, bet ir aktyvius sesijos žetonus (cookies).

Rezultatas: Užpuolikas patenka į įmonės Microsoft 365 ar SaaS aplinką be jokio įspėjimo signalo, o tada plečia savo teises per Active Directory arba Entra ID.

2. „ClickFix“ – nauja socialinės inžinerijos banga

Jei manote, kad jūsų darbuotojai nebespaudžia ant įtartinų nuorodų el. pašte – esate teisūs, jie tampa atsargesni. Todėl nusikaltėliai evoliucionavo. ClickFix yra viena įžūliausių pastarojo meto technikų.

Svetainėje (dažnai suklastotame CAPTCHA puslapyje) vartotojui iššoka pranešimas, kad kažkas sugedo ir reikia „pataisyti“ naršyklę. Vartotojui liepiama nukopijuoti pateiktą tekstą ir įklijuoti jį į savo terminalą (PowerShell). Tai apeina visus el. pašto filtrus, nes veiksmas vyksta tiesiogiai naršyklėje. Rezultatas? Vartotojas pats savo rankomis paleidžia kenkėjišką kodą, kuris atveria duris Ransomware operatoriams.

3. Legitimios įrangos piktnaudžiavimas (RMM Abuse)

Hakeriai dievina „gyvenimą iš žemės“ (Living off the Land) – tai taktika, kai naudojami sistemoje jau esantys, legalūs įrankiai, kad nesukeltų antivirusinių programų įtarimo.

Šiuo metu masiškai piktnaudžiaujama RMM (Remote Monitoring and Management) įrankiais, tokiais kaip ConnectWise ScreenConnect, Tactical RMM ar MeshAgent. Užpuolikai tiesiog įmeta modifikuotas šių programų versijas į aukų kompiuterius. Kadangi tai IT administratoriams skirti įrankiai, saugumo sistemos juos dažnai ignoruoja, o hakeriai gauna pilną nuotolinį priėjimą prie tinklo.

4. Mašininių tapatybių (Machine Identities) medžioklė

Mes daug dėmesio skiriame žmonių paskyroms, bet pamirštame „ne žmones“. API raktai, servisų paskyros (Service Accounts), konteineriai, automatizuoti DevOps procesai – visi jie turi teises tinkle.

Šios mašininės tapatybės dažnai yra nematomos saugumo komandoms, neturi MFA apsaugos ir turi per plačias teises. Užpuolikai tai žino ir aktyviai medžioja šiuos ilgalaikius prieigos raktus, ypač per trečiųjų šalių tiekėjus (MSP).

5. Tiekimo grandinės košmaras: „Shai-Hulud“ kirminas

Programuotojai, būkite budrūs. Tiekimo grandinės (Supply Chain) atakos pasiekė naują lygį. Pasirodęs „Shai-Hulud“ kirminas įnešė naują tendenciją į npm bibliotekas. Šis kenkėjas turi savireplikacijos logiką – patekęs į vieno programuotojo projektą, jis automatiškai užkrečia kitus jo prižiūrimus paketus. Naujausios jo versijos jau specializuojasi vogti debesijos (Cloud) prisijungimo duomenis tiesiai iš kūrimo aplinkų.

Kaip mums apsiginti? (Mano, kaip etinio hakerio, patarimai)

Jei norite sustabdyti šias atakas, metas keisti gynybos strategiją iš „saugome perimetrą“ į „Zero Trust“ (Nulinis pasitikėjimas).

Atsparumas Fišingui: Paprastas SMS ar programėlės MFA jau nebepakanka. Reikia pereiti prie FIDO2 / passkey technologijų arba aparatinio saugumo raktų (pvz., YubiKey), kurių neįmanoma pavogti per AiTM proxy svetaines.

RMM kontrolė: Sudarykite griežtus leidžiamų nuotolinio valdymo įrankių sąrašus (Allowlists). Viskas, kas nėra patvirtinta IT skyriaus, turi būti blokuojama akimirksniu.

Griežčiausių teisių principas (Least Privilege): Ribokite servisų paskyrų galiojimo laiką ir teises. Jei paskyrai nereikia administratoriaus teisių 24/7, ji jų ir neturi turėti.

Edukacija prieš „ClickFix“: Paaiškinkite darbuotojams, kad joks legalus puslapis niekada neprašys jų nukopijuoti kodo ir įklijuoti jo į „PowerShell“ ar „Command Prompt“.

Kibernetinis saugumas šiandien nėra apie tai, kas turi geresnį AI algoritmą. Tai apie higieną, matomumą ir supratimą, kad jūsų darbuotojo tapatybė šiuo metu yra svarbiausia jūsų gynybos linija. Saugokite ją.