Zarządzanie ryzykiem cyberataku

password-704252

Nieuniknione ryzyko cyberataku trzeba zidentyfikować i odpowiednio nim zarządzać

Metody działania cyberprzestępców stale ewoluują, starając się wyprzedzić środki obrony, a paleta technik ataku na systemy informatyczne jest niezwykle bogata.
W praktyce można wyodrębnić kilka najpowszechniejszych metod działania cyberprzestępców. Niektóre z nich mogą być skuteczne jedynie w przypadku słabo zabezpieczonych systemów. Inne, choć mało skomplikowane, są niezwykle proste, a przy tym niezwykle skuteczne do zastosowania nawet w systemach lepiej zabezpieczonych.

Dwie najczęściej występujące metody ataku stanowią najpoważniejsze zagrożenie dla systemów, ze względu na swoją powszechność, trudność identyfikacji oraz ograniczoną możliwość ochrony i obrony przed nimi. Jest to użycie luki lub błędu w oprogramowaniu i wykorzystanie specjalistycznego programu wykorzystującego tę lukę, lub też wprowadzenie oprogramowania złośliwego. Błąd programu to wykonywanie operacji, która nie była ujęta w jego specyfikacji, lub też sytuacja, gdy program nie wykonuje czynności, do których go zaprojektowano. Źródłem błędów i luk w programach są programiści, którzy na skutek pomyłki, ale też świadomego działania, wprowadzają błąd lub lukę do tworzonego kodu. Błędy można podzielić na składniowe oraz logiczne. Pierwsze są stosunkowo łatwe do identyfikacji i eliminacji. Drugie mogą zostać zauważone dopiero podczas testowania – lub co gorsze – podczas eksploatacji oprogramowania.

Malware - oprogramowanie służące do popełniania czynów zabronionych

Oprogramowanie służące do popełniania czynów zabronionych to tzw. oprogramowanie złośliwe (ang. malware). Narzędzia tego typu występują jako autonomiczne lub zagnieżdżone (w celu ukrycia) w innym – nie budzącym podejrzeń programie. Efektem działania oprogramowania złośliwego może być: usunięcie lub zniszczenie danych, przejęcie kontroli nad systemem przez osobę nieupoważnioną poprzez utworzenie tzw. tylnych drzwi, dokonanie ataku na inny system, rozsyłanie spamu, kradzież danych, zablokowanie systemu czy wyświetlenie niepożądanych informacji na ekranie. Do oprogramowania złośliwego można zaliczyć między innymi: wirusy, robaki, makra oraz konie trojańskie.

Stuxnet – zagrożenie dla systemów sterowników przemysłowych

Dobitnym przykładem, często opisywanym w literaturze przedmiotu, jest robak stuxnet, którego celem jest atakowanie systemów sterowników przemysłowych. Do dziś jest to oprogramowanie uważane za najbardziej złośliwe i niebezpieczne do atakowania systemów przemysłowych. W pierwszej fazie swojego działania, robak rozprzestrzeniał się na inne komputery, przy wykorzystaniu luk w zabezpieczeniach, ukrywając przy tym swoją obecność. W kolejnej wyszukiwał komputer odpowiedzialny za monitorowanie sterowników systemów kontroli i uaktywniał swoje funkcje, które zmieniały parametry pracy urządzenia. System zainfekowany robakiem bezbłędnie rozpoznawał, że ma do czynienia ze sterownikiem sterującym procesem technologicznym i umiejętnie wykorzystywał aż cztery luki systemowe, co zapewniało dużą skuteczność działania. Choć robak był przeznaczony do ataków na systemy sterowania, jego kod źródłowy został opublikowany w sieci Internet, przez co powstały jego kolejne generacje, przystosowane do kolejnych ataków.

I Love You – zaraza poczty elektronicznej

Innym przykładem, oprogramowania złośliwego, które wyrządziło wiele szkód był robak o nazwie I Love You, który rozsyłał się przez pocztę e-mail, przez co w bardzo krótkim czasie zablokował tysiące serwerów pocztowych na świecie i w ciągu jednego dnia rozprzestrzenił się na 1,75 mln komputerów w USA i Europie. Bezpośrednio po zainfekowaniu systemu, za pomocą książki adresowej rozsyłał pocztę do następnych użytkowników wraz ze swoją kopią, podszywając się pod właściciela komputera. Odbiorca, który otrzymywał wiadomość, nie kontrolował jej, gdyż przybyła od znanego nadawcy, na co wskazywała nazwa adresata.

Sasser – skuteczna, choć niechciana blokada

Innym spektakularnym programem był robak Sasser, który wykorzystywał lukę w systemach operacyjnych Windows, powodując wielokrotne, samoczynne zamykanie się komputera. Jego działanie spowalniało także pracę sieci Internet, gdyż zaprojektowano go w taki sposób, aby nieustannie poszukiwał innych komputerów – potencjalnych ofiar infekcji. Jednym z wielu poszkodowanych stała się niemiecka poczta, której robak zablokował 300 tys. komputerów. W konsekwencji uniemożliwił wypłaty pieniędzy. Zainfekowane zostały również komputery Komisji Europejskiej, linii lotniczych British Airways oraz brytyjskiej Agencji ds. Morskich i Straży Przybrzeżnej. W USA przez kilka godzin zablokowane były systemy komputerowe 500 szpitali w Nowym Orleanie. W Waszyngtonie wystąpiły podobne problemy w służbie zdrowia.

DDos - skuteczny atak zdalny

Inną, nie mniej skuteczną metodą przeprowadzania ataku zdalnego jest atak odmowy usługi DDoS (ang. Distributed Denial of Service). Jej działanie opiera się na założeniu, że każdy system posiada ograniczone zasoby (pasma transmisyjnego lub sprzętu), których wyczerpanie skutkuje wystąpieniem odmowy usługi. Zasada realizacji tego typu ataków jest znana od dawna i była wykorzystywana także w tradycyjnych konfliktach zbrojnych. Polega ona na uzyskaniu jak największej przewagi liczebnej i dokonaniu jednoczesnego, zmasowanego ataku. Jeśli atakujący uderzy na przeciwnika z przewagą liczebną, ofiara nie ma szans na obronę. Ataki DDoS są bardzo popularną formą działania cyberprzestępców, gdyż nie wymagają skomplikowanej wiedzy od atakującego ani dużych zasobów finansowych. Są przy tym tak skuteczne, że nie wystarczy zablokowanie źródła ataku, zaś jedyną obroną jest odłączenie atakowanego serwera od sieci. Ataki typu DDoS prowadzone są z wielu adresów IP równocześnie, by ofiara nie była w stanie zablokować wszystkich źródeł. Głównym narzędziem służącym do przeprowadzenia ataku rozproszonego jest sieć zainfekowanych komputerów (tzw. zombie) tworzących rozproszoną sieć botnet. Termin ten powstał z połączenia słów bot – od słowa robot – oraz net, czyli sieć. Tworzenie sieci botnet jest w dużej mierze zautomatyzowana. Początkowo zostaje zainfekowany jeden komputer, który następnie skanuje sieć w poszukiwaniu słabo zabezpieczonych systemów, tworząc z nich tzw. węzeł sieci botnet. Następnie węzeł prowadzi kolejne poszukiwania komputerów i instaluje specjalistyczny program zarządzający, tzw. agent, który przejmuje kontrolę nad komputerem, tworząc z niego komputer zombie. Ponieważ proces pozyskiwania kolejnych komputerów – zombie jest automatyczny, w ciągu godziny może powstać sieć botnet, składająca się z kilku tysięcy maszyn. Sieć botnet ma budowę hierarchiczną, więc polecenie ataku zostaje rozesłane do innych węzłów, początkując rozbudowany atak nawet kilkuset tysięcy komputerów na wyznaczony cel.

Jednym z szeroko opisywanych przykładów ataków typu DDoS były wydarzenia w Estonii w 2007 roku, gdy państwo to padło ofiarą tego typu ataku. Przestały działać popularne usługi oparte na witrynach WWW – w tym bankowość elektroniczna oraz poczta e-mail, zaś społeczeństwo utraciło możliwość dostępu do wielu usług elektronicznych. Ataki te miały wpływ na funkcjonowanie społeczeństwa Estonii. W opublikowanym rok po ataku raporcie, estońskie Ministerstwo Obrony zaznaczyło, że ataki te miały podważyć funkcjonowanie publicznych i prywatnych systemów informacyjnych.
W 1999 roku, podczas wojny w Kosowie, przeprowadzono ataki typu DDoS na komputery NATO, zaś rządowe i wojskowe serwery amerykańskie stały się celem ataków w czasie wojny w Iraku.
Przykładem ataku typu DDoS były ataki na polskie strony rządowe w styczniu 2012 roku, gdzie koordynatorami były wyspecjalizowane grupy cyberprzestępców. Atak był protestem związanym z propozycją wprowadzenia przez rząd międzynarodowego porozumienia ACTA (ang. Anti-Counterfeiting Trade Agreement). W konsekwencji, czasowo niedostępne były serwisy m.in. Kancelarii Premiera, Sejmu czy Ministerstwa Kultury. Dodatkowym obciążeniem dla witryn rządowych byli również nieświadomi użytkownicy Internetu, którzy słysząc doniesienia medialne, próbowali sprawdzić działanie stron i tym samym dodatkowo przyczynili się do wyczerpania dostępnych zasobów serwerów, które nie były przygotowane na tak duże obciążenie. Choć w praktyce atak na polskie strony rządowe nie stanowił realnego zagrożenia dla bezpieczeństwa państwa, to jednak ataki tego typu nie mogą być lekceważone, zaś sytuacja ta uświadomiła znaczenie bezpieczeństwa cybernetycznego. Konsekwencją ataku był szeroki rozdźwięk w mediach, który niewątpliwie stanowił problem wizerunkowy, który podważył zaufanie części społeczeństwa do organów państwa.

Każda organizacja narażona jest na ryzyko cyberataków

Warto podkreślić, że istnieje wiele gotowych narzędzi służących do zautomatyzowanego generowania oprogramowania złośliwego oraz jego automatycznego rozpowszechniania. Podatność serwerów na ataki DDoS sprawia, że tego typu ataki pozostają skuteczną formą zastraszania, wyłudzeń oraz wywierania nacisku przez cyberprzestępców, zarówno na rządy państw, jak i na organizacje pozapaństwowe.
Skuteczność tych narzędzi wynika nie tylko z ich powszechnej dostępności, ale też z dużej wydajności – zwłaszcza jeśli chodzi o szybkość rozprzestrzeniania się infekcji. Dzięki temu, autorami oprogramowania złośliwego mogą być zarówno wysoko wykwalifikowani cyberprzestępcy, jak i osoby nie posiadające wysoce specjalistycznej wiedzy, a ataki DDos przeprowadzać mogą osoby o elementarnej wiedzy informatycznej. Dodatkowym utrudnieniem w ochronie własnych zasobów jest stosowanie przez cyberprzestępców wielu technik modyfikacji, co utrudnia rozpoznawanie zagrożeń.
Stąd ważne jest, by organizacje, które przenoszą do sieci znaczną część swojej logiki biznesowej, uwzględniały ryzyko cyberataków i odpowiednio tym ryzykiem zarządzały, ponieważ stałym celem atakujących są zarówno instytucje państwowe, jak i banki, serwisy transakcyjne, aukcyjne, sklepy internetowe, a także witryny administracji publicznej, udostępniające usługi dla ludności.

 

KSZTAŁCENIE USTAWICZNE

 

bannerek_na_prawa_biblioteka

WYDANIA PAPIEROWE

okladki_portal