Kokios pastaruoju metu pastebimos kibernetinio saugumo grėsmės ir tendencijos? Kaip organizacijoms nedaryti klaidų ir apsisaugoti nuo esamų bei naujų grėsmių? Pranešime spaudai įžvalgomis dalijosi IT įmonės „Devbridge“ (priklausančios „Cognizant Softvision“ kompanijai) DevOps praktikų vadovas Marius Guobys.
Tradicinės duomenų vagystės
M. Guobys pabrėžia, nors ir kiekvienais metais kibernetinio saugumo srityje sulaukiame vis naujų siurprizų ir atrodytų, kad esame patyrę tikrai visko, tačiau vos atrėmus vienas grėsmes, jau pasirodo naujos ir dar daugiau iššūkių sukeliančios atakos.
„Grėsmių yra ganėtinai daug – niekur nedingo ir tradicinės duomenų vagystės „phishing“ (angl. terminas phishing kilęs nuo žodžių password fishing – slaptažodžių žvejyba), kai el. paštu ar netikrais interneto puslapiais yra bandoma pavogti vartotojų asmeninius duomenis, slaptažodžius ir pan. Bet turime ir kitų atakos pavyzdžių, kas ypač aktualu organizacijoms, kurios aktyviai vykdo veiklą debesijos srityje ir grindžia savo veiklos tęstinumą naudojantis debesijos sprendimais“, – vardija IT specialistas.
Debesijos sprendimų silpnųjų vietų paieška
Pasak IT įmonės atstovo, kibernetiniai nusikaltėliai ganėtinai aktyviai ieško spragų debesijos sprendimuose kaip, pavyzdžiui, netinkamai parinkta konfigūracija, kuri leidžia pasiekti duomenis saugykloje arba silpnai sukonfigūruota ugniasienė, netinkamai parinktas kriptografijos metodas ir t. t.
„Yra ganėtinai daug būdų kaip išnaudoti silpnas vietas kiekvieno debesijos infrastruktūroje. Vis tik reikia nepamiršti, kad nesiimant jokių veiksmų debesijos sprendimo tiekėjas tiesiog viskuo nepasirūpins už jus. Naujausiais duomenimis kibernetinių atakų skaičius, nukreiptų į debesijos sprendimus, per paskutiniuosius metus išaugo daugiau 150 proc. ir nėra numatoma, kad šie skaičiai greitai pradės mažėti, kadangi debesijos sprendimų populiarumas tik auga“, – akcentuoja praktikų vadovas.
Tiekimo grandinės atakos
Anot M. Guobio, kita grėsmė, kuri tapo itin aštria tema šiais metais yra nukreipta į organizacijas, kurios užsiima produktu kūrimu ir vienaip ar kitaip atlieka bent minimalius programavimo darbus. Ypač, kai yra naudojami atvirojo kodo sprendimai.
„Šiemet bent kelios saugumo sprendimų kompanijos atskleidė vadinamąsias tiekimo grandinės atakos (angl. Supply Chain attacks), kai kibernetiniai nusikaltėliai nebando tiesiogiai nulaužti jūsų produkto, ieškodami jame spragų, bet vietoje to, tas spragas jums pateikia. Tai veikia tokiu būdu, kai programavimo proceso metu iš ganėtinai žinomų šaltinių yra panaudojamos įvairios bibliotekos, kurios gali su savimi atsinešti ir pavojingą kodą. O tai gali, pavyzdžiui būti nukreipta su tikslu, vogti duomenis, rinkti statistiką ir pan. Paprastai programuotojai yra ganėtinai atsargūs ir supranta ką panaudoja, bet niekada negali būti tikras – kas iš tikrųjų slypi už kiekvienos atvirojo kodo bibliotekos, nes inžinieriai tiesiog fiziškai neturi tiek laiko, kad galėtų patikrinti kiekvieną kodo eilutę“, – pabrėžia „DevOps“ praktikų vadovas.
Prasta saugumo higiena
M. Guobio teigimu, ne mažiau aktuali grėsmė, išliekanti dėmesio centre kiekvienais metais – tiesiog prasta saugumo higiena kompanijose. Ją kasmet akcentuoja ir kibernetinio saugumo aktualijas pristatantis „OWASP“ Top dešimtuko reitingas, kuris skelbiamas kasmet.
„Deja, tačiau nedaugelis organizacijų iškelia saugumo klausimą aukščiau kitų tikslų – kaip naujojo produkto išleidimas. Kai yra nepaisoma jau žinomų saugumo skylių, kai yra prastai prižiūrimas IT ūkis – turima daug senų sistemų, kurios nebegauna saugumo atnaujinimų, kai yra, pavyzdžiui, pasenusios operacinės sistemos, nėra diegiami reguliarūs atnaujinimai, visa tai ilgainiui sukelia nemažai rūpesčių. Jeigu jau buvo sulaukta perspėjimų, kad yra kažkokios sisteminės problemos, kurias reikia sutvarkyti, to ignoruoti nederėtų. Tačiau tai gali užtikrinti tik IT saugos kultūros puoselėjimas organizacijoje ir darbuotojų edukacija. Juk nesaugiai laikomi slaptažodžiai ir prisijungimo duomenys bei kita svarbi informacija – visa tai yra lengvas taikinys kibernetiniams nusikaltėliams. O pasitelkiant socialinės medijos platformas galima išvilioti duomenis“, – pabrėžia IT įmonės atstovas.
Kaip išvengti grėsmių ir apsisaugoti?
M. Guobys pabrėžia, kad norint išvengti kibernetinių grėsmių, visų pirma, nereikėtų įmonėms pirkti ir griebti visus įmanomus įrankius. Dažniausiai pasitaikanti klaida, kurią daro IT organizacijos – tai sistemų ir produktų slėpimas po dešimtimis „spynų“ ir tikėjimas, kad jau galima jaustis saugiai.
„Pirmiausia reikia suprasti ir išsiaiškinti, kur jūsų organizacijoje yra galimos potencialios grėsmės. Tai galima atlikti patiems arba pasinaudoti išorinio saugumo audito pagalba. Kibernetinis saugumas yra sudėtingas procesas, todėl vieno atsakymo ar įrankio visiems atvejams, deja, nėra. Jeigu kalbame apie Debesijos sprendimus, kompanijoje „Devbridge“ mes, darbuojantis su klientais, taikome kelias praktikas. Vengiame rankinės konfigūracijos visur kur tik įmanoma. Automatizacija leidžia užtikrinti, jog tai, kas yra aprašyta automatizacijos kode ir yra tai, ką jūs turite debesijoje. Tačiau galima įvelti ir klaidų, taikant automatizaciją, todėl būtina atlikti ir papildomus skenavimus jūsų turimos debesijos infrastruktūros ir servisų vien tam, kad įsitikintumėte, jog nepalikote klaidų. Smagu, kad automatizacijos įrankiai sparčiai tobulėja ir kartais leidžia užbėgti už akių neleistinų konfigūracijų taikymui“, – įsitikinęs IT specialistas.
Būtina įvertinti įmonės saugos lygį
Anot M. Guobio, kai prieinama prie programavimo darbų, viena svarbiausių praktikų, kurią taikome yra ta, jog būtina užtikrinti, kad nesaugus kodas nepatektų į jūsų vystomą produktą. Šiam tikslui naudojami automatizuoti procesai ir įrankiai, kurie atlieka parašyto kodo saugos analizę, prieš išleidžiant tokį kodą į produkciją.
„Jeigu automatizuotas analizės procesas randa saugos spragą, toks kodas tiesiog nėra toliau praleidžiamas ir nepasiekia galutinio vartotojo. Čia yra daug mokamų ir nemokamų įrankių rinkoje, kurie padeda įvertinti tokį kodo saugos lygį. Na, ir žinoma, bendra saugos kultūra kompanijoje. Jeigu žmogus nenori kažko daryti ar jam yra nepatogu, jis tiesiog to nedarys. Mes visi puikiai pažįstame save ar kitus, kurie galbūt taip elgiasi. Tad jūsų įmonės IT saugos kultūra turi ne bausti, bet šviesti. Mes komandoje bent kelis kartus per metus organizuojame nedidelius seminarus ir supažindiname kolegas su egzistuojančiomis grėsmėmis ir kaip jų išvengti. Tuo pačiu įmonėse turėtų egzistuoti vadinamos saugos dienos, kai yra diegiami atnaujinimai į įvairias sistemas ir visi darbuotojai apie tai yra informuojami iš anksto. Tokiu būdu užtikrinamas pastovumas, nuolatinis saugumo palaikymas.
Būtina nepamiršti, kad ir IT sistemos sensta. Jeigu jūsų verslo sėkmė priklauso nuo to, kad kurjeriai galėtų išvežioti prekes klientams laiku ir transportas būtų patikimas, jūs juk neperkate 20 metų senumo transporto. Tokia pati taisyklė galioja ir IT pasaulyje – yra labai patogu laikyti seną operacinę sistemą, kuri uždirba pinigus, bet ignoruoti faktą, kad ji jau nebepalaikoma, nėra saugos atnaujinimų ir t.t. Bet jeigu vieną dieną egzistuojanti saugos spraga yra išnaudojama, jūs galite netekti ne tik operacinės sistemos, bet ir joje esančių duomenų, o tada jūsų verslas tiesiog sustos, o darbuotojai nebegalės dirbti. Tad IT saugos kultūra ir strategija yra kertinis pamatas visoms kibernetinio saugumo praktikoms. Svarbu, kad šios praktikos padėtų verslui augti, tobulėti darbuotojams ir visiems siekti naujų tikslų“, – akcentuoja „DevOps“ praktikų vadovas.