U ovom članku, nešto opširnije nego obično, obrađujemo temu sajber bezbednosti iz perspektive sadašnjeg trenutka i u kontekstu opšteg stanja sajber napada na kompanije, globalno. U drugom delu teksta kontekst se sužava i na intralogistiku i oblast rukovanja materijalima ali ne previše jer sama tema je potpuno zajednička za celu poslovnu zajednicu, jednako su ciljevi preduzeća i visinom i širinom industrije, bila ona mala, srednja ili velika.
Male pukotine dovode do velikih isplata: sajber napadi su velika vest. Izveštaji o napadima na velike, poznate kompanije, državne institucije ili kancelarije lokalnih vlasti stalno su u dnevnim vestima. Za one koji malo pažljivije prate sajber bezbednost, ove vesti nisu novost ali ono što oni uočavaju je učestalost i na neki način prirodno skaliranje odnosno sve veće razmere posledica. Organski rast, praktično.
Na osnovu onoga što se prijavljuje, ne bi bilo nerazumno pretpostaviti da je sajber kriminal daleko veći problem za Volstrit nego za “Main Street” u smislu da su meta veliki entiteti a da mali nisu na udaru. Nažalost, to je daleko od istine. U blogu iz 2023. američka CISA (Cybersecurity and Infrastructure Security Agency) je izvestila da je tri puta veća verovatnoća da će mala preduzeća biti na meti aktera pretnji nego veće organizacije. A ovi SMB napadi predstavljaju milijarde dolara gubitaka svake godine. SMB ovde označava SMALL and MEDIUM BUSINESS.
To je ključni razlog zašto je toliko kompanija i institucija posvećeno istraživanju i objavljivanju najnovijih obaveštajnih podataka o pretnjama. S obzirom na to da mala i srednja preduzeća čine 80% globalne poslovne materije, ovde navedeni podaci predstavljaju pogled na pretnje koji je manje usredsređen na velike multinacionalne konglomerate, a više na preduzeća poput našeg Trasing-a.
Trasing Media Tim
Jul/Avgust 2024.
Najvažniji trendovi 2023: možda je najveći trend u pejzažu 2023. bilo ubrzanje. Istraživači pretnji primetili su povećanje obima napada širom sveta. Malver je skočio za 11% u odnosu na prethodnu godinu, sa šifrovanim pretnjama učestalijim za 117% i kriptodžekingom za 659%.
Zaključak je da se akteri pretnji 2023. drže isprobanih metoda. Iako bi se očekivalo da sve veći obim napada malvera i stalno visoki nivoi fišinga budu praćeni visokim stopama novog malvera, otkriveno je tačno suprotno od toga: detekcija novih malvera je zapravo pala za 38% u odnosu na godinu pre. No, to ne znači da akteri pretnji nisu usavršavali svoj zanat. Istraživači su, na primer, primetili pojavu Microsoft OneNote datoteka kao inicijalnog vektora pretnji, kao i masovne kampanje usmerene na ranjivosti u WinRAR-u i MOVEit-u.
Podaci su nastavili da odražavaju ranjivosti kao najčešći vektor ransomvera — i to će verovatno ostati slučaj kako broj ranjivosti nastavlja da raste. U 2023. objavljeno je rekordnih 28.834 CVE-a, što je povećanje od 15% u odnosu na broj iz 2022. godine. U decembru, SonicVall-ovi istraživači pretnji otkrili su CVE-2023-51467, ranjivost koja utiče na ApacheOFBiz. Od tada je primećen veliki broj pokušaja eksploatacije. (CVE je skraćenica od Common Vulnerabilities and Exposures što znači “uobičajene ranjivosti i izloženosti”. CVE je pojmovnik koji klasifikuje ranjivost. Registar (CVE) analizira ranjivost, a zatim koristi zajednički sistem bodovanja ranjivosti (CVSS) da proceni nivo ranjivosti pretnje ).
Uglavnom, kampanje su pokazale visoki nivo inovativnosti, najčešće u detaljima. Primećene su nove fišing (“phishing” je kada napadači šalju e-poruke (ili tekstualne poruke) koje sadrže linkove do zlonamernih veb lokacija sa zlonamernim softverom koji sabotira sisteme i organizacije) kampanje koje su dovele mete do veoma ubedljivih stranica za prijavu na Microsoft Outlook i American Ekpress, zajedno sa fišing kampanjama koje koriste QR kodove za zaobilaženje tehnologije skeniranja datoteka. Sajber-kriminalci su iskoristili inflaciju i neizvesne ekonomske uslove da lansiraju lažne aplikacije za kredite prepune funkcija špijunskog softvera i mogućnosti krađe akreditiva. A Guglove skripte ugrađene u PDF-ove bile su naoružane da izvrše krađu kriptovalute, što pokazuje potrebu za povećanom budnošću čak i u naizgled pouzdanim okruženjima.
Od malih i srednjih preduzeća do korporacija, danas i sutra: već gledamo u budući pejzaž opasnosti koji se prilično razlikuje od današnjeg, jer akteri pretnji nastavljaju da usvajaju ChatGPT i drugu generativnu AI tehnologiju kako bi poboljšali pokušaje krađe identiteta, izveli veoma ubedljive napade poslovne e-pošte (BEC – Business Email Compromise) i brzo ispisali zlonamerni kod. Ali AI takođe ima veliku ulogu za odbranbene snage. Rano usvajanje AI i mašinsko učenje pomaže u daleko efikasnijem otkrivanju ovih vrsta napada. Ali tek u narednim godinama, počećemo da uviđamo pravi potencijal AI kao odbrambenog alata.
MALVER - ZLONAMERNI PROGRAM
Najviše napada od 2019-e
U 2023, istraživači pretnji zabeležili su 6,06 milijardi napada zlonamernog softvera — što je povećanje od 11% u odnosu na 2022-u. Ovo je najveći globalni obim napada od 2019. godine, što ukazuje da se nivo zlonamernog softvera vratio na nivo pre pandemije jer akteri pretnji nastavljaju da postaju brojniji, snalažljiviji i aktivniji.
Globalni malver je u porastu, što je kombinacija dva suprotna trenda: zlonamerni softver u Aziji i Evropi je zapravo opao za 2%, ali je to nadoknadilo povećanje u Severnoj Americi (+15%) i LAT.AM (+30%).
Ovo odstupanje se pojavilo i u podacima specifičnim za industriju. Obrazovanje, u kojem je bilo daleko najviše napada u 2022. godini, palo je za 3% u 2023. Malver koji cilja zdravstvo i maloprodaju, s druge strane, porastao je za 20%, a napadi na vladina tela i institucije porasli su za 38%. Najteže su pogođeni klijenti u oblasti finansija — napadi na ova preduzeća su se udvostručili. Ovo povećanje je bilo dovoljno da finansije budu najteže pogođena industrija proučavana u 2023-oj, pomerivši se sa dna liste 2021-e i u sredini liste 2022-e godine.
Zlonamerne OneNote datoteke: početkom 2023. istraživači su primetili da akteri pretnji koriste novi početni vektor za zarazu sistema: korišćenje Microsoft OneNote datoteka. Ovi naoružani prilozi su se slali putem e-pošte, praćeni raznim tehnikama društvenog inženjeringa dizajniranim da maksimiziraju šanse da se prilozi otvore i da će meta kliknuti na skrivene datoteke unutra, pokrećući izvršenje.
Pošto su proizvođači bezbednosti brzo shvatili novu “igru”, počeli su da mere korisno opterećenje na osnovu tih priloženih datoteka. Zatim su se akteri pretnji okrenuli ka korišćenju URL-a koji bi, kada bi se kliknuo, ukazivao na korisni teret. U isto vreme, napadači su počeli da nadevaju svoj kod ponavljajućim nul-bajtovima na kraju OneNote datoteka, gurajući veličinu datoteke iznad 500 MB u pokušaju da zaobiđu mnoga rešenja za AV skeniranje.
Do marta, međutim, upotreba ovih datoteka je već počela dramatično da opada, verovatno zbog toga što je Microsoft objavio ažuriranje za Office koje je blokiralo otvaranje datoteka sa opasnim ekstenzijama u OneNote-u. Ali iako je ovaj trend bio kratkotrajan, bio je dovoljno raširen da zlonamerne OneNote datoteke učini najpopularnijim tipom zlonamernih Office datoteka za celu 2023-u.
Zlonamerni PDF-ovi su sveprisutni: korišćenje zlonamernih PDF-ova je dugo bila omiljena taktika aktera pretnji. Njihova upotreba se dramatično povećala 2023. godine, sa otprilike petine svih otkrivanja zlonamernih tipova datoteka na skoro trećinu – jasan znak da ova taktika nastavlja da uspeva. Kako su ovi napadi rasli, tako je rasla i inovacija, što je dovelo do stvaranja mnogih značajnih varijanti. SonicVall je primetio u 2023-oj nekoliko slučajeva PDF-ova koji sadrže QR kodove, sa jednim primerom koji je pretio korisniku da će isteći Microsoft lozinka ako meta ne uspe da skenira kod.
Drugi PDF je sadržao zlonamerni URL kreiran korišćenjem Google Script-a u pokušaju da se izbegne otkrivanje. Ova složena prevara dolazi u kompletu sa fabrikovanim zapisom o Bitcoin transakcijama i lažnim kajronom o „napretku rudarenja“, mameći mete da unesu finansijske informacije kako bi dobili svoja fiktivna sredstva.
Kao što smo videli prethodnih godina, akteri pretnji su otišli u ekstreme 2023. da bi replicirali dobro poznate i pouzdane brendove – i u tome su stalno sve bolji. Neki primeri uključuju zlonamerne PDF-ove koji se maskiraju kao iTunes priznanice, upozorenja o višestrukim pokušajima prijavljivanja na Vells Fargo nalog, pa čak i stranicu za prijavu na platformu za saradnju RingCentral.
②.①: Vrhunske taktike aktera pretnji
Prenosne izvršne (PE – Portable Executive) datoteke: PE datoteke su i dalje najčešće korišćene zbog jednostavnosti upotrebe, upotrebe opštih alata i lakoće izvršenja. U 2023-oj primećen je porast broja PE malvera napisanih u .NET-u. Verovatno zbog njegove pristupačnosti i bogate funkcionalnosti, vidi se da je većina PE malvera sada napisana u .NET-u, uključujući istaknute porodice malvera kao što su RedLine, AgentTesla i AsincRAT.
Srećom, PE malver su tipovi datoteka označeni crvenom zastavom, koji se temeljno ispituju zbog zlonamere. I dok neki autori zlonamernog softvera koriste datoteke skripta kao početne vektore za drugi malver ili pišu kompletan zlonamerni kod koristeći JavaScript, VBScript, PowerShell ili druge jezike, korisnici nekih rešenja poput SonicVall-a su zaštićeni: njihov RTDMI (Real Time Deep Memory Inspection) ima izuzetnu sposobnost emulacije skripte čime omogućava odlično otkrivanje zlonamernih skripti.
WinRAR nudi zicer za napadače : akteri pretnji počeli su da iskorišćavaju novu ranjivost u popularnoj Windows alatki za arhiviranje datoteka WinRAR početkom 2023. Do druge polovine godine, više porodica malvera za krađu — uključujući AgentTesla, Remcos, Rhadamanthis i Guloader — bilo je umešano u razne kampanje koje su iskorišćavale CVE- 2023-38831, koji omogućava napadačima da plasiraju kod unutar zip arhiva. Zbog široke upotrebe WinRAR-a u preduzećima, ove kampanje su se brzo proširile širom sveta, ciljajući na SAD, Bliski istok i Aziju. Sada su povezani sa hakerima iz Rusije i Kine koje sponzoriše država, uključujući Sandvorm, APT28, APT 30 i druge poznate grupe špijunskih hakera.
RANSOMVER*
*vrsta zlonamernog softvera dizajniranog da blokira pristup računarskom sistemu dok se ne isplati određena suma novca.
Sila na koju treba još uvek računati: ransomver pejzaž napada nastavio je da se razvija u 2023. Istraživači pretnji zabeležili su 317,6 miliona napada ransomvera, što je smanjenje od 36% u odnosu na prethodnu godinu ali je treći najveći ukupan broj ikada zabeležen. Ovaj trend se odrazio na nekoliko regiona: Severna Amerika i Evropa su zabeležile pad ransomvera za trećinu, a u LAT.AM-u napadi su pali za 52%.
Značajan izuzetak bila je Azija. Količina ransomvare-a dostigla je rekordan nivo u 2023. godini, popevši se na 17,5 miliona — što je povećanje od 1,627% u odnosu na 2019. Ovo povećanje je predvođeno napadima na finansijski sektor. U maju je grupa LockBit ransomver ukrala 15 miliona korisničkih zapisa i 1,5 terabajta internih podataka banke Siariah Indonesia. U novembru, Industrijska i komercijalna banka Kine (ICBC), najveća svetska banka po imovini, takođe je napadnuta od strane Lockbit-a. A prema izveštaju IDC-a objavljenom u septembru 2023., otprilike tri četvrtine preduzeća u Indiji je pogođeno ransomverom u 2022. – broj koji je verovatno nastavio da raste od tada.
“Najbolji” ransomver u 2023–oj je LockBit: hapšenje dva visoko pozicionirana člana nije nimalo umanjilo LockBitove brojeve: ostao je vodeća grupa ransomvera u 2023. To je verovatno zbog doslednih inovacija, kao što su programi za nagrađivanje grešaka za poboljšanje kvaliteta „proizvoda“, marketinški napori, i redovno izdavanje ažuriranih verzija kompleta alata sa poboljšanim mogućnostima (!!). Nakon curenja LockBit 3.0/„Black“, kompanija SonicVall je angažovala aktere pretnji, koji su potom zatražili zapanjujući otkup, evo par zanimljivih detalja:
LockBit 3.0, takođe poznat kao LockBit Black, je porodica ransomvera koja funkcioniše po modelu Ransomvare-as-a-Service (RaaS), gde kreatori sarađuju sa klijentima (hakerima) koji možda nemaju resurse za kreiranje i implementaciju napada (!). Porodica LockBit ransomvera poznata je po svom javnom prisustvu, jer je najavila svoje usluge u julu 2022. i čak ponudila program nagrađivanja za greške i novac pojedincima koji su istetovirali LockBit logo na svojim telima. Uprkos pažnji javnosti, LockBit je i dalje jedan od najrasprostranjenijih sojeva ransomvera, a u septembru 2022. procureo je identitet kreatora. SonicVall je uspeo da stupi u direktan kontakt sa master majnd-om (Gdin Korošev) koji je tražio neverovatnih 9,MIL $ dolara za dešifrovanje datoteke.
③.①: Zašto je danas važno?
Pod pretpostavkom da ne živite u jednoj od žarišnih tačaka ransomvera u porastu, koliko biste trebali biti zabrinuti zbog toga?
U jednoj od anketa iz 2023. kupci su pitani o tome koje vrste sajber napada ih najviše brinu. Još jednom, ransomver je na vrhu liste sa 83%, pobedivši fišing, šifrovane pretnje, malver bez fajlova, IoT napade i još toga. Uprkos smanjenju obima napada, među klijentima iz malih i srednjih preduzeća, verujemo da su ovi ispitanici u pravu kada ovako gradiraju svoj strah sproću vrsti napada.
Smanjenje od 36% zvuči kao mnogo — dok ne uzmete u obzir rast ransomvera između 2020. i 2022. Čak i nakon ovog pada, 2023. je i dalje imala dovoljno ransomvera da bude treća najveća godina u istoriji. I sa 27% više ransomvera u drugoj polovini 2023. nego u prvoj polovini, ransomver se kreće u pravcu koji neće poremetiti meteorske skokove iz 2021. i 2022. godine.
Kada proizvođači sajber bezbednosti mere ransomvere i druge pretnje, oni mogu da vide samo ono što se dešava u njihovom sopstvenom ekosistemu. Dok je SonicVall (sa svojim partnerom i bazom korisnika MSP-a) primetio pad broja ransomvera tokom 2023. godine, neki drugi dobavljači bezbednosti su zabeležili porast u istom periodu. Sa povećanim naporima za sprovođenje zakona koji čine svaki napad rizičnijim, a mala i srednja preduzeća više nisu baš „laka meta“ za aktere pretnji koji primenjuju napade u stilu SPRAY and PRAY (nasumično sejanje i potom čekanje), izgleda da dolazi do pomeranja ka manjem broju fokusiranijih napada sa većim potencijalom uspeha tj isplate.
Ali to ne znači da više nema lakih meta. Organizacije sve više premeštaju podatke i tokove posla u oblak (cloud), ali često ne obezbeđuju da ove instance imaju istu zaštitu kao on-premises pa nedovoljna bezbednost u oblaku može imati katastrofalne rezultate.
Takođe se još uvek vodi veliki broj ogromnih ransomver kampanja. Krajem maja 2023-e, primećeno je iskorišćavanje ranjivosti SQL-a u okviru MOVEit Transfer-a. Popularnost ovog alata za prenos datoteka i njegovo široko usvajanje u poslovnom svetu učinila ga je metom bande Cl0p ransomvera. Iskoristili su CVE-2023-34362 za sprovođenje napada na lanac snabdevanja koji je uticao na oko 2.000 organizacija u oblasti finansija, osiguranja, zdravstva, obrazovanja i vladinih organizacija, pri čemu je krađa podataka ugrozila više od 62 miliona ljudi.
Važno je napomenuti da su ove kampanje doprinele da isplate putem ransomver napada premaše milijardu dolara (1,MLRD $) po prvi put 2023. godine!
INTRUSIONS / UPADI
Pokušaji skočili za 20%
Ukupni pokušaji upada nastavili su da rastu u 2023. popevši se na 7,6 biliona (dakle ne 7,6 billion što bi značilo 7,6 milijardi već 7,6trillion što znači 7,6 biliona!), što je povećanje od 20% u odnosu na 2022. Otkako je počelo merenje 2013-e godine, broj pokušaja upada se povećava svake godine pa je tokom protekle decenije, broj upada porastao za 613%.
Takođe je došlo do porasta umerenih do visokih pogodaka, inače poznatih kao „zlonamerni upadi“. Ovi pokušaji upada porasli su na 11,3 milijardi u 2023. godini, što je povećanje od 6% u odnosu na prethodnu godinu.
Količina zlonamernih upada je takođe porasla u svakoj industriji pojedinačno. Umereni i visoki pogodci porasli su za 19% za korisnike u obrazovanju, 34% za maloprodajne korisnike, 36% za zdravstvo, 46% za vladina tela i 47% za finansije.
Šta je INTRUSION odnosno pokušaj upada?
Pokušaj zlonamernog upada je bezbednosni događaj u kome deluje prekršilac tj pokušava da dobije neovlašćen pristup sistemu ili resursu iskorišćavanjem ranjivosti. Dok eksploatacija neobjavljenih ranjivosti „nultog dana“(od početka rada nekog sistema) podiže najviše buke i priče, najčešće iskorišćene ranjivosti su generalno javne i objavljene kao CVE. Pa pošto se svi ne “zakrpe” istom brzinom, napadači imaju priliku da koriste nezakrpljeni softver ili uređaje kao ulaznu tačku u sistem.
ŠIFROVANE PRETNJE
Šifrovani napadi duplirani za godinu dana: 2023. registrovano je 15,7 miliona šifrovanih napada, više nego ikada. Prosečan godišnji rast je cca 117%. Dok je Severna Amerika zabeležila porast od 30%, trocifreni skokovi su u Evropi, Aziji i LAT.AM-u, gde su šifrovani napadi porasli za 182%, 462% i 527% respektivno.
Još oštriji porast je primećen u nekim industrijama koje smo proučavali – od kojih su sve doživele trocifrene skokove. Finansije su zabeležile najmanji porast: napadi na ove klijente su se „samo“ udvostručili. Ali zdravstvo (252%), obrazovanje (429%), vladina tela (629%) i maloprodaja (680%) svi su videli da su šifrovane pretnje naglo porasle u 2023.
Šta su šifrovane pretnje? Većina industrijskih analitičarskih firmi zaključuje da je između 80-90 procenata mrežnog saobraćaja danas šifrovano, što zahteva od vas da skenirate šifrovani saobraćaj ako želite da ga kontrolišete. Dok TLS (Transport Layer Security – TLS je bezbednosni protokol koji obezbeđuje privatnost i integritet podataka za Internet komunikaciju) pruža dodatnu sigurnost za veb sesije i internet komunikaciju, napadači sve više koriste ovaj protokol za šifrovanje, da sakriju malver, ransomver, napade nultog dana i još mnogo toga.
Nasleđenim (starim) zaštitnim zidovima (firewall) i drugim tradicionalnim bezbednosnim kontrolama nedostaju sposobnost ili procesorska snaga za otkrivanje, proveru i ublažavanje pretnji poslatih preko HTTPs saobraćaja, pa se ovo čini veoma uspešnim putem za aktere pretnji da implementiraju i izvrše napade.
CRIPTOJACKING / KRIPTODŽEKING
Zašto je opasan (i zašto raste)?
U prošlogodišnjim izveštajima o pretnjama, primetili smo zabrinjavajuću prekretnicu: broj pogodaka kriptodžekinga, koji je ostao prilično nizak otkako je započeto merenje 2018. godine, po prvi put je premašio 100.000.
Ali kako se ispostavlja, uspon kriptodžekinga je tek počeo. U 2023., broj pogodaka kriptodžekinga je do početka aprila prešao ukupan broj za celu godinu 2022. i nastavio da raste odatle. Do kraja godine, istraživači pretnji zabeležili su 1,06 milijardi kriptodžeking pogodaka – što je povećanje od 659% u odnosu na ukupne vrednosti iz 2022. Ovaj ukupan broj je bio podstaknut neviđenim obimom napada u novembru i decembru — od kojih je svaki imao više kriptodžacking pogodaka nego što je zabeleženo tokom cele godine 2022.
Veliki porast je takođe primećen u svim geo regionima. U APAC-u i LAT.AM-u, pogoci kriptodžekinga su porasli za 87%, odnosno 116%. Ali zaista velika povećanja zabeležena su u NO.AM-u (+596%) i Evropi (+1,046%).
⑥.①
Trenutni pravac kretanja Kriptodžekinga
U 2023. godini, velika većina kriptodžekinga ponovo je uključivala XSMRig (XSMRig je legitiman softver za rudarenje kriptovaluta otvorenog koda koji sajber kriminalci obično integrišu u svoje napade). Ovaj softver otvorenog koda je legitiman alat koji je lako dostupan na internetu – ali pošto je relativno jednostavan za korišćenje i konfigurisanje, često se zloupotrebljava. Dostupan je čak i početnicima u pretnji, ali takođe pruža put kroz koji napredniji korisnici mogu da modifikuju kod u pokušaju da izbegnu otkrivanje i ostvare profit.
XSMRig je često trojanizovan ili se ušunjao u druge pakete softvera ili reklamnog softvera. Širi se putem fišinga, malvertajzinga, ranjivosti, zlonamernih ispuštača, krekovanih softverskih aplikacija i još mnogo toga. Efikasan je i sposoban da rudari kriptovalutu Monero (poznatu i kao XSMR, a često i kripto izbor za sajber kriminalce zbog svojih karakteristika privatnosti) po relativno visokoj brzini bez trošenja prevelikih količina sistemskih resursa. Ali i dalje troši mnogo CPU-a dok rudari u pozadini — i to stalno.
Ovo se na kraju pokazuje skupim, kako u smislu produktivnosti, jer kriptodžeking može značajno usporiti aktivnosti koje nisu rudarske, tako i u smislu stvarnog novca: ne samo da žrtva plaća povećanu potrošnju energije, već će verovatno morati i da zameni uređaje koji se pregrevaju ili im je životni vek skraćen ovim procesima oporezivanja. Takođe je skupo i za životnu sredinu: samo od 2020. do 2021. rudarenje bitkoina je imalo isti ugljenični otisak kao upravljanje nad 190 gasnih elektrana ili sagorevanje 50,miliona tona uglja. Ukupna potrošnja energije iz ovih rudarskih aktivnosti premašuje potrošnju energije mnogih razvijenih zemalja.
Kripto rudarenje je rangirano među najštetnijim industrijama za životnu sredinu. Studija u Scientific Reports otkrila je da je od 2016. do 2021. svaki dolar vredan iskopanog bitkoina prouzrokovao klimatsku štetu od 35 centi.
Uprkos visokim troškovima rudarenja kriptovalute, kripto rudarenje nije nezakonito, a kriptodžeking se retko goni — iako se ovo može promeniti. U 2024. godini je već došlo do jednog hapšenja visokog profila, pošto je saradnja između Evropola, ukrajinskih organa za sprovođenje zakona i provajdera klaud servisa rezultirala hapšenjem osumnjičenog za koga se veruje da je ilegalno otkopao više od 2 miliona dolara u kriptovaluti.
Prema podacima SonicVall-a, pogodci kriptodžekinga činili su jednu šestinu svih pogodaka zlonamernog softvera u 2023.
⑥.②
RTDMI (Detekcija Duboke Memorije u Realnom Vremenu) detekcije premašuju 1,5 miliona
Nota: duboka memorija nije vrsta niti tip memorije već se odnosi na kvalitet i karakteristiku uzorkovanja prilikom vršenja provera. Konkretno, uzorci se prikupljaju konstantno velikom brzinom što daje na kvalitetu uzorka, time i provere koju vršimo.
Uprkos porastu kod većine tipova pretnji, inspekcijom duboke memorije u realnom vremenu (RTDMI) zabeleženo je znatno manje nikada ranije viđenih varijanti malvera u 2023: 387.000, što je smanjenje od 38% u odnosu na prethodnu godinu.
Uzeto uporedo sa rastućim malverom i uporno visokim nivoima „pecanja“, sintetišu se korisne informacije o stanju pretnji u 2023: akteri pretnji ipak ne usporavaju, već za sada pronalaze varijante koje funkcionišu i koriste ih više puta. Konkretno, u decembru je zabeleženo znatno manje novih varijanti nego inače, što je dalo na najniži nivo od avgusta 2020.
Da budemo jasni, još uvek se stvara mnogo novih varijanti zlonamernog softvera – preko 1000 nikada viđenih varijanti dnevno koje su korisnici u proseku imali u 2023.
RTDMI pojačava bezbednost akreditiva
Ali dok su akteri pretnji potrošili sadržaj iz 2023. jer su se oslonili na varijante koje daju rezultate, SonicVall je proveo isti vremenski period poboljšavajući alate i proizvode. Dodat je novi modul motora u RTDMI, što ga čini mnogo boljim u otkrivanju krađe akreditiva preko HTML-a.
„Nulti dan“ naspram „Nikada-pre-viđenih“ napada
„Napad nultog dana“ je jedan od najpoznatijih koncepata sajber-bezbednosti zbog njegove povezanosti sa napadima visokog profila. Ovi napadi su potpuno nove i nepoznate pretnje koje ciljaju na ranjivost nultog dana bez ikakve postojeće zaštite (kao što su zakrpe, ažuriranja, itd.) od onoga ko je dužan da je obezbedi: prodavca ili kompanije, dobavljača ili proizvođača..
Šta je zapravo nulti dan u sajber bezbednosti? Nulti dan (takođe poznat kao 0-dan) je ranjivost u softveru ili hardveru koja je obično nepoznata i samom proizvođaču i/ili dobavljaču i za koju nije dostupna zakrpa ili druga popravka. Odgovorno lice ima takođe nula dana da pripremi zakrpu jer je ranjivost već opisana ili iskorišćena. Uprkos cilju programera da isporuče proizvod koji radi u potpunosti kako je predviđeno, praktično i bukvalno svaki softver i hardver sadrže greške. Mnoge od njih narušavaju bezbednost sistema i stoga predstavljaju ranjivost. Iako su osnova samo malog broja sajber napada, nulti dani se smatraju opasnijim od poznatih ranjivosti jer postoji manje mogućih kontramera koje se mogu primeniti.
Nasuprot istraživanju “napada nultog dana”, ozbiljne bezbednosne agencije prate otkrivanje i rade na ublažavanju „nikada ranije viđenih napada“, što je dovelo do toga da se u 2023-oj identifikuje po prvi put digitalni potpis kao zlonameran. Ova otkrića su često blisko povezana sa obrascima napada nultog dana zbog obima napada koji se takođe analiziraju a potom i upoređuju da bi se došlo do ovih zaključaka..
ŠTA MOŽETE DA URADITE?
Prema onome što ste do sada pročitali u tekstu iznad, jasno vam je da ne možete izbeći da budete meta. Međutim, postoje radnje koje možete preduzeti da biste ojačali svoj ukupni pristup sajber bezbednosti:
- Omogućite višefaktorsku autentifikaciju (MFA – Multi Factor Authentication)
Omogućavanje MFA značajno poboljšava bezbednost autentifikacije — čak i ako neko dobije pristup vašim lozinkama, neće moći da pristupi vašim nalozima jer vi, korisnik, zahtevate drugu (pa potom možda i treću, četvrtu..) autentifikaciju.
- Patch (zakrpu) odmah postaviti
Dok ranjivosti “nultog dana” polako postaju poznate, svest o njima ima mali broj kako prestupnika tako i kompanija. Velika većina pokušaja eksploatacije cilja ranjivosti stare nekoliko meseci ili godina za koje već postoje “lekovi”: zakrpe, apdejtovi i sl. pa je ispravno reći da vi imate potpunu kontrolu u rukama. Ukoliko ste ažurni, napadači imaju male šanse protiv vas.
- Sprovedite redovne bezbednosne procene
One će vam pomoći da identifikujete ranjivosti, procenite rizike i proaktivno ojačate odbranu, obezbeđujući snažnu zaštitu od pretnji koje se razvijaju.
- Sprovođenje stalne obuke o bezbednosti
Kako tehnologija napreduje, tako raste i sajber bezbednost. Primenom osnovnih obuka i rutinskih praksi kao što je podsećanje zaposlenih da ne klikću na zlonamerne veze i obučavanje zaposlenih da identifikuju i prijavljuju potencijalne bezbednosne rizike — kompanije mogu da stvore obrazovaniju i budniju radnu snagu.
- Skenirajte šifrovani saobraćaj
Stručnjaci procenjuju da je 80-90 odsto ukupnog mrežnog saobraćaja danas šifrovano. Ali mnogim zastarelim zaštitnim zidovima nedostaju sposobnost ili procesorska moć da uopšte otkriju, pregledaju i ublaže sajber napade poslate preko HTTPs saobraćaja, a kamoli da koriste TLS 1.3 — tako da akteri pretnji rutinski koriste šifrovanje za postavljanje i izvršavanje malvera.
Važnost Sajber Bezbednosti za Skladišta i Distributivne Centre/ E:Importance of CyberSecurity Within the Distribution Centers
Sajber bezbednost je ključna za ove kompanije jer se sve više oslanjaju na digitalne tehnologije i međusobno povezane sisteme za upravljanje zalihama, automatizaciju procesa i optimizaciju operacija. Skladišta čuvaju velike količine osetljivih podataka, uključujući informacije o klijentima, evidenciju zaliha i finansijske transakcije, što ih čini privlačnim metama za sajber napade.
Narušavanje sajber bezbednosti može dovesti do ozbiljnih posledica, uključujući krađu podataka, finansijski gubitak, prekid rada i narušavanje reputacije. Hakeri mogu da iskoriste propuste u skladišnim sistemima da bi pristupili poverljivim informacijama, ometali operacije ili pokrenuli napade ransomvera, uzrokujući značajnu finansijsku štetu i ono najgore – gubitak reputacije .
Dalje, međusobno povezane mreže lanca snabdevanja povećavaju rizik od sajber pretnji koje se šire kroz više entiteta, potencijalno utičući na partnere, dobavljače i kupce. Kako skladišta usvajaju IoT uređaje, robotiku i rešenja zasnovana na klaudu, površina mete napada se širi, zahtevajući robusne mere sajber bezbednosti za zaštitu od potencijalnih pretnji.
Osiguranje sajber sigurnosti u svakom poslu je od suštinskog značaja, a integracija obuke o usklađenosti igra važnu ulogu u postizanju ovog cilja. Osposobljava zaposlene da identifikuju i rešavaju sajber pretnje, smanjujući ranjivosti usled ljudskih grešaka. Dodatno, obezbeđuje punu usklađenost sa najnovijim zakonima, minimizirajući pravne rizike i finansijske kazne. Ovo je ključno za skladišta jer sve više integrišu digitalnu tehnologiju.
Primena mera sajber bezbednosti kao što su šifrovanje, kontrola pristupa, segmentacija mreže i sistemi za otkrivanje upada je od značaja za zaštitu skladišnih sredstava i ublažavanje rizika. Redovne bezbednosne procene, programi obuke zaposlenih i planovi i simulacije reagovanja na incidente su kritične komponente sveobuhvatne strategije sajber bezbednosti u skladištu i srodnim sredinama poput distributivnog centra, fulfilment centra i t d.
Sajber Bezbednost i Sistemi Rukovanja Materijalima/ E:CyberSecurity Within the Material Handling System
Šta treba da znate u eri “interneta stvari” (IoT)
Predviđa se da će globalno tržište opreme za rukovanje materijalima dostići 156 milijardi dolara do 2026. godine. Taj porast investicija su projekti koji su: a) grinfild tj potpuno nove instalacije, b) zamena zastarele opreme i integracija i dodavanje novih elemenata u postojeće procese. U oba slučaja biće instalirana moderna oprema koja podrazumeva digitalnu transformaciju.
Kroz upravljanje i kontrolu odvija se živa komunikacija koja povezuje mnoge učesnike u intralogistici – od pojedinalnih komponenti do kompleksnih sklopova: senzore, transportere, sortere, automatizovane sisteme za skladištenje (AS/RS), robote i mnoštvo drugih automatizovanih i poluautomatskih sistema za rukovanje materijalima, i omogućava im da dele podatke preko Interneta i drugih komunikacionih mreža, te ih koriste za pretpostavke industrije 4.0 – prediktivno održavanje, efikasan rad (bez zastoja, bez grešaka, bez povreda, bez nepredvidivosti) i generalno i ultimativno – kreiranje odluka i sledova na osnovu obrade velikih brojeva podataka.
Posledično, opet dolazimo do onoga što smo više puta podvukli u ovom tekstu: sa povećanom digitalizacijom dolazi i do većeg rizika od incidenata u sajber bezbednosti, kao što je napad virusa, malvera ili ransomvera. U Sjedinjenim Državama, ransomver je prošle godine ciljao 14 od 16 kritičnih infrastrukturnih sektora, prema izveštaju Agencije za Sajber Bezbednost i Bezbednost Infrastrukture (CISA – The Cybersecurity and Infrastructure Security Agency), Federalnog istražnog biroa (FBI) i Agencije za nacionalnu bezbednost (NSA). Agencije primećuju da, iako su na meti bile organizacije svih veličina, kreatori ransomvera su se sve više udaljavali od velikih kompanija. Umesto toga, oni su preusmerili fokus na kompanije srednje i manje veličine koje obično imaju manje resursa za zaštitu od sajber napada pa je stoga logično očekivati da hakerski napadi daju bolje rezultate kod malih kompanija.
Iz ovih razloga je važno da se prakse sajber bezbednosti sistema za rukovanje materijalima formulišu bez odlaganja. Postoji nekoliko dobrih praksi u sajber bezbednosti za rukovanje materijalima:
Budite u toku sa ažuriranjima. Bez obzira da li nadograđujete ili implementirate potpuno novi sistem, primena zakrpa i ažuriranje softvera trebalo bi da bude sastavni deo preventivnog održavanja. Nemojte upasti u zamku „postavi i zaboravi“. Dizajneri ažuriraju softver kako bi se odbranili od najnovijih bezbednosnih povreda i zatvorili ranije neotkrivene tačke neovlašćenog pristupa. Neretko se ažuriranja izbegavaju iz straha od poremećaja tekućih operacija. Istina da se to može desiti, ali ako imate rezervnu kopiju svojih podataka (šifrovanih i uskladištenih van lokacije u klaudu), oporavak je osiguran uz minimalno vreme zastoja. Nasuprot tome, odlaganje ažuriranja ostavlja preveliki prostor za napad i ostaje samo pitanje slučajnosti – da li će vaša organizacija biti na udaru ovaj put. Uključite osobu zaduženu za IT u ovu priču, definišite njen radni zadatak prema bezbednosti.
Rutinski procenjujte starost vaših sistema i uređaja. Ne samo da ovo uključuje velike delove automatizovane opreme, već i male uređaje koji su integrisani u sistem. Tu spada automatska identifikacija i tehnologija prikupljanja podataka (AIDC), kao što su senzori, čitači bar kodova, kamere i skeneri, kao i uređaji poput programabilnih logičkih kontrolera (PLC), drajvova i još mnogo toga. Svi ovi elementi prenose podatke u realnom vremenu za IoT nadzor i komunikaciju. Oni mogu ili ne moraju imati ugrađeni firmver koji takođe zahteva ažuriranja. Ili su možda toliko stari da ih proizvođač originalne opreme (OEM) više ne podržava. Svaki scenario može povećati ranjivost operacije na sajber napad.
Proverite bezbednosne protokole vašeg dobavljača softvera. Pitajte ga o bezbednosnom testiranju, testiranju penetracije i bezbednosnim protokolima koji potvrđuju čvrstinu softvera. Takođe se raspitajte o analizi zakrpa i učestalosti ciklusa distribucije, kako će softver biti bezbedno integrisan sa bilo kojim postojećim operativnim softverom koji već postoji i koji stepen podrške će biti obezbeđen tokom instalacije i nakon puštanja u rad. Neki dobavljači softvera takođe nude ugovore o tekućem održavanju i podršci sa različitim modelima cena (godišnja naknada u odnosu na plaćanje po incidentu). Sve ove faktore treba razmotriti kroz sočivo sajber bezbednosti pre potpisivanja bilo kakvog ugovora.
Obučite osoblje da bude svesno pretnji. Kako fišing šeme postaju sve sofisticiranije i personalizovanije, svako ko ima adresu e-pošte u vašoj operaciji može postati žrtva (ne)namernog preuzimanja ili otvaranja datoteke sa zlonamernim sadržajem.
Budite pažljivi: u jednom od opisanih slučajeva napadač je stekao kontrolu nad mrežom tako što je ostavio neobeleženi fleš disk u jednoj od kancelarija. Zaposleni koji ništa ne sumnja, priključuje fleš na najbliži računar da vidi da li može da utvrdi kome pripada, oslobađajući tako virus, malver ili ransomver u mrežu. Obučavajte osoblje da bude svesno i ovakvih mogućnosti i da neretko napadi imaju svoj koren i početak u fizičkom svetu i odnosu među ljudima.
U Trasingu vodimo računa o sopstvenoj sajber bezbednosti onako kako to rade i druge male kompanije, svesno i odgovorno i u okviru mogućnosti i potreba.
Kada su u pitanju naši klijenti, njima u potpunosti ostavljamo na postupanje i odgovornost njihovo uređenje sajber bezbednosti. No, kada su u pitanju naši sistemi koji rade kod klijenata – tu pružamo pomoć nadzorom rada sistema tj monitoringom. Dakle, važno je tačno definisati – mi ne vršimo sajber zaštitu opreme ali samim monitoringom i uvidom u rad i parametre rada jednog sistema ili platforme, imamo mogućnost da ukažemo na potencijalne probleme u najkraćem roku.
Kako to funkcioniše? U pitanju je instalacija unutar elektro ormana čija primarna funkcija nije sajber zaštita već daljinski nadzor i upravljanje ali jedan od benefita je upravo i brza (trenutna) informacija o problemu u radu i potrebi da se problem identifikuje i reši:
VPN (Virtuelna Privatna Mreža) omogućava siguran i šifrovan pristup PLC (Programabilni Logički Kontroler) uređajima sa udaljene lokacije. Koristeći VPN i Ewon ruter, klijenti (kao i mi u Trasing-u) mogu bezbedno nadgledati i upravljati svojim industrijskim sistemima bez potrebe za fizičkim prisustvom. Ovo smanjuje troškove putovanja i održavanja, povećava efikasnost operacija i omogućava brzu reakciju na probleme. Takođe, VPN pristup pruža visoku zaštitu podataka, čime se sprečava neovlašćen pristup i potencijalni sajber napadi. Za nas kao isporučioca opreme, ovo donosi dodatne benefite kao što su smanjeno vreme za rešavanje problema, mogućnost pružanja daljinske podrške i održavanja, te povećanje zadovoljstva klijenata kroz brže i efikasnije usluge. Ovo takođe omogućava isporučiocu da optimizuje resurse i smanji operativne troškove.
Prema specifičnim potrebama klijenata i aplikacija koje se razvijaju za njih, u mogućnosti smo da pripremimo različite nivoe zaštite rada opreme. Pozovite nas, otpočnite sa nama komunikaciju o vašim idejama i potrebama a mi ćemo izaći u susret svom svojom stručnošću. Ukoliko vaše intralogističke potrebe prevazilaze naše mogućnosti, u komunikaciju i razvoj rešenja biće uključeni neki od naših evropskih tehnoloških partnera sa kojima imamo sjajne saradnje.
Osobe za inicijalni kontakt sa naše strane su:
Predrag Gligorijević, dipl.ing.mat. predrag@trasing.co.rs
Rade Đekić, dipl.ing.maš. djekic@trasing.co.rs
Priprema: Trasing Media Tim, Jul/Avg 2024