Ta strona używa plików cookie w celu usprawnienia i ułatwienia dostępu do serwisu oraz prowadzenia danych statystycznych.
Dalsze korzystanie z tej witryny oznacza akceptację tego stanu rzeczy.

Polityka Prywatności - AKCEPTUJĘ
+48 509 465 074 akbit@akbit.pl

skaner podatności


Home Blog Acunetix Blog Acunetix

5 powodów, dla których bezpieczeństwo aplikacji web ma kluczowe znaczenie dla uniknięcia ataków ransomware

W ostatnich latach ataki ransomware były źródłem poważnych problemów dla organizacji na całym świecie. Zdając sobie sprawę z tej sytuacji, wiele firm postanowiło skoncentrować swoje wysiłki na ochronie przed tą klasą zagrożeń - nawet jeśli oznacza to przesunięcie budżetów z bezpieczeństwa aplikacji web. Niestety, oznacza to, że w rzeczywistości sprawiają, że ich systemy IT są mniej bezpieczne przed atakami ransomware.

Oto pięć powodów, dla których dbanie o bezpieczeństwo aplikacji web ma kluczowe znaczenie dla uniknięcia ataków ransomware.

Powód #1: Ransomware jest wynikiem, a nie atakiem

Ransomware to jeden z rodzajów złośliwego oprogramowanie dostarczanego przez udany atak - ale nie należy go mylić z samym atakiem.

Gdybyśmy porównali atak ransomware do zachorowania, złośliwy kod ransomware reprezentowałoby wirusa lub bakterię. W przypadku żywych organizmów, gdy wirusy lub bakterie dostaną się do organizmu, mogą się namnażać i infekować cały system, często ze śmiertelnym skutkiem. Tak samo jest z oprogramowaniem ransomware: gdy dostanie się do twoich systemów, może być za późno, aby go zatrzymać.

Na szczęście, podobnie jak bakterie i wirusy, tak ransomware nie może spontanicznie przenosić się z jednego hosta na drugi - trzeba go jakoś wprowadzić do systemu. W obu przypadkach lepiej zapobiegać niż leczyć, więc najskuteczniejsze środki obronne to te, które zapobiegają przedostawaniu się oprogramowania ransomware do systemów.

Podobnie jak w przypadku bakterii i wirusów, istnieje wiele sposobów rozprzestrzeniania oprogramowania ransomware. Na przykład wirus może być w powietrzu, więc można go złapać przez wdychanie lub może wymagać kontaktu fizycznego. Podobnie, ładunek ransomware może zostać dostarczony za pomocą phishingu i socjotechniki lub poprzez bezpośrednie wykorzystanie luk w zabezpieczeniach systemu. A ponieważ większość z nich będzie teraz lukami w zabezpieczeniach aplikacji web (patrz poniżej, aby dowiedzieć się, dlaczego), to właśnie tam powinna znajdować się pierwsza linia obrony.

Jedynym sposobem ochrony organizacji przed oprogramowaniem ransomware jest zapobieganie atakom, które mogą go dostarczać. Po wniknięciu ransomware do systemu jest już za późno.

Powód #2: Ransomware rozprzestrzenia się poprzez ataki z wykorzystaniem aplikacji web

Phishing i socjotechnika są uważane za najczęstsze sposoby dostarczania oprogramowania ransomware. Jednak powodzenie prób phishingu często zależy od typowych luk w zabezpieczeniach aplikacji web, takich jak cross-site scripting (XSS). Jeśli takie istnieją, osoby atakujące mogą przeprowadzać bardziej przekonujące ataki na użytkowników i pracowników, nadużywając ich zaufania do Twojej firmy i nazwy domeny.

Jak to możliwe? Załóżmy, że Twoja aplikacja internetowa ma lukę XSS, która umożliwia osobie atakującej wysłanie pracownikom wiadomości phishingowej zawierającej złośliwy adres URL z nazwą Twojej domeny. Po odwiedzeniu podatnej na ataki strony w Twojej witrynie, ofiara (jeden z uwierzytelnionych pracowników) jest automatycznie przekierowywana na złośliwą stronę, na której przeglądarka pobiera instalator ransomware. Czy uważasz, że żaden z twoich pracowników nigdy nie dałby się nabrać na taką sztuczkę? Przemyśl to jeszcze raz.

Co gorsza, atakujący mogą wykorzystać podatne na ataki Twoje aplikacje internetowe do atakowania partnerów biznesowych, klientów, a nawet ogółu społeczeństwa, co może oznaczać ujawnienie nieodpowiedniego poziomu zabezpieczeń i nieodwracalne podważenie reputacji Twojej firmy. Aby zminimalizować to ryzyko, należy upewnić się, że żadne witryny ani aplikacje działające pod nazwami Twoich domen nie mają takich luk XSS.

Luki w zabezpieczeniach Twoich witryn i aplikacji mogą umożliwić ataki phishingowe na Twoją organizację, partnerów, klientów, a nawet ogół społeczeństwa. Może to spowodować nieodwracalne szkody dla reputacji Twojej organizacji.

Powód #3: Biznes przenosi się do chmury – podobnie jak cyberprzestępcy

Jak wspomniano na początku, istnieje wiele sposobów dostarczania oprogramowania ransomware do systemu docelowego, a wiele z nich wykorzystuje istniejące podatności. Nie tak dawno temu najbardziej atrakcyjnymi podatnościami byłyby te w systemach lokalnych, na przykład problemy z bezpieczeństwem sieci spowodowane nieaktualnym oprogramowaniem lub błędną konfiguracją urządzenia. Wraz z napędzanym pandemią przejściem na pracę zdalną, sieci lokalne powoli przestają być głównym wektorem ataku.

Lokalne sieci i infrastruktury są zastępowane rozwiązaniami chmurowymi, które są całkowicie oparte na technologiach internetowych. Jeśli chodzi o bezpieczeństwo, przejście do chmury przekłada się na rosnące znaczenie luk w zabezpieczeniach aplikacji web. Problemy z bezpieczeństwem, które kiedyś były ograniczone do, powiedzmy, witryn marketingowych, mogą teraz wpływać na krytyczne systemy i dane biznesowe.

Twórcy ransomware również idą z duchem czasu. Wiedzą, że stara metoda wstrzyknięcia złośliwego oprogramowania, przeszukiwanie sieci lokalnej i infekowanie fizycznych komputerów stacjonarnych i serwerów może już nie działać. Ponieważ coraz więcej potencjalnych ofiar używa przeglądarek internetowych w celu dostępu do danych przechowywanych w chmurze, cyberprzestępcy idą w kierunku wykorzystywania podatności aplikacji web / chmury, aby dostać się do Twoich danych.

Większość organizacji albo już korzysta z chmury, albo przechodzi do niej, przez co zabezpieczanie sieci lokalnych staje się niemal przeżytkiem. Skupienie się na bezpieczeństwie sieci zamiast na bezpieczeństwie aplikacji web, w dzisiejszych czasach oznacza pozostawienie dziur, które wykorzystają atakujący.

Powód #4: Ofiary ransomware nie zgłaszają szczegółów ataku

Znalezienie niezawodnych sposobów obrony firmy przed oprogramowaniem ransomware może być szczególnie trudne, ponieważ organizacje, które padły ofiarą takiego ataku, zwykle nie udostępniają żadnych szczegółów. W większości przypadków po prostu wydają publiczne oświadczenie, że doświadczyli ataku ransomware (lub nawet po prostu cyberataku) - i nic więcej.

Powiedzmy wyraźnie, że takie zachowanie jest zrozumiałe z wielu powodów. Po pierwsze, organizacja może nie być w stanie znaleźć i naprawić określonej luki w zabezpieczeniach natychmiast po ataku. Po drugie, udostępnienie szczegółów wektora ataku może zostać uznane za narażające organizację na dodatkowe ataki. I wreszcie, wiele organizacji uważa, że przyznanie się do błędów w zabezpieczeniach zaszkodzi ich reputacji.

Uzasadnione lub nie, takie praktyki ostatecznie spowalniają rozwój skutecznych metod ochrony i mają ogólny negatywny wpływ na bezpieczeństwo IT na całym świecie. To trochę tak, jakby kraj został dotknięty śmiertelnym wirusem, ale nie podzielił się szczegółami na ten temat z powodów politycznych.

Wiele organizacji, odmawiając udostępnienia szczegółów wektorów ataku, użytych do skutecznego dostarczenia ransomware sprawia, że całej globalnej społeczności trudniej jest takich ataków uniknąć.

Powód #5: Doniesienia medialne koncentrują się na incydentach, a nie na rozwiązaniach

Luka informacyjna jest jeszcze gorsza, ponieważ nawet w rzadkich przypadkach, gdy znane są szczegóły ataku, media zazwyczaj pomijają takie informacje techniczne (i dotyczy to nie tylko oprogramowania ransomware). Zamiast tego media skupiają się wyłącznie na bardziej popularnych aspektach tej historii, takich jak wpływ ataku ransomware na biznes. Na przykład, aby dowiedzieć się, że incydent w Capital One z 2019 r. był spowodowany atakiem server-side request forgery (SSRF), trzeba by bardzo intensywnie używać wyszukiwarki, ponieważ większość źródeł medialnych nie zawierała tej kluczowej informacji.

Przy szeroko rozpowszechnionych zachowaniach mediów i biznesu, które nie robią nic, aby ransomware stało się mniejszym problemem dla firm na całym świecie, pocieszające jest, że część dużych przedsiębiorstw przestrzega najlepszych możliwych praktyk ujawniania incydentów. Cloudflare jest jednym z przykładów firmy, która regularnie ujawnia swoje incydenty bezpieczeństwa z imponującym poziomem szczegółowości, jak w przypadku ich poważnej awarii w 2019 r., spowodowanej błędem ludzkim podczas konfigurowania zapory aplikacji internetowej (WAF). Gdyby ofiary ransomware częściej stosowały podobne praktyki, wszyscy bylibyśmy w lepszej sytuacji.

Zdecydowanie zalecamy, aby media udostępniały wszystkie znane szczegóły ataków ransomware. Im więcej globalna społeczność wie o pierwszych krokach każdego ataku ransomware, tym większa szansa, że wszyscy będziemy umieli się ochronić przed podobnymi atakami w przyszłości.

Autor: Adam Kluska

Acunetix Web Vulnerability Scanner to zaawansowana aplikacja pozwalająca sprawdzać dowolną stronę i aplikację webową pod kątem występowania podatności i możliwości przeprowadzania specjalizowanych ataków.

Więcej

Kontakt

ul. Cybernetyki 10, 02-677 Warszawa, Polska

akbit@akbit.pl

+48 509 465 074