Peaaegu kõigis kaasaegsete rikkkumiste kajastustes mainitakse väljendit küberründe pind või mõnd sellele sarnanevat fraasi. Selle mõistmine on keskse tähtsusega, et aru saada kuidas rünnakud toimivad ja kus on organisatsioonid kõige enam ohustatud. Pandeemia ajal on ründepind kasvanud suuremaks ja kiiremini kui kunagi varem. See on loonud oma probleemid. Kahjuks ei suuda organisatsioonid tänapäeval üha enam määratleda oma ründepinna tegelikku suurust ja keerukust – paljastades oma digitaalsed ja füüsilised varad ohuallikatele.
Õnneks saavad samad kaitsjad mõnda parimat tava rakendades parandada ka oma rünnakupinna nähtavust ja sellega koos ka paremat arusaamist sellest, mida on vaja selle vähendamiseks ja haldamiseks.
Mis on ettevõtte ründepind?
Baastasandil võib rünnakupinda määratleda kui organisatsiooni füüsilisi ja digitaalseid varasid, mida võidakse küberrünnaku hõlbustamiseks ohustada. Selle taga olevate ohuallikate lõppeesmärk võib olla mis tahes, alates lunavara levitamisest ja andmete varastamisest kuni masinate värbamiseni botnetti, pangatroojalaste allalaadimise või krüptokaevandamise pahavara paigaldamiseni. Lõpptulemus on järgmine: mida suurem on rünnakupind, seda suurem on ka sihtmärk, millele pahalased võivad pihta saada.
Vaatleme lähemalt kahte peamist ründepinna kategooriat:
Digitaalne ründepind
See kirjeldab kogu organisatsiooni võrku ühendatud riistvara, tarkvara ja sellega seotud komponente. Nende hulka kuuluvad:
Rakendused: Rakenduste haavatavused on tavalised ja võivad pakkuda ründajatele kasulikku sisenemisvõimalust kriitilistesse IT-süsteemidesse ja -andmetesse
Kood: Suureks ohuks on, et suur osa sellest koostatakse kolmandate osapoolte komponentidest, mis võivad sisaldada pahavara või haavatavusi.
Portid: Ründajad otsivad üha sagedamini avatud porte ja seda, kas mõni teenus kuulab konkreetset porti (nt TCP port 3389 RDP jaoks). Kui need teenused on valesti konfigureeritud või sisaldavad vigu, saab neid ära kasutada.
Serverid: Neid võidakse rünnata haavatavuste ärakasutamisega või üle ujutada DDoS-rünnakute käigus.
Veebilehed: Veel üks osa digitaalsest ründepinnast, millel on mitu ründevektorit, sealhulgas koodivead ja väärkonfigureerimine. Edukas kompromiteerimine võib viia veebi moonutamiseni või pahatahtliku koodi sisestamiseni drive-by- ja muude rünnakute jaoks (nt vormijälgimine).
Sertifikaadid: Organisatsioonid lasevad neil sageli aeguda, võimaldades ründajatel seda ära kasutada.
See ei ole kaugeltki ammendav loetelu. Digitaalse ründepinna ulatuse rõhutamiseks vaadake 2020. aasta uuringut FTSE 30 nimekirja kuuluvate ettevõtete kohta. Selles leiti:
- 324 aegunud sertifikaati
- 25 sertifikaati, mis kasutavad vananenud SHA-1 hashing-algoritmi.
- 743 võimalikku test lehekülge, mis on internetile avatud
- 385 ebaturvalist vormi, millest 28 kasutati autentimiseks
- 46 veebiraamistikku, milles on teadaolevad haavatavused
- 80 nüüdseks hääbunud PHP 5.x instantsi.
- 664 teadaolevate haavatavustega veebiserveri versiooni
Füüsiline ründepind
See hõlmab kõiki lõppseadmeid, millele ründaja võib “füüsiliselt” ligi pääseda, näiteks:
- Lauaarvutid
- Kõvakettad
- Sülearvutid
- Mobiiltelefonid/seadmed
- Mälupulgad
Samuti võib öelda, et töötajad on organisatsiooni füüsilise rünnakupinna oluline osa, kuna neid saab küberrünnaku käigus sotsiaalselt manipuleerida (andmepüük ja selle variatsioonid). Töötajate tekitvada ka vari IT-d, mis tähendab rakenduste ja seadmete lubamatut kasutamist töötajate poolt ettevõtte turvakontrollist kõrvalehoidmiseks. Neid heakskiiduta – ja sageli piisavalt turvamata – töövahendeid kasutades, võivad töötajad paljastada organisatsiooni täiendavatele ohtudele.
Kas ründepind muutub suuremaks?
Organisatsioonid on oma IT- ja digiressursse välja töötanud juba aastaid. Kuid pandeemia saabudes tehti massilisi investeeringuid, et toetada kaugtööd ja säilitada äritegevust turu äärmusliku ebakindluse ajal. See laiendas ründepinda mitmel ilmselgel viisil:
- Kaugtöö lõppseadmed (nt sülearvutid, lauaarvutid)
- Pilverakendused ja infrastruktuur
- Asjade interneti seadmed ja 5G
- Kolmandate osapoolte koodi kasutamine ja DevOps
- Kaugtöö infrastruktuur (VPN, RDP jne)
Ei ole tagasiteed. Ekspertide sõnul on paljud ettevõtted ületanud digitaalse murdepunkti, mis muudab nende tegevust igaveseks. See on potentsiaalselt halb uudis rünnakute pinnale, sest see võib kutsuda:
- Phishing-rünnakud, mille puhul kasutatakse ära töötajate vähene turvateadlikkus
- Serverite, rakenduste ja muude süsteemide vastu suunatud pahavara ja haavatavuste ärakasutamine
- Varastatud või väljapressitud paroolid, mida kasutatakse loata sisselogimiseks
- Valede konfiguratsioon ärakasutamine (nt pilvekontode puhul)
- Varastatud veebisertifikaadid
… ja palju muud. Tegelikult on ohuallikate jaoks mängus sadu ründevektoreid, millest mõned on väga populaarsed. ESET leidis 2020. aasta jaanuarist kuni 2021. aasta juunini 71 miljardit kompromiteerimiskatset valesti konfigureeritud RDP kaudu.
Kuidas leevendada ründepinna riske
Ründepind on küberturvalisuse parimaks rakendamiseks väga oluline, sest selle suuruse mõistmine ja selle vähendamiseks või haldamiseks vajalike meetmete võtmine on esimene samm ennetava kaitse suunas. Siin on mõned näpunäited:
- Esiteks, mõistke rünnakupinna suurust varade ja inventari auditite, pen-testi, haavatavuse skaneerimise ja muu abil.
- Vähendage ründepinna suurust ja sellega seotud küberriski, kus saate seda teha läbi:
- Riskipõhine parandamine ja konfiguratsiooni haldamine
- Tööjaamade konsolideerimine, vanast riistvarast loobumine
- Tarkvara ja operatsioonisüsteemide ajakohastamine
- Võrkude segmenteerimine
- DevSecOps’i parimate tavade järgimine
- Pidev haavatavuse haldamine
- Tarneahela riskide maandamine
- Andmeturbemeetmed (st tugev krüpteerimine)
- Tugev identiteedi ja juurdepääsu haldamine
- Null usalduse lähenemisviisid
- Süsteemide pidev logimine ja järelevalve
- Kasutajate teadlikkuse tõstmise koolitusprogrammid
Ettevõtete IT-keskkond on pidevas muutumises – tänu VM-i, konteinerite ja mikroteenuste laialdasele kasutamisele ning töötajate ja uue riistvara ja tarkvara pidevale saabumisele ja lahkumisele. See tähendab, et kõik katsed hallata ja mõista ründepinda peavad toimuma paindlike, intelligentsete tööriistadega, mis töötavad reaalaja andmete põhjal. Nagu alati, peaksid “nähtavus ja kontroll” olema sellel teekonnal teie märksõnad.
