În ultima perioadă, amenințările provenite din mediul cibernetic au evoluat, aspect confirmat atât de numărul ridicat de atacuri cibernetice, cât și de complexitatea metodelor utilizate. În prezent, spaţiul cibernetic se află într-o continuă expansiune, nivelul amenințării fiind direct proporţional cu această evoluţie. Mediul actual de securitate cibernetică este caracterizat prin asimetrie și incertitudine, lista ameninţărilor fiind formată din cele mai variate tipuri de actori și metode.
Colectarea datelor şi informaţiilor
În acest context, datele şi informaţiile colectate din mediul online sunt analizate şi pot fi utilizate de infractori atât pentru identificarea vulnerabilităţilor de securitate cibernetică, cât şi pentru exploatarea lor cu succes în cadrul unor operaţiuni de spionaj cibernetic, fraude bancare şi atentate teroriste asupra unor infrastructuri IT&C cu valenţe critice pentru securitatea naţională.
Vulnerabilitatea de securitate cibernetică reprezintă un punct slab al unui software sau sistem IT&C, pe care un atacator îl poate exploata pentru a compromite confidenţialitatea, disponibilitatea sau integritatea ţintei. Un exemplu este CVE (Common Vulnerabilities and Exposures), o listă a codurilor atribuite fiecărei vulnerabilităţi identificate în programele informatice. Acestea sunt indexate într-o bază de date publică (cve.mitre.org), iar formatul acestora este CVE – anul apariţiei – numărul atribuit.
Adversarii din mediul cibernetic, fie că este vorba despre actori statali, criminali cibernetici motivaţi financiar sau entităţi motivate ideologic, utilizează spaţiul online pentru a colecta date şi informaţii pe care le exploatează în vederea atingerii scopurilor propuse. Printre cele mai importante informații care pot fi de interes pentru hackeri, regăsim vulnerabilitățile de securitate cibernetică, care ar putea fi utilizate în personalizarea unor aplicații malware cu șanse ridicate de reușită sau vulnerabilitățile de natură umană, care pot fi utilizate pentru crearea unui conținut potrivit pentru activități de inginerie socială (tehnică de influenţare psihologică).
Rolul datelor şi informaţiilor în cyber kill chain
Pentru a avea o perspectivă cât mai descriptivă a modului de operare al actorilor cibernetici și implicit a importanței datelor pe care le deținem, putem apela la prezentarea modelului „cyber kill chain”, care reprezintă lista ordonată a fazelor unui atac cibernetic, de la etapa culegerii informațiilor necesare pentru realizarea unui atac, până la atingerea obiectivelor acestuia.
Prima etapă este colectarea datelor, un pas premergător derulării atacurilor cibernetice, denumită în termeni de specialitate „reconnaissance”. Acest proces constă în obţinerea unor date despre ţintă, precum tehnologiile şi infrastructura IT&C utilizată, domenii, adrese IP, adrese de e-mail şi date personale. În mare parte aceste date sunt obţinute prin scanarea claselor de IP pentru identificarea vulnerabilităţilor, prin atacuri cibernetice punctuale de complexitate redusă, dar şi prin intermediul social media.
Ulterior, atacatorii dezvoltă aplicaţia malware optimă pentru maximizarea șanselor de infectare a țintei, pe baza datelor obținute anterior, dar şi coroborat cu date despre vulnerabilităţi de securitate cibernetică disponibile pe website-uri de specialitate. Această etapă este cunoscută sub denumirea de „weaponization”.
Transmiterea aplicaţiei nelegitime se realizează în etapa numită „delivery”, atacatorii utilizând preponderent tehnica de spear-phishing, care constă în transmiterea către țintă a unor mesaje personalizate care conțin aplicația malware creată anterior. Pentru reuşita acestei etape, atacatorii apelează din nou la datele şi informaţiile despre organizaţia şi personalul vizat, colectate din mediul online, în cadrul etapei de „reconnaissance”.
Odată cu infectarea sistemului IT&C ţintă şi stabilirea unei conexiuni cu acesta prin intermediul unui server C&C (de comandă şi control), atacatorul îşi atinge scopul propus, care, în funcţie de situaţie, poate fi indisponibilizarea sistemului, furtul unor sume de bani sau extragerea unor informaţii.
Fiecare etapă necesită colectarea şi deţinerea unor date de interes despre ţintă pentru atingerea scopului final. În anumite cazuri, atacatorii cibernetici colectează informații pentru a obține acces la datele cu valențe strategice.
De real interes pentru atacatori sunt vulnerabilităţile de tip zero day, care, coroborate cu informații despre țintă obținute în etapa de „reconnaissance”, contribuie la atingerea obiectivelor. În toată această cursă de colectare a datelor şi informaţiilor despre vulnerabilităţi sunt implicate atât entităţi care au ca scop prevenirea materializării unor atacuri cibernetice, cât şi entităţi cu scopuri nelegitime.
Cum ne protejăm
Una dintre cele mai importante cauze care contribuie la menținerea unei rate ridicate de succes a atacatorilor este reprezentată de factorul uman care nu acordă suficientă atenţie protecţiei datelor pe care le deține și utilizează.
Situaţia este provocată de precaritatea sau chiar lipsa unei culturi de securitate cibernetică, în special în privinţa practicilor de autoprotecție din mediul online. Personalul unei organizaţii trebuie pregătit pentru a-şi forma un comportament profesional prudent în interacţiunea cu mediul online, deoarece acesta reprezintă primul zid de apărare împotriva ameninţărilor din spatele monitorului.
Revenind la primul pas al atacului cibernetic, etapa de „reconnaissance”, este recomandat ca utilizatorii să fie mult mai atenţi atunci când publică în mediul online datele personale sau ale organizaţiei din care fac parte, deoarece factorul uman rămâne cea mai mare vulnerabilitate de securitate cibernetică.
Abstract
Current cyber security environment is characterized by asymmetry and uncertainty. The list of threats include various types of actors and methods. Cyber space threat evolution is confirmed both by the high number of attacks and the complexity of the methods used. In this context, the data and information collected from online sources by cybercriminals can have a very important role in launching a cyber attack.
Autor: Viorel Sînpetru
1 comment
Salut!
Să zicem că particip la un concurs de creativitate, iar la final publicul este invitat să voteze lucrarea care îi place cel mai mult. Cel cu cele mai multe voturi câștigă.
Dacă reușesc să conving oameni cunoscuți sau necunoscuți să voteze lucrarea mea, pot numi acest lucru o exploatare a factorului uman?
Care este limita acestei exploatări(persuasiune – manipulare)?