Kibernetski napadalci ne vdirajo več. Prijavijo se.

Domov » Blogi » Kibernetski napadalci ne vdirajo več. Prijavijo se.
Matevž Mesojednik Vodja varnostno operativnega centra (SOC)

Zloraba zaupanja postaja eden najpogostejših in izjemno učinkovitih vektorjev kibernetskih napadov. Namesto sofisticiranega in praviloma izsledljivega vdiranja se napadalci danes v informacijski sistem žrtve vse pogosteje zgolj prijavijo. Če lahko za nepooblaščeni dostop do ciljnega sistema uporabijo legitimno poverilnico ali obvod prek zaupanja vrednega partnerja, jim namreč tehničnih ranljivosti ni treba iskati.

Ko veljavna prijava postane grožnja

Kraja ali zloraba identitete je zato postala eden najučinkovitejših načinov izvedbe kibernetskih vdorov. Veljavna uporabniška prijava namreč vse prej kot izstopa ali nakazuje zametek kibernetskega napada. Kako bi, ko pa izvira z običajne lokacije, administrator pri tem uporablja znano orodje, napadalčeva skripta pa teče v kontekstu veljavnega uporabniškega računa? Takšne aktivnosti se pogosto zdijo povsem legitimne, predvsem pa pogoste in kot takšne del normalnega stanja sistema, zato jih klasični varnostni pristopi le stežka zaznajo ali preprečijo.

Napadalci se novi realnosti primerno prilagajajo. Namesto glasnih in očitnih zlonamernih tehnik uporabljajo pristope, ki se zlijejo z običajnostjo. Delujejo v delovnem času, posnemajo obstoječe poslovne procese, njihove tehnike pa sledijo utečenim praksam IT-administratorjev. V takem okolju ni več glavno vprašanje zlonamernosti, temveč ali je opaženo vedenje pričakovano glede na uporabnika, sistem in kontekst opazovane organizacije. Brez jasnega razumevanja tega konteksta je na takšno vprašanje skoraj nemogoče zanesljivo odgovoriti.

Tveganja, skrita v dobavni verigi

Pomemben del tveganja so tudi programske dobavne verige. Sodobne aplikacije temeljijo na številnih knjižnicah, paketih in zunanjih storitvah. Če je v takšnem ekosistemu kompromitiran zgolj en sam element, lahko to vpliva na tisoče organizacij. Programska komponenta, ki je do včeraj veljala za neoporečno, je lahko danes vstopni vektor napada, brez očitne spremembe delovanja ali vidnega opozorila.

Ničelno zaupanje ni dovolj

Koncept ničelnega zaupanja (angl. zero trust) uvaja pomembno spremembo v paradigmi, saj zmanjšuje implicitno zaupanje in uvaja strožje mehanizme nadzora dostopa. Kljub temu tudi ta pristop ne odpravi vseh varnostnih izzivov. Sam po sebi ne zazna »neobičajnega« ravnanja administratorja, saj v večini primerov ni jasno opredeljeno, kaj je »običajno« vedenje. Prav tako brez dodatne vidljivosti in kontekstualnih informacij ne prepozna zlorabe legitimnih integracij ali manipulacij v programski dobavni verigi. Zato je odločilno, da organizacije zaupanje ne le omejujejo, temveč ga tudi nenehno preverjajo in vrednotijo.

Umetna inteligenca lahko pri tem opravi glavni del naloge, saj pospeši analizo podatkov, razkriva povezave med dogodki in zmanjšuje količino nerelevantnih informacij. Ob tem pa moramo upoštevati, da jo s pridom uporabljajo tudi napadalci, zato je njena premišljena uporaba v kibernetski obrambi nujna. Kljub temu ne more v celoti nadomestiti človeške presoje. Sodobni kibernetski napadi niso zgolj tehnični izziv, temveč vključujejo tudi vedenjske vzorce, poslovne procese in specifične značilnosti posamezne organizacije. Razločevanje med legitimnimi in sumljivimi aktivnostmi zato zahteva poglobljeno razumevanje poslovnega okolja in konteksta, kar pogosto presega zmogljivosti same avtomatizacije.

Jakob Jozelj Sistemski inženir
Dogodek

Varnostno kopiranje v Kubernetes okolju: kaj, zakaj in s katerimi orodji

Kubernetes je danes standard za sodobne aplikacije, vendar zaščita podatkov v takem okolju zahteva drugačen pristop kot pri klasičnih virtualnih strežnikih. Aplikacije niso več vezane […]
Preberi več

Prihodnost je v preverjanju zaupanj

Zato postaja vse pomembnejši pristop upravljanega zaznavanja in odziva (angl. managed detection and response – MDR), ki temelji na partnerstvu in transparentnosti. Učinkovit MDR ni zgolj obdelava varnostnih opozoril, temveč poglobljeno razumevanje naročnikovega okolja, kritičnih sistemov, vedenjskih vzorcev uporabnikov, dobaviteljskih povezav in poslovanja.

Glavno vlogo pri tem ima transparentnost. Organizacije morajo razumeti, kako delujejo zaznave, kako potekajo varnostne preiskave in na podlagi česa se sprejemajo odločitve. Takšna vidljivost krepi sodelovanje z izbranim MDR-ponudnikom in omogoča učinkovitejši odziv. Prihodnost kibernetske varnosti zato ni v odpravi zaupanja, temveč v njegovem nenehnem preverjanju in utrjevanju.