Uśmiechnij się, jesteś w ukrytej kamerze, czyli o decepcji

Cyberprzestępcy sięgają po coraz to nowsze metody włamywania się do zasobów wewnętrznych przedsiębiorstw. Na skalę zjawiska cyberprzestępczości niewątpliwie będzie miał wpływ nieustający rozwój sztucznej inteligencji. AI doprowadzi do automatyzacji ataków phishingowych i powstawania ich nowych wariantów, takich jak vishing (ang. voice phishing, ataki phishingowe przez telefon).

Co więcej, przestępcy sięgają też po bardziej zaawansowane metody, aby ingerować w struktury przedsiębiorstw, takie jak man-in-the-middle (MITM), spoofing lub Evil Twin. Szerokie możliwości hakerów powinny skłonić zarządy i kadry kierownicze przedsiębiorstw do ciągłej edukacji, śledzenia trendów oraz wdrażania nowoczesnych metod ochrony korporacyjnej infrastruktury sieciowej. Do takich należy decepcja.

Decepcja to technika podstępu, oszustwa i zwodzenia. W rękach przestępców przybiera formę wcześniej wspomnianych ataków phishingowych, czerpie też z metod socjotechnicznych i psychologicznych. W świecie rzeczywistym, tzw. „Metodę na wnuczka” lub rzekome włamanie się na konto bankowe można sklasyfikować jako decepcję. Jej cechami charakterystycznymi było wywieranie presji, wymuszanie jakichś akcji, np., wypłata pieniędzy z konta, pobranie aplikacji czy kliknięcie w link.

Na przeciwległym biegunie decepcja lub w świecie cyfrowym cyberdecepcja, to nic innego jak pułapka, którą stosuje się po to, aby zwabić do niej hakerów i tam ich obserwować lub unieszkodliwić.

Najbardziej znaną metodą jest honeypot (z ang. garnek lub beczułka miodu). Pełni rolę przynęty, która ma zwabić cyberprzestępcę w dane miejsce, np. do podstawionego panelu logowania do bazy danych. Haker prawdopodobnie zacznie robić rekonesans, sprawdzać, czy jest coś ciekawego, uruchamiać zapytania.

W fałszywej stacji roboczej intruz może przejrzeć systemy i z czym się łączą, próbować przejmować poświadczenia oraz zainstalować keyloggera do sczytywania haseł. W kolejnym kroku możliwe, że spróbuje stopniowo eskalować na kolejne segmenty sieci, próbując przy tym pozyskać kluczowe dane uwierzytelniające, które spreparowano na rzecz pułapki.

Honeypot niekoniecznie musi znajdować się w wewnątrz serwerów firmowych. Można go też umieścić w otwartym Internecie do monitorowania ruchu spoza sieci LAN. Takie działanie ma sens, gdy jednak obawiamy się wyjścia hakera poza podstawioną lokalizację wewnątrz infrastruktury przedsiębiorstwa.

Kilka honeypotów przyjmuje formę honeynetu, które połączone symulują całą fałszywą sieć, umożliwiając atakującym znalezienie podrobionych serwerów, routerów i zapór ogniowych. Są skonfigurowane tak, aby wydawały się atrakcyjne dla potencjalnych atakujących. Co ciekawe, honynet może być całkowicie wyizolowany od rzeczywistej infrastruktury produkcyjnej organizacji. Wówczas, zostaje zminimalizowane ryzyko ataku na rzeczywistą sieć korporacyjną.

Dzięki technikom honeynet oraz honeypot administratorzy sieci mogą śledzić działania hakera, dowiadywać się więcej o jego sposobie działania i odpowiednio dostosowywać oraz doskonalić strukturę obrony.

Kij ma dwa końce

Decepcja ma wiele zalet, ale może też wprowadzać niepotrzebne zamieszanie. Można ją porównać do czujki dymu, która fałszywie zadziała z powodu słabnącej baterii. Będzie piszczała i alarmowała. Podobnie może zdarzyć się z decepcją. W wewnętrznej strukturze firmowej na pułapkę natknie się nieświadomy niczego pracownik, a administrator dostanie powiadomienie o problemie. Oczywiście sytuację należy przeanalizować, aby sprawdzić czy działanie pracownika było nieumyślne lub celowe. Decepcja może ujawnić sabotażystę, który naruszył politykę bezpieczeństwa systemu, aby doprowadzić do nieuprawnionego ujawnienia poufnych danych.

Co więcej, w sytuacji, gdy pracownik odpowiedzialny za zarządzanie honeypotami odejdzie z firmy i nie pozostawi żadnej dokumentacji, inni administratorzy mogą odkryć dziwne rzeczy w sieci korporacyjnej. Zostaną niepotrzebnie zaalarmowani i odciągnięci od najbardziej potrzebnej pracy.

Decepcja to technologia dla firm, które na ten moment nie przewidują dużego budżetu na rozwój cyberbezpieczeństwa. W porównaniu do wdrożenia zarządzania dostępem uprzywilejowanym (PAM) lub zaawansowanego SIEM-a, jest opcją bardziej przystępną. Jednak, zarządy i kadry kierownicze firm powinny systematycznie zwiększać budżet na cyberbezpieczeństwo, ponieważ według szacunków Market Insights Statista globalne koszty z powodu cyberprzestępczości w ciągu najbliższych czterech lat wzrosną z 9,22 miliarda dolarów w 2024 r. do 13,82 miliardów dolarów w 2028 r.

Jak ma się sytuacja dla naszego rodzimego podwórka? Z raportu „Rzeczpospolitej” wspomnianego na samym początku wynika też, że podane statystyki są znacznie zaniżone. Niektórym firmom wstyd się przyznać, że stały się ofiarami ataku cybernetycznego. Inni nie wierzą w skuteczność organów ścigania, a jeszcze inni nie priorytetyzują rozwoju ochrony infrastruktury sieciowej. Jednak, trzeba pamiętać o jednej rzeczy. Świat cyfrowy jest niematerialny, ale słabe zabezpieczenia poufnych danych, informacji czy własności intelektualnej może prowadzić do utraty zaufania i reputacji w świecie materialnym.