5 zagrożeń dla dostępu zdalnego, cz. II

W poprzednim artykule przedstawiliśmy Ci 2 pierwsze zagrożenia dla dostępu zdalnego. Dziś pora na kontynuację. Z tego tekstu dowiesz się, jaki ryzyko niosą za sobą nieodpowiednie hasła, polityka BYOD (bring your own device) i korzystanie ze środowisk chmurowych. Sugerujemy też, jakie praktyki warto wdrożyć, by te ryzyka ograniczyć. Przyjemnej lektury!

3. NIEZABEZPIECZONE HASŁA

Fakty są druzgocące – używanie słabych haseł lub ich ponowne wykorzystywanie jest powszechną praktyką. Czasami nawet zapisujemy hasła na karteczkach. Nie trzeba mówić, że przez takie praktyki nasze dane są bardzo podatne na ataki.

Oczywiście, istnieje proces uwierzytelniania haseł. Mimo to uzyskanie dostępu do haseł może być bardzo proste. W 2020 r. hakerzy ukradli pół miliarda danych osobowych, co stanowiło gwałtowny wzrost o 126% w stosunku do 2019 r. Dlatego firmy potrzebują silnych polityk dotyczących haseł, które proaktywnie identyfikują wrażliwe konta użytkowników i blokują użycie słabych, podatnych na złamanie haseł.

Jak atakujący próbują otrzymać nasze hasło?

"Brute force” / Łamanie

Powszechnym sposobem uzyskiwania dostępu do haseł przez atakujących jest atak typu “brute force” lub łamanie haseł. Metody te wykorzystują oprogramowanie lub zautomatyzowane narzędzia do generowania miliardów haseł i wypróbowywania każdego z nich, aby uzyskać dostęp do konta i danych użytkownika, dopóki nie zostanie odkryte prawidłowe hasło.

Atak “brute force” to taki, w którym atakujący próbuje wszystkich kombinacji liter, cyfr i symboli zgodnie z regułami haseł, dopóki nie znajdzie tego, które działa. Dobra wiadomość: ataki te są zazwyczaj nieskuteczne, gdy są przeprowadzane „online” ze względu na zasady blokowania haseł, które ogólnie obowiązują. Zła wiadomość: ataki te często są niezauważone, jeśli atakujący uzyskał kopię pliku haseł systemowych lub pobrał zaszyfrowane hasła z bazy danych.

Gdy atakujący skopiuje jedno lub więcej hashowanych haseł (czyli takich, na których została wprowadzona funkcja matematyczna kodująca hasło do formy nieczytelnej), może bardzo łatwo określić rzeczywiste hasło. Taki atak znamy jako łamanie haseł offline.

Słabe hasła

Ponieważ użytkownicy muszą tworzyć własne hasła, to szansa, że sami z siebie utworzą bezpieczne hasło, jest nikła. Może to być spowodowane tym, że użytkownicy chcą mieć łatwe do zapamiętania hasło lub nie są na bieżąco z najlepszymi praktykami bezpieczeństwa haseł albo też używają wzorców do generowania haseł, takich jak imię i nazwisko lub data urodzenia.

Podczas gdy użytkownikom stosunkowo łatwo jest zapamiętać te wzorce lub hasła, cyberprzestępcy są również świadomi tych formuł, których ludzie używają do ich tworzenia. Tego rodzaju hasła zazwyczaj są podatne na kradzież. Dodatkowo często użytkownicy używają podobnych haseł w różnych sieciach i systemach, co również ułatwia hakerom atak. Jeśli bowiem użytkownik używa podobnych haseł na różnych platformach, atakujący może również uzyskać dostęp do jego danych na innych witrynach i sieciach.

Jak lepiej chronić się przed wyciekiem haseł?

Aby lepiej bronić się przed wyciekiem haseł, należy przede wszystkim chronić swoje urządzenia sprzętowe. Warto też rozwinąć rozsądek w sieci, aby zminimalizować narażenie na atak. Poniższe wskazówki są dobrym sposobem na rozpoczęcie.

• Zainstaluj wysokiej jakości oprogramowanie zabezpieczające Internet. Pamiętaj, aby uwzględnić proaktywną ochronę przed nowymi zagrożeniami, a nie tylko podstawową ochronę antywirusową.
• Stosuj poprawki bezpieczeństwa do systemu operacyjnego i aplikacji, gdy tylko zostaną wydane. Nie odkładaj tego na przyszłość. Aktywacja automatycznych aktualizacji oczywiście pomaga.
• Nie klikaj linków ani załączników w niechcianych wiadomościach. Zawsze najlepiej jest wpisać adres URL bezpośrednio w przeglądarce, aby uniknąć ryzyka przekierowania na stronę phishingową.
• Używaj unikalnych i silnych haseł. Oznacza to hasła łączące litery, cyfry i znaki specjalne, które składają się z co najmniej 8 znaków (najlepiej 15) i nie wykorzystują informacji osobistych (takich jak imię partnera lub zwierzaka) ani jakichkolwiek słów, które można znaleźć w słowniku.
• Niezwykle ważne jest, aby nie używać tego samego hasła do wielu kont. Jeśli firma doświadczy naruszenia danych, a Twój login i hasło zostaną naruszone, atakujący mogą użyć tych samych danych uwierzytelniających, aby włamać się na inne konta online.
• Jeśli trudno ci zapamiętać wiele złożonych haseł, warto rozważyć zainstalowanie menedżera haseł, który zapamięta je wszystkie. Wystarczy zapamiętać tylko jedno hasło główne. Alternatywnie, możesz zapisać hasła np. w formie kodu. Ale nie przechowuj ich w miejscu, w którym ktoś inny może je znaleźć, ani w tym samym miejscu co laptop, tablet lub smartfon. Jeśli zostaną zgubione lub skradzione razem, ktoś inny może mieć dostęp do wszystko, czego potrzebuje do kradzieży tożsamości online.
• Używaj uwierzytelniania dwuskładnikowego, jeśli jest dostępne. Coraz więcej dostawców usług online pomaga chronić konto, wymagając wprowadzenia unikalnego kodu, a także normalnego hasła (na przykład kodu wysłanego SMS-em na urządzenie mobilne).
• Obserwuj wszelkie podejrzane aktywności na swoich kontach i natychmiast kontaktuj się z dostawcami, jeśli zauważysz, że coś jest nie tak.

4. BYOD

Najważniejsze zagrożenia związane z korzystaniem z opcji BYOD (Bring your own device – czyli przynieś swój własny sprzęt) są związane z bezpieczeństwem i ochroną firmy. Oto kilka przykładów.

„Odblokowane” telefony

Pracownicy znoszą zabezpieczania na swoich telefonach, aby uzyskać dostęp w procesie znanym jako „odblokowanie” lub jailbroken.
Niestety, gdy użytkownicy usuwają ograniczenia nałożone przez producentów telefonów komórkowych, często eliminują bezpieczeństwa zaprojektowane w celu ochrony ich urządzeń przed uszkodzeniami.

„Nienadążanie” za aktualizacjami zabezpieczeń

Wiele osób rezygnuje z aktualizowania swoich urządzeń mobilnych z nowym oprogramowaniem i aktualizacjami zabezpieczeń, ponieważ nie lubią zmian, jakie wprowadza to do ich telefonów. To sprawia, że telefony są podatne na ataki z zewnątrz lub złośliwe oprogramowanie.

Kradzież telefonu

Plusem telefonów jest to, że są kompaktowe i łatwe w transporcie, a minusem... że są kompaktowe i łatwe w transporcie, dlatego właśnie bardzo łatwo je zgubić. Jeżeli więc pracownik nie ma blokady ekranu na swoim urządzeniu mobilnym lub hasła, które pozwala mu wejść, firmowa aplikacja mobilna może łatwo wpaść w niepowołane ręce.
Istnieje również wiele niezamierzonych wypadków, które mogą wystąpić i zagrozić bezpieczeństwu firmowej aplikacji mobilnej. Przykładowo pracownik może przypadkiem załadować poufne informacje do jednej ze swoich kont w mediach społecznościowych.

Co powinna zrobić firma, by się chronić?

Trend BYOD będzie nadal wzrastał, więc firmy muszą wdrożyć strategie mające na celu złagodzenie związanego z nim ryzyka.

Oto 10 najważniejszych zaleceń dotyczących programu BYOD:

Nie każdy pracownik potrzebuje komercyjnego dostępu do swojego urządzenia. Pamiętaj, że więcej pracowników to większe ryzyko.

Zainstaluj oprogramowanie do zdalnego zarządzania urządzeniami mobilnymi na urządzeniach podwójnego zastosowania. Aby jak najlepiej chronić informacje, firmy mogą stosować szyfrowanie, hasła, zdalne wymazywanie i blokowanie po serii prób, ochronę przed złośliwym oprogramowaniem i lokalizatory urządzeń.

Wdrażaj zasady dotyczące urządzeń podwójnego zastosowania. Określ, kim są użytkownicy i kto się kwalifikuje do korzystania z BYOD. Zainstaluj techniczne/chronione formy zabezpieczeń dla ograniczenia użytkowania, dostępu, monitorowania, usuwania, zgłaszania utraty lub kradzieży oraz określ, kto jest odpowiedzialny za konserwację.

Wymagaj zgody firmy na korzystanie do pracy z urządzeń osobistych. Ma to kluczowe znaczenie dla ochrony przed naruszeniem prywatności.

Ogranicz pracownikom możliwości korzystania z aplikacji chmurowych. Dropbox, SkyDrive i Dysk Google – to niektóre z popularnych aplikacji opartych na chmurze.

Upewnij się, że użytkowanie odbywa się w godzinach pracy objętymi umową.

Dopilnuj, by było jasne, że urządzenia BYOD nie mogą być współdzielone z przyjaciółmi lub rodziną.

Zapewnij odpowiednie szkolenia pracownikom korzystającym z urządzeń. Więcej szkoleń + więcej wiedzy = mniej narażenie na cyberzagrożenia.

Wdróż procedury reakcji na incydenty bezpieczeństwa. Określ, czy urządzenie jest zaszyfrowane, wyczyszczone i chronione bezpiecznym hasłem.

Przejrzyj proces rozmowy w sprawie zwolnienia. Pracownicy mogą posiadać na swoich na swoich urządzeniach informacje stanowiące tajemnicę handlową.

5. ŹLE SKONFIGUROWANE ŚRODOWISKA CHMUROWE

Z każdej strony docierają do nas wiadomości o atakach na źle skonfigurowane serwery chmurowe i wyciekach danych, które przestępcy z nich pozyskują. Błędy się zdarzają, ponieważ wszyscy jesteśmy ludźmi.

Oto najważniejsze zalecenia dotyczące bezpieczeństwa serwerów w chmurze:

Automatyzacja

Automatyzacja jest kluczowa, ponieważ ręczne kontrole są bardzo powolne. Automatyzacja aktualizacji eliminuje błędy ludzkie i opóźnienia spowodowane wąskimi gardłami roboczymi, dzięki czemu bezpieczeństwo jest na najwyższym poziomie.

Zautomatyzowane powinny być aktualizacje, a także kontrole bezpieczeństwa. Te drugie zawsze w oparciu o najlepsze praktyki. Automatyzacja usuwa element błędu ludzkiego i radykalnie zmniejsza okno podatności.

Bezpieczeństwo, zgodność i zarządzanie oparte na zasadach

Zespół ds. cyberbezpieczeństwa firmy powinien kodować wymogi bezpieczeństwa i zgodności z przepisami w bibliotece polityk bezpieczeństwa, które są stosowane jednolicie w całej organizacji. Ponieważ kontrole są przeprowadzane poprzez automatyczne porównywanie wszystkich z tymi zasadami, bezpieczeństwo jest osiągane w czasie rzeczywistym, a tym samym nie ma wąskiego gardła w punkcie kontroli bezpieczeństwa.

Te kontrole bezpieczeństwa powinny być zautomatyzowane, podobnie jak działania naprawcze. Wyjątki od wszelkich naruszeń bezpieczeństwa muszą być zarządzane zgodnie z dowolnym procesem wdrożonym przez organizację.

Wielochmurowość

AWS, Azure i Google Cloud dominują w branży chmurowej i każda z nich ma setki podobnych, ale nie identycznych usług w chmurze, z których każda musi być poprawnie skonfigurowana. Choć przykładowo AWS ma długą listę narzędzi bezpieczeństwa dostępnych do zakupu, to problem polega na tym, że koncentrują się one na usługach AWS. Nie zapewniają więc środków zaradczych (co jest obowiązkiem klienta), a liczne narzędzia komplikują bezpieczeństwo i utrudniają programistom ochronę ich mikroserwisów. Chociaż elastyczność oferowana przez chmurę jest potężna, wymagana jest ostrożność.

 

Poznałeś już 5 zagrożeń dla dostępu zdalnego. Jeśli chcesz o nich porozmawiać z product managerem Senhasegura, by dowiedzieć się, jak dzięki rozwiązaniu klasy PAM możesz im zapobiec, wypełnij poniższy formularz kontaktowy: