10 czerwca 2024

5 zagrożeń dla dostępu zdalnego, cz. II

W poprzednim artykule przedstawiliśmy Ci 2 pierwsze zagrożenia dla dostępu zdalnego. Dziś pora na kontynuację. Z tego tekstu dowiesz się, jaki ryzyko niosą za sobą nieodpowiednie hasła, polityka BYOD (bring your own device) i korzystanie ze środowisk chmurowych. Sugerujemy też, jakie praktyki warto wdrożyć, by te ryzyka ograniczyć. Przyjemnej lektury!

3. NIEZABEZPIECZONE HASŁA

Phishing

Fakty są druzgocące – używanie słabych haseł lub ich ponowne wykorzystywanie jest powszechną praktyką. Czasami nawet zapisujemy hasła na karteczkach. Nie trzeba mówić, że przez takie praktyki nasze dane są bardzo podatne na ataki.

Oczywiście, istnieje proces uwierzytelniania haseł. Mimo to uzyskanie dostępu do haseł może być bardzo proste. W 2020 r. hakerzy ukradli pół miliarda danych osobowych, co stanowiło gwałtowny wzrost o 126% w stosunku do 2019 r. Dlatego firmy potrzebują silnych polityk dotyczących haseł, które proaktywnie identyfikują wrażliwe konta użytkowników i blokują użycie słabych, podatnych na złamanie haseł.

Jak atakujący próbują otrzymać nasze hasło?

"Brute force” / Łamanie

Phishing

Powszechnym sposobem uzyskiwania dostępu do haseł przez atakujących jest atak typu “brute force” lub łamanie haseł. Metody te wykorzystują oprogramowanie lub zautomatyzowane narzędzia do generowania miliardów haseł i wypróbowywania każdego z nich, aby uzyskać dostęp do konta i danych użytkownika, dopóki nie zostanie odkryte prawidłowe hasło.

Atak “brute force” to taki, w którym atakujący próbuje wszystkich kombinacji liter, cyfr i symboli zgodnie z regułami haseł, dopóki nie znajdzie tego, które działa. Dobra wiadomość: ataki te są zazwyczaj nieskuteczne, gdy są przeprowadzane „online” ze względu na zasady blokowania haseł, które ogólnie obowiązują. Zła wiadomość: ataki te często są niezauważone, jeśli atakujący uzyskał kopię pliku haseł systemowych lub pobrał zaszyfrowane hasła z bazy danych.

Gdy atakujący skopiuje jedno lub więcej hashowanych haseł (czyli takich, na których została wprowadzona funkcja matematyczna kodująca hasło do formy nieczytelnej), może bardzo łatwo określić rzeczywiste hasło. Taki atak znamy jako łamanie haseł offline.

Słabe hasła

Phishing

Ponieważ użytkownicy muszą tworzyć własne hasła, to szansa, że sami z siebie utworzą bezpieczne hasło, jest nikła. Może to być spowodowane tym, że użytkownicy chcą mieć łatwe do zapamiętania hasło lub nie są na bieżąco z najlepszymi praktykami bezpieczeństwa haseł albo też używają wzorców do generowania haseł, takich jak imię i nazwisko lub data urodzenia.

Podczas gdy użytkownikom stosunkowo łatwo jest zapamiętać te wzorce lub hasła, cyberprzestępcy są również świadomi tych formuł, których ludzie używają do ich tworzenia. Tego rodzaju hasła zazwyczaj są podatne na kradzież. Dodatkowo często użytkownicy używają podobnych haseł w różnych sieciach i systemach, co również ułatwia hakerom atak. Jeśli bowiem użytkownik używa podobnych haseł na różnych platformach, atakujący może również uzyskać dostęp do jego danych na innych witrynach i sieciach.

Jak lepiej chronić się przed wyciekiem haseł?

Aby lepiej bronić się przed wyciekiem haseł, należy przede wszystkim chronić swoje urządzenia sprzętowe. Warto też rozwinąć rozsądek w sieci, aby zminimalizować narażenie na atak. Poniższe wskazówki są dobrym sposobem na rozpoczęcie.

  • Zainstaluj wysokiej jakości oprogramowanie zabezpieczające Internet. Pamiętaj, aby uwzględnić proaktywną ochronę przed nowymi zagrożeniami, a nie tylko podstawową ochronę antywirusową.
  • Stosuj poprawki bezpieczeństwa do systemu operacyjnego i aplikacji, gdy tylko zostaną wydane. Nie odkładaj tego na przyszłość. Aktywacja automatycznych aktualizacji oczywiście pomaga.
  • Nie klikaj linków ani załączników w niechcianych wiadomościach. Zawsze najlepiej jest wpisać adres URL bezpośrednio w przeglądarce, aby uniknąć ryzyka przekierowania na stronę phishingową.
  • Używaj unikalnych i silnych haseł. Oznacza to hasła łączące litery, cyfry i znaki specjalne, które składają się z co najmniej 8 znaków (najlepiej 15) i nie wykorzystują informacji osobistych (takich jak imię partnera lub zwierzaka) ani jakichkolwiek słów, które można znaleźć w słowniku.
  • Niezwykle ważne jest, aby nie używać tego samego hasła do wielu kont. Jeśli firma doświadczy naruszenia danych, a Twój login i hasło zostaną naruszone, atakujący mogą użyć tych samych danych uwierzytelniających, aby włamać się na inne konta online.
  • Jeśli trudno ci zapamiętać wiele złożonych haseł, warto rozważyć zainstalowanie menedżera haseł, który zapamięta je wszystkie. Wystarczy zapamiętać tylko jedno hasło główne. Alternatywnie, możesz zapisać hasła np. w formie kodu. Ale nie przechowuj ich w miejscu, w którym ktoś inny może je znaleźć, ani w tym samym miejscu co laptop, tablet lub smartfon. Jeśli zostaną zgubione lub skradzione razem, ktoś inny może mieć dostęp do wszystko, czego potrzebuje do kradzieży tożsamości online.
  • Używaj uwierzytelniania dwuskładnikowego, jeśli jest dostępne. Coraz więcej dostawców usług online pomaga chronić konto, wymagając wprowadzenia unikalnego kodu, a także normalnego hasła (na przykład kodu wysłanego SMS-em na urządzenie mobilne).
  • Obserwuj wszelkie podejrzane aktywności na swoich kontach i natychmiast kontaktuj się z dostawcami, jeśli zauważysz, że coś jest nie tak.

4. BYOD

Phishing

Najważniejsze zagrożenia związane z korzystaniem z opcji BYOD (Bring your own device – czyli przynieś swój własny sprzęt) są związane z bezpieczeństwem i ochroną firmy. Oto kilka przykładów.

„Odblokowane” telefony

Pracownicy znoszą zabezpieczania na swoich telefonach, aby uzyskać dostęp w procesie znanym jako „odblokowanie” lub jailbroken.
Niestety, gdy użytkownicy usuwają ograniczenia nałożone przez producentów telefonów komórkowych, często eliminują bezpieczeństwa zaprojektowane w celu ochrony ich urządzeń przed uszkodzeniami.

„Nienadążanie” za aktualizacjami zabezpieczeń

Wiele osób rezygnuje z aktualizowania swoich urządzeń mobilnych z nowym oprogramowaniem i aktualizacjami zabezpieczeń, ponieważ nie lubią zmian, jakie wprowadza to do ich telefonów. To sprawia, że telefony są podatne na ataki z zewnątrz lub złośliwe oprogramowanie.

Kradzież telefonu

Plusem telefonów jest to, że są kompaktowe i łatwe w transporcie, a minusem... że są kompaktowe i łatwe w transporcie, dlatego właśnie bardzo łatwo je zgubić. Jeżeli więc pracownik nie ma blokady ekranu na swoim urządzeniu mobilnym lub hasła, które pozwala mu wejść, firmowa aplikacja mobilna może łatwo wpaść w niepowołane ręce.
Istnieje również wiele niezamierzonych wypadków, które mogą wystąpić i zagrozić bezpieczeństwu firmowej aplikacji mobilnej. Przykładowo pracownik może przypadkiem załadować poufne informacje do jednej ze swoich kont w mediach społecznościowych.

Co powinna zrobić firma, by się chronić?

Trend BYOD będzie nadal wzrastał, więc firmy muszą wdrożyć strategie mające na celu złagodzenie związanego z nim ryzyka.

Oto 10 najważniejszych zaleceń dotyczących programu BYOD:

Phishing

Nie każdy pracownik potrzebuje komercyjnego dostępu do swojego urządzenia. Pamiętaj, że więcej pracowników to większe ryzyko.

Phishing

Zainstaluj oprogramowanie do zdalnego zarządzania urządzeniami mobilnymi na urządzeniach podwójnego zastosowania. Aby jak najlepiej chronić informacje, firmy mogą stosować szyfrowanie, hasła, zdalne wymazywanie i blokowanie po serii prób, ochronę przed złośliwym oprogramowaniem i lokalizatory urządzeń.

Phishing

Wdrażaj zasady dotyczące urządzeń podwójnego zastosowania. Określ, kim są użytkownicy i kto się kwalifikuje do korzystania z BYOD. Zainstaluj techniczne/chronione formy zabezpieczeń dla ograniczenia użytkowania, dostępu, monitorowania, usuwania, zgłaszania utraty lub kradzieży oraz określ, kto jest odpowiedzialny za konserwację.

Phishing

Wymagaj zgody firmy na korzystanie do pracy z urządzeń osobistych. Ma to kluczowe znaczenie dla ochrony przed naruszeniem prywatności.

Phishing

Ogranicz pracownikom możliwości korzystania z aplikacji chmurowych. Dropbox, SkyDrive i Dysk Google – to niektóre z popularnych aplikacji opartych na chmurze.

Phishing

Upewnij się, że użytkowanie odbywa się w godzinach pracy objętymi umową.

Phishing

Dopilnuj, by było jasne, że urządzenia BYOD nie mogą być współdzielone z przyjaciółmi lub rodziną.

Phishing

Zapewnij odpowiednie szkolenia pracownikom korzystającym z urządzeń. Więcej szkoleń + więcej wiedzy = mniej narażenie na cyberzagrożenia.

Phishing

Wdróż procedury reakcji na incydenty bezpieczeństwa. Określ, czy urządzenie jest zaszyfrowane, wyczyszczone i chronione bezpiecznym hasłem.

Phishing

Przejrzyj proces rozmowy w sprawie zwolnienia. Pracownicy mogą posiadać na swoich na swoich urządzeniach informacje stanowiące tajemnicę handlową.

5. ŹLE SKONFIGUROWANE ŚRODOWISKA CHMUROWE

Phishing

Z każdej strony docierają do nas wiadomości o atakach na źle skonfigurowane serwery chmurowe i wyciekach danych, które przestępcy z nich pozyskują. Błędy się zdarzają, ponieważ wszyscy jesteśmy ludźmi.

Oto najważniejsze zalecenia dotyczące bezpieczeństwa serwerów w chmurze:

Automatyzacja

Automatyzacja jest kluczowa, ponieważ ręczne kontrole są bardzo powolne. Automatyzacja aktualizacji eliminuje błędy ludzkie i opóźnienia spowodowane wąskimi gardłami roboczymi, dzięki czemu bezpieczeństwo jest na najwyższym poziomie.

Zautomatyzowane powinny być aktualizacje, a także kontrole bezpieczeństwa. Te drugie zawsze w oparciu o najlepsze praktyki. Automatyzacja usuwa element błędu ludzkiego i radykalnie zmniejsza okno podatności.

Bezpieczeństwo, zgodność i zarządzanie oparte na zasadach

Zespół ds. cyberbezpieczeństwa firmy powinien kodować wymogi bezpieczeństwa i zgodności z przepisami w bibliotece polityk bezpieczeństwa, które są stosowane jednolicie w całej organizacji. Ponieważ kontrole są przeprowadzane poprzez automatyczne porównywanie wszystkich z tymi zasadami, bezpieczeństwo jest osiągane w czasie rzeczywistym, a tym samym nie ma wąskiego gardła w punkcie kontroli bezpieczeństwa.

Te kontrole bezpieczeństwa powinny być zautomatyzowane, podobnie jak działania naprawcze. Wyjątki od wszelkich naruszeń bezpieczeństwa muszą być zarządzane zgodnie z dowolnym procesem wdrożonym przez organizację.

Wielochmurowość

AWS, Azure i Google Cloud dominują w branży chmurowej i każda z nich ma setki podobnych, ale nie identycznych usług w chmurze, z których każda musi być poprawnie skonfigurowana. Choć przykładowo AWS ma długą listę narzędzi bezpieczeństwa dostępnych do zakupu, to problem polega na tym, że koncentrują się one na usługach AWS. Nie zapewniają więc środków zaradczych (co jest obowiązkiem klienta), a liczne narzędzia komplikują bezpieczeństwo i utrudniają programistom ochronę ich mikroserwisów. Chociaż elastyczność oferowana przez chmurę jest potężna, wymagana jest ostrożność.

 

Poznałeś już 5 zagrożeń dla dostępu zdalnego. Jeśli chcesz o nich porozmawiać z product managerem Senhasegura, by dowiedzieć się, jak dzięki rozwiązaniu klasy PAM możesz im zapobiec, wypełnij poniższy formularz kontaktowy:

warning
warning
warning
warning
Sprawdź, kto będzie administratorem Twoich danych (więcej)

Administratorem danych osobowych podanych powyżej jest DAGMA sp. z o.o. z siedzibą w Katowicach (40-478) przy ul. Pszczyńskiej 15. Podstawą prawną przetwarzania danych są art. 6 ust. 1 lit. a, b i f) RODO. Prawnie uzasadnionym interesem przetwarzania jest marketing bezpośredni towarów lub usług administratora danych lub producentów rozwiązań i usług znajdujących się w ofercie administratora. Wyrażenie zgody, wynikające z art. 6 ust. 1 lit a) RODO jest dobrowolne i brak zgody nie wpływa na wykonanie usługi. Podanie ww. danych na podstawie art. 6 ust. 1 lit. b) RODO jest także dobrowolne, ale konieczne do wykonania usługi. W przypadku generowania wersji testowych lub zakupu, podane wyżej dane będą przetwarzane przez producenta danego rozwiązania. Zostałem poinformowany o tym, że przysługuje mi prawo do sprzeciwu na przetwarzanie danych osobowych. Dodatkowo mam prawo dostępu do treści moich danych osobowych, ich sprostowania, usunięcia (Prawo do zapomnienia), ograniczenia przetwarzania, przenoszenia danych i wniesienia skargi do organu nadzorczego - Prezesa Urzędu Ochrony Danych. Podane wyżej dane, podane w celu wykonania usługi, będą przetwarzane do czasu wygaśnięcia lub rozwiązania umowy, której stroną jest Klient, a po jej zakończeniu do chwili zaspokojenia, wygaśnięcia lub przedawnienia roszczeń z tytułu tej umowy a w przypadku przetwarzania danych w celach marketingowych, do momentu wyrażenia sprzeciwu. DAGMA, na podstawie art. 37 RODO wyznacza Inspektora Ochrony Danych, wskazując następujące dane kontaktowe: Karolina Kraśniewska, adres e-mail: iod@dagma.pl. Dodatkowe informacje znajdują się w https://dagma.eu/pl/privacy.

Wyrażam zgodę na otrzymywanie informacji środkami komunikacji elektronicznej zawierających informacje handlowe w rozumieniu ustawy z dn. 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną od DAGMA sp. z o.o. z siedzibą w Katowicach (40-478), ul. Pszczyńska 15.

warning

Wyrażam zgodę na otrzymywanie telefonicznych połączeń przychodzących i/lub wiadomości SMS inicjowanych przez DAGMA sp. z o.o. z siedzibą w Katowicach (40-478), ul. Pszczyńska 15 w celach handlowych i marketingowych zgodnie z art. 172 ustawy prawo telekomunikacyjne.

warning
Łukasz Krysiak

Łukasz Krysiak
junior product manager Senhasegura

Masz pytania?
Skontaktuj się ze mną:
krysiak.l@dagma.pl
539 080 687