Najczęściej wygląda to tak, że atakujący stara się zdobyć dostęp do konta użytkownika niższego szczebla i stopniowo rozszerza jego przywileje. Próby zidentyfikowania rzeczywistego pracownika organizacji i złamanie jego hasła są procesem powolnym, który pozostawia w systemie ślady (np. wiele dodatkowo wygenerowanych logów jako efekt zautomatyzowanych ataków) i znacznie zwiększa ryzyko wykrycia przez administratora podejrzanych aktywności. Dlatego hakerzy najczęściej korzystają z socjotechnicznych sposobów, aby skłonić użytkownika do niemal „dobrowolnego" udostępnienia im danych do konta i hasła.
- Niedawne naruszenie poufności danych ponad 10 tys. pracowników Departamentu Sprawiedliwości i Departamentu Bezpieczeństwa Wewnętrznego (Department of Homeland Security/DHS) oraz ponad 20 tys. pracowników Federalnego Biura Śledczego (FBI) jest kolejnym przykładem na to, że „wniknięcie” do organizacji z pomocą metod socjotechnicznych jest dla hakerów o wiele łatwiejszym zadaniem niż pisanie exploitów zero-day - mówi Zoltán Györkő, prezes firmy Balabit. - Stosowanie tradycyjnych narzędzi kontroli dostępu i rozwiązań przeciwko złośliwemu oprogramowaniu jest konieczne. Jednak urządzenia te chronią wrażliwe dane firmy tylko wtedy, gdy atakujący znajdują się poza siecią. Natomiast, jeśli uda im się włamać do systemu, nawet korzystając z konta pracownika niższego szczebla, potrafią łatwo rozszerzyć swoje uprawnienia i uzyskać uprzywilejowany lub umożliwiający pełną kontrolę dostęp do sieci firmowej. Kiedy tak się stanie, nieprzyjaciel znajdzie się wewnątrz systemu, stanowiąc znacznie większe zagrożenie, ponieważ wydaje się, że jest jednym z nas.
Te przejęte konta (kiedy nazwa użytkownika i hasło zostały niewłaściwie użyte) można wykryć jedynie na podstawie analizy zachowania użytkownika, np. czasu logowania i lokalizacji, prędkości pisania, używanych poleceń - Narzędzia służące do takich analiz tworzą profil zachowania pracownika, który jest unikatowy jak odciski palców, potrafią łatwo wykryć nietypowe działanie użytkownika i ostrzec zespół zabezpieczeń lub zablokować czynności użytkownika aż do odwołania - dodaje Györkő.
Innym słabym punktem firmowych sieci są słabe hasła użytkowników, przez które cyberprzestępcy przejmują konta. A użytkownicy często używają prostych haseł, czasami tych samych zarówno do kont firmowych, jak i prywatnych. Jeśli haker może pozyskać hasło użytkownika z mniej zabezpieczonego systemu (np. poprzez prywatne konto na portalu społecznościowym), to może łatwo wykorzystać je do zalogowania się do sieci firmowej.
Hakerzy często wykorzystują też luki w zabezpieczeniach aplikacji internetowych, które są wykorzystywane w atakach typu SQL injection. Takie działania plasują się wysoko w rankingach popularnych metod hakerskich, głównie dlatego, że aplikacje są pierwszymi "drzwiami" do zasobów firmy zarówno dla osób z wewnątrz, jak i spoza organizacji, zapewniając tym samym ogromny zasięg ataku. Niestety jakość kodów aplikacji z punktu widzenia bezpieczeństwa nadal jest wątpliwa. Tymczasem istnieje wiele zautomatyzowanych skanerów, które pozwalają hakerom łatwo wykryć słabe punkty aplikacji.
Stosowanie tradycyjnych narzędzi kontroli dostępu i rozwiązań przeciwko złośliwemu oprogramowaniu jest konieczne. Jednak urządzenia te chronią wrażliwe dane firmy tylko wtedy, gdy atakujący znajdują się poza siecią. Natomiast, jeśli uda im się włamać do systemu, nawet korzystając z konta pracownika niższego szczebla, potrafią łatwo rozszerzyć swoje uprawnienia i uzyskać uprzywilejowany lub umożliwiający pełną kontrolę dostęp do sieci firmowej.
Z ankiety firmy Balabit wynika, że 54 proc organizacji obawia się hakerów włamujących się do ich sieci IT poprzez firewall. Jednocześnie ponad 40 proc. ankierowanych twierdzi, że narzędzia służące do obrony w pierwszej linii, takie jak właśnie zapory sieciowe, nie są wystarczająco skuteczne, aby powstrzymać atakujących. Badanych zapytano także o to, które ataki uważają za groźniejsze – te dokonywane wewnątrz czy z zewnątrz organizacji? Przy czym ataki inicjowane z zewnątrz, których celem jest pozyskanie kont uprzywilejowanych użytkowników, zakwalifikowane zostały do kategorii ataków wewnętrznych, ponieważ nie powiodłyby się, gdyby nie wykorzystanie kont osób z wewnątrz organizacji.
W przypadku naruszenia danych wrażliwych, drugorzędnym faktem jest, czy stało się to w wyniku nieświadomej czy celowej „pomocy” osoby z wewnątrz organizacji. Wyniki ankiety wskazują na ważny element skutecznej strategii obronnej: ponad 70 proc. ankietowanych uważa ataki z wewnątrz organizacji za bardziej niebezpieczne i poważniejsze w konsekwencjach dla firmy.
- Największym zagrożeniem dla firmy jest sytuacja, kiedy osoby spoza organizacji uzyskują dostęp do sieci wewnętrznej, ponieważ mogą one pozostać niewykryte przez wiele miesięcy. Firma Balabit pomaga organizacjom rozpoznać nieprzyjaciela i określić, czy z danego konta korzysta upoważniony użytkownik czy zamaskowany haker - podsumowuje Zoltán Györkő..
Ankietę przeprowadzono wśród 494 ekspertów bezpieczeństwa IT, których poproszono o wskazanie najpopularniejszych metod wykorzystywanych przez cyberprzestępców, chcących w jak najkrótszym czasie uzyskać dostęp do wrażliwych danych firmy. Kluczowym wnioskiem wynikającym z ankiety jest fakt, że atakujący najczęściej dostają się do wewnętrznego systemu organizacji dzięki pomocy – zwykle nieświadomej – jej pracowników.
Według Balabit wskazuje to, że nie wystarczy zabezpieczyć się przed atakującym z zewnątrz. Konieczna jest również identyfikacja nietypowych zachowań użytkowników Sieci w firmie, ponieważ nigdy nie wiadomo, kto rzeczywiście korzysta z konta.