/Rectangle%20239.png?width=13&height=13&name=Rectangle%20239.png){kind=small}
Black Friday zbliża się wielkimi krokami, a to oznacza dla sprzedawców internetowych na całym świecie jedno: z jednej strony wzrost ruchu na stronach internetowych, liczby klientów, sprzedaży i zysków, ale z drugiej – większe ryzyko narażenia na cyberprzestępczość, która może prowadzić do strat finansowych i uszczerbku na reputacji.
Firmy, które chcą wyprzedzić cyberprzestępców w tym szczególnym okresie, powinny zgromadzić jak najwięcej informacji: od najczęstszych zagrożeń związanych z Black Friday i wykorzystywanych luk w zabezpieczeniach, po środki ostrożności, jakie można podjąć, by uniknąć incydentów cybernetycznych. Jeden z inżynierów ds. cyberbezpieczeństwa w Alter Solutions wyjaśnia wszystko.
Ataki DDoS: "gwiazdy" cyberprzestępczości w Black Friday
„Najpowszechniejszym zagrożeniem w Black Friday są bez wątpienia ataki DDoS (Distributed Denial-of-Service)” – stwierdza nasz ekspert. Oto, jak działa taki atak: hakerzy zalewają serwer ruchem pochodzącym z różnych adresów IP (stąd nazwa „rozproszony”), co powoduje zawieszenie strony internetowej i uniemożliwia jej dostępność dla użytkowników.
„To największy problem w Black Friday, ponieważ już wtedy występują ogromne ilości ruchu, co cyberprzestępcy mogą łatwo wykorzystać, pozostając niezauważeni i zaostrzając sytuację. Jest to dla nich najłatwiejszy rodzaj ataku do przeprowadzenia w tym czasie, zwłaszcza wobec dużych detalistów” – podkreśla.
Motywacje stojące za atakiem DDoS mogą się różnić. Może to być po prostu sposób na zakłócenie usług i spowodowanie strat finansowych dla firmy, ale równie dobrze może to być zasłona dymna, mająca na celu odwrócenie uwagi od bardziej inwazyjnych ataków (np. kradzieży danych).
Faktem jest, że w ostatnich latach ataki DDoS stały się bardziej zaawansowane i destrukcyjne. Powodem tego jest chmura. „Obecnie usługi chmurowe pozwalają łatwo skalować się w górę. Dlatego cyberprzestępcy często celują w firmy, które oferują takie usługi: jeśli zdołają uzyskać do nich dostęp, mogą łatwo zwiększyć skalę ataku. W czasach przed chmurą musieli faktycznie włamywać się do każdego urządzenia z osobna. Teraz wystarczy im jedno konto z dostępem do dostawcy usług chmurowych [CSP], takich jak Amazon Web Services [AWS] czy Google Cloud Platform [GCP], aby uzyskać znacznie większe możliwości” – wyjaśnia nasz inżynier ds. cyberbezpieczeństwa.
Jakie są najczęściej wykorzystywane luki w zabezpieczeniach?
Przede wszystkim słabe zarządzanie danymi uwierzytelniającymi i dostępem. „Szczególnie użytkownicy o wysokich uprawnieniach, czyli osoby posiadające administracyjne dane uwierzytelniające, powinny mieć wyższy poziom zabezpieczeń dla swoich kont i urządzeń. Mimo to co kilka miesięcy słyszymy o przypadkach przejęcia takich kont. Dzieje się tak, ponieważ hakerzy doskonale wiedzą, kim są te osoby i jak do nich dotrzeć. Nie działają w sposób przypadkowy. Mogą korzystać z LinkedIn, stron internetowych firm, a nawet aplikować do tych firm, aby zrozumieć strukturę hierarchii. Te ataki są bardzo zaawansowane” – ostrzega ekspert w Alter Solutions.
Jak działać prewencyjnie?
Aby zapobiec wykorzystaniu luk w zabezpieczeniach, należy wdrożyć podstawowe środki zapobiegawcze, które poprawią politykę haseł oraz zarządzanie tożsamością i dostępem (IAM). Każda firma, niezależnie od jej wielkości i zakresu działania, powinna wprowadzić uwierzytelnianie dwuskładnikowe (2FA) oraz wieloskładnikowe (MFA). Jednak nasz inżynier ds. cyberbezpieczeństwa ostrzega: „To nie jest coś, co organizacja może zrobić w konkretnym momencie, aby uniknąć chaosu w Black Friday. To musi być ciągły proces, prowadzony przez cały rok”.
Dla kont administracyjnych zaleca się stosowanie fizycznych tokenów bezpieczeństwa jako sposobu na zwiększenie poziomu ochrony zasobów. „Dodatkowo bardziej szczegółowa analiza, skąd użytkownicy się logują, jakie mają adresy IP i co faktycznie robią, ułatwia wykrycie nietypowych wzorców, jeśli coś jest nie tak” – wyjaśnia ekspert. W tym celu pomocne są narzędzia, takie jak UEBA (User Entity and Behaviour Analytics), które interpretują zachowania użytkowników, generują alerty i, jeśli to konieczne, tymczasowo blokują konta.
Niedawne poważne ataki DDoS – takie jak ten, który został złagodzony przez Google i uznany za największy atak DDoS w historii – uświadomiły firmom i dostawcom usług chmurowych konieczność monitorowania ruchu w czasie rzeczywistym. „W ostatecznym rozrachunku, jeśli usługa chmurowa, taka jak AWS czy GCP, zostanie wykorzystana do ataku na organizację, mogą one zostać pociągnięte do odpowiedzialności” – zauważa inżynier.
W związku z tym, oprócz skalowania serwerów w okresach zwiększonego ruchu, takich jak Black Friday, usługi takie jak AWS i GCP oferują mechanizmy ochrony przed atakami DDoS. „AWS i GCP mają duże doświadczenie w odpieraniu takich ataków i potrafią je wykrywać oraz blokować, a następnie wykorzystują tę wiedzę na korzyść swoich klientów. Firmy korzystające z AWS lub GCP do obsługi ruchu w Black Friday mogą czerpać korzyści z ich doświadczenia w radzeniu sobie z cyberzagrożeniami, takimi jak DDoS” – sugeruje ekspert.
Zapewnij pełną ochronę dzięki Managed SOC
Kolejnym sposobem na wzmocnienie postawy bezpieczeństwa cybernetycznego jest wdrożenie rozwiązania Managed Security Operations Centre (SOC). Jest to kompleksowa usługa wykrywania i reagowania na incydenty, która wykorzystuje zaawansowane narzędzia do całodobowego monitorowania infrastruktury IT firmy, chroniąc ją przed wszelkiego rodzaju zagrożeniami i atakami cybernetycznymi.
Według inżyniera ds. cyberbezpieczeństwa z Alter Solutions, posiadanie zarządzanego SOC jest jedną z najskuteczniejszych strategii ochrony, jaką firma może zastosować, aby uniknąć zagrożeń cybernetycznych, zwłaszcza podczas Black Friday. „W SOC monitorujemy wszelką podejrzaną aktywność, taką jak eksfiltracja danych i inne podobne działania. Jest to dodatkowy poziom ochrony systemów, kont i sieci. Oczywiście, nie jest to jednak coś, co można wdrożyć na określony czas. Powinno to być rozwiązanie ciągłe” – podkreśla ekspert.
Czy atak DDoS można zatrzymać?
To zależy od tolerancji ryzyka i strategii każdej firmy. "Bardzo trudno jest rozróżnić między normalnym użytkownikiem, który faktycznie odwiedza Twoją stronę internetową, aby coś kupić, a skompromitowanym hostem, który wysyła ruch tylko po to, by uzyskać dostęp do Twojego serwera. W sytuacjach wątpliwych każda firma musi mieć politykę, która decyduje, czy chce zablokować ten ruch i ryzykować utratę klienta, czy pozwolić na jego przyjęcie, mimo że może to być atak DDoS. To decyzja biznesowa" – uważa nasz inżynier.
Jeśli ruch rzeczywiście przejdzie i atak DDoS będzie miał przestrzeń do wystąpienia, szkody zostały już wyrządzone. "Możesz spróbować znaleźć przyczynę, jak to się stało, jak można tego uniknąć w przyszłości, ale nie można tego zatrzymać w teraźniejszości. Wszystko, co firmy mogą zrobić, to uczyć się i przygotować, aby lepiej poradzić sobie z takim atakiem w przyszłości. Dlatego prewencja jest tak ważna" – broni swojej opinii.
Istnieją jednak drobne rzeczy, które można zrobić, aby złagodzić skutki ataku DDoS. Na przykład, Google Cloud Platform pozwala firmom korzystającym z ich serwerów przechowywać adresy IP w różnych regionach i na różnych kontynentach, dzięki czemu w przypadku cyberataków tego typu, nie mogą one całkowicie odnieść sukcesu.
Konsekwencje słabej odporności cybernetycznej
Firmy, które nie mają opracowanej strategii cyberbezpieczeństwa ani odpowiednich narzędzi, szczególnie w okresach o dużym natężeniu ruchu, takich jak Black Friday, naturalnie ryzykują, że staną się ofiarami ataków DDoS i innych zagrożeń. Szkody są głównie finansowe i reputacyjne.
„Podczas Black Friday cała idea polega na zwiększeniu sprzedaży i zarobieniu pieniędzy. Jeśli klient próbuje kupić coś, ale nie może, po pierwsze, nie wydaje swoich pieniędzy na firmę, co stanowi pierwszą stratę, ale potem może kupić ten sam produkt u konkurencji. Ponadto, jeśli brak dostępności sklepu internetowego trafi do mediów lub na social media, może to szybko zniszczyć reputację firmy” – podsumowuje nasz ekspert ds. cyberbezpieczeństwa. Po raz kolejny kluczowa jest prewencja.
