Od kwietnia 2023 r. do końca września 2023 r. badacze z firmy ESET przeanalizowali i opisali działania wybranych zaawansowanych grup APT.
W monitorowanym okresie zaobserwowano strategię grup APT wykorzystującą luki w znanych aplikacjach w celu wydobywania danych z podmiotów rządowych lub powiązanych organizacji.
Raport szczególną uwagę zwraca na podmioty sponsorowane przez państwa – powiązane z Rosją Sednit i Sandworm, Konni z Koreą Północną oraz niepowiązane geograficznie Winter Vivern i Sturgeon Phisher. Wykorzystały one luki w programach WinRAR (Sednit, Sturgeon Phisher i Konni), Roundcube (Sednit i Winter Vivern), Zimbra (Winter Vivern) oraz Outlook dla Windows (Sednit), których używają różne organizacje rządowe w Ukrainie, w Europie i Azji Środkowej. Jeśli chodzi o podmioty zagrażające z Chin, GALLIUM prawdopodobnie wykorzystał słabości serwerów Microsoft Exchange lub IIS, rozszerzając swoje ataki z operatorów telekomunikacyjnych na organizacje rządowe z całego świata.
MirrorFace wykorzystał luki w usłudze przechowywania online, Proself i TA410 prawdopodobnie wykorzystywały luki w serwerze aplikacji Adobe ColdFusion. O wszystkich atakach można przeczytać w raporcie.
Jak odpowiada na to Europa?
Europa próbuje się organizować. I to nie od dziś. Przypomnijmy, dyrektywa NIS została przyjęta 6 lipca 2016 r. Była pierwszym europejskim prawem w zakresie cyberbezpieczeństwa, nakładała na państwa członkowskie szereg obowiązków, obligując do powołania konkretnych instytucji oraz wprowadzenia mechanizmów współpracy. W Polsce jej zapisy realizuje Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która weszła w życie 28 sierpnia 2018 r.
Natomiast od przyjęcia dyrektywy 2022/2555 (czyli NIS 2) niedługo minie rok. Dyrektywa stanowi ewolucję znanego już państwom członkowskim systemu. We wrześniu opublikowano dwa dokumenty Komisji Europejskiej, w których określa się wytyczne do stosowania NIS 2.
Jest to ważne, ponieważ polskie firmy nie czują się bezpiecznie. Jak wynika z raportu ESET dotyczącego świadomości cybernetycznej małych i średnich firm, ponad dwie trzecie z 1200 ankietowanych podmiotów (w tym 59 proc. polskich) doświadczyło w 2022 roku incydentu związanego z bezpieczeństwem IT. Jego średni szacunkowy koszt wyniósł niemal 220 tys. euro, czyli około 1 mln złotych. O badaniu – Digital Security Sentiment – można przeczytać tutaj.
Jakie wytyczne przynosi NIS 2?
Dyrektywa dotyczy następujących 11 sektorów: energia, transport, bankowość, infrastruktura rynku finansowego, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna i żywność.
Przepisami zostaną objęte wszystkie średnie i duże przedsiębiorstwa z tych sektorów. Nie tylko podmioty kluczowe, ale również te, które należą do ich łańcucha dostaw!
Przed wszystkimi wyżej wymienionymi podmiotami postawione zostanie zadanie dochowania należytej staranności oraz obowiązek raportowania incydentów. Przepisy wprowadzają odpowiedzialność kierownictwa firmy za brak zgodności ze środkami zarządzania ryzykiem w cyberbezpieczeństwie oraz nakładają większe wymagania w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach, w testowaniu poziomu cyberbezpieczeństwa oraz w efektywnym wykorzystywaniu szyfrowania.
To, co wzbudza największe kontrowersje, to możliwość nakładania kar za niedostosowanie się do przepisów. Ich wysokość będzie uzależniona od rodzaju podmiotu (w przypadku usług kluczowych mogą wynosić nawet do 10 mln EUR lub 2% łącznego rocznego obrotu). NIS 2 dla usprawnienia współpracy międzynarodowej ustanawia również Europejską Sieć Zarządzania Kryzysowego w Cyberprzestrzeni (EU Cyber Crises Liaison Organization Network, EU-CyCLONe), która będzie m.in. wspierała koordynację zarządzania incydentami na dużą skalę na poziomie UE.
Jak się zabezpieczyć?
Niewątpliwie w wypełnieniu wymagań NIS 2 i ochronie organizacji każdej wielkości pomagają rozwiązania ESET, zwłaszcza pakiet ESET PROTECT Elite, który jest najbardziej zaawansowanym z dostępnych w portfolio firmy. To rozwiązanie dedykowane średnim i większym organizacjom.
Nam szczególnie spodobały się funkcjonalności związane z zapobieganiem zagrożeniom typu zero-day (piszemy o nich na Kapitanie niemal w każdym tygodniu), zaawansowane funkcje ochrony przed ransomware oraz zagrożeniami, które wykorzystują takie techniki, jak adaptacyjne skanowanie, uczenie maszynowe, sandboxing w chmurze i głęboką analizę behawioralną.
O lukach w zabezpieczeniach i podatnościach piszemy równie często, co o zero-dayach. Jedną z funkcji oferowanych w pakiecie jest w pełni zautomatyzowana możliwość wykrywania luk w zabezpieczeniach aplikacji firm trzecich, co stanowi bezpośrednią odpowiedź na wymagania NIS 2. Platforma zapewnia też zgodność z obowiązującymi przepisami dotyczącymi ochrony danych dzięki funkcjonalnościom pełnego szyfrowania dysku i uwierzytelniania wieloskładnikowego (MFA).
I chyba najważniejsza funkcjonalność – XDR (rozszerzone wykrywanie i reagowanie). Ponieważ odpowiednie zarządzenie incydentem jest jednym z podstawowych wymagań w NIS 2, XDR staje się nieodzowny. Taki system gromadzi i automatycznie koreluje dane na przestrzeni wielu warstw – poczty elektronicznej, punktów końcowych, serwerów, obciążeń infrastruktury. Umożliwia to szybsze wykrywanie zagrożeń oraz efektywniejsze pracę i reagowanie.
Niezależnie od tego, jakie rozwiązanie IT wybierzesz, żeby spełnić dyrektywę, istnieje lista pytań pozwalających wstępnie ocenić, czy firma jest przygotowana na wdrożenie wymagań NIS2:
- Czy posiadasz aktualny spis wykorzystywanego w firmie sprzętu i oprogramowania?
- Czy sprawdzasz dostępność aktualizacji oprogramowania minimum raz w tygodniu?
- Czy wiesz, jakie ryzyko wiąże się ze sprzętem i oprogramowaniem używanym w Twojej organizacji?
- Czy jesteś świadomy zmian legislacyjnych i dyskusji nad nowymi przepisami?
- Czy ustaliłeś, jakie ryzyko podejmuje Twoja organizacja w środowisku cyfrowym i czy podejmujesz przemyślane decyzje, aby określić swoją gotowość do poradzenia sobie z tym ryzykiem?
- Czy regularnie oceniasz środki, procedury i narzędzia niezbędne do ograniczania i kontrolowania zidentyfikowanych zagrożeń cybernetycznych pod względem ich przydatności dla Twojej organizacji?