Archiwum Autora: Aleksandra

Ubiegły rok był owocny dla gangów ransomware. Natomiast wielu szefów odpowiedzialnych za bezpieczeństwo IT chciałoby o nim jak najszybciej zapomnieć. Co zrobić, aby na koniec 2024 roku mieli oni więcej powodów do radości?

Choć oprogramowanie ransomware nie jest nowym zagrożeniem (jego początki sięgają 1989 roku), nieustannie destabilizuje funkcjonowanie szpitali, hoteli, stacji benzynowych, sklepów spożywczych, a nawet linii lotniczych. Dane napływające od dostawców systemów bezpieczeństwa IT nie napawają optymizmem. Według raportu „Cyberbezpieczeństwo w liczbach” w styczniu ubiegłego roku na całym świecie 66% firm padło ofiarą ransomware.

Jednak takie zestawienia nie oddają skali problemu, bowiem ofiary ataków starają się, aby informacje o incydentach nigdy nie ujrzały światła dziennego. Co gorsza, większość ofiar płaci okup za odszyfrowanie danych. Jak wynika z badania Splunk aż 4 na 5 przyznało się do zapłacenia haraczu cyberprzestępcom.

Napastnicy, aby zwiększyć skuteczność, sięgają nowe metody. W ubiegłym roku były to ataki na łańcuchy dostaw. Szczególnie dokuczliwy okazał się MoveIt. Gang ransomware Clop znalazł lukę w aplikacji do przesyłania plików zarządzanych przez oprogramowanie Progress Software. Na liście ofiar znalazły się agencje rządowe USA, BBC, British Airways czy władze kanadyjskiej prowincji Nowa Szkocja. Analitycy oszacowali, że MoveIt był odpowiedzialny za ponad 600 naruszeń.

Gangi ransomware nie omijają Polski. Pod koniec ubiegłego roku miał miejsce jeden z najgroźniejszych incydentów – wyciek danych pacjentów ALAB Laboratoria, jednej z największych ogólnopolskich sieci laboratoriów medycznych. Do sieci dostały się wyniki badań przeprowadzonych przez laboratorium w ciągu ostatnich kilku lat. Przestępcy, którzy twierdzą, że zdobyli ponad 230 GB danych, udostępniali dane w kilku próbkach – w listopadzie opublikowali dane z trzech przychodni, następnie dane pacjentów z innych przychodni, w kolejnym kroku pojawiły się dane nawet z listopada 2015, a z końcem roku nadano tym informacjom bardziej uporządkowaną formę. Dane podzielono na katalogi, których czterocyfrowa nazwa była początkiem numeru PESEL, co umożliwia sprawdzenie pojedynczej osoby bez konieczności pobierania gigabajtów danych. Wyciek objął nie tylko dane medyczne, ale także osobowe pracowników ALAB Laboratoria. Pozyskane przez cyberprzestępców informacje mogą posłużyć do przeprowadzenia spersonalizowanych ataków socjotechnicznych.

• Jeśli przekazywaliśmy dane firmie, w której doszło do ataku ransomware, najbezpieczniej jest założyć, że nasze dane wyciekły i wzmożyć czujność w następnych latach. Kiedy otrzymamy telefon, bądź informację, która ma na celu zweryfikowanie czy potwierdzenie naszych danych, bądź skłonienie do innych natychmiastowych działań, warto wziąć głęboki oddech i nie działać pod wpływem impulsu. Jednym ze sposobów weryfikacji jest wyszukanie oficjalnej strony kontaktującej się z nami instytucji i wykonanie telefonu, bądź napisanie e-maila na dane podane na jej stronie. – mówi Robert Dziemianko, Marketing Manager w G DATA Software.

Gangi ransomware uderzą jeszcze mocniej

Dostawcy systemów bezpieczeństwa IT przy współpracy z organami rządowymi deklarują działania mające na celu powstrzymanie fali ataków ransomware. Pewnego rodzaju pocieszeniem może być spadająca liczba unikalnych rodzin oprogramowania ransomware. W 2022 roku było ich 95, a rok później już tylko 45. Niemniej część specjalistów twierdzi, że nie ma się z czego cieszyć, ponieważ hakerzy postawili na najbardziej sprawdzone i najskuteczniejsze rozwiązania.

• Same deklaracje producentów czy osób odpowiedzialnych za cyberbezpieczeństwo to za mało, żeby zastopować gangi ransomware, tym bardziej, że w bieżącym roku nie zwolnią one tempa. Wręcz przeciwnie. Incydent MoveIt zachęci ich do intensyfikacji ataków na łańcuchy dostaw. Co gorsza, mamy do czynienia z bardzo dobrze zorganizowanymi grupami przestępczymi. Widać to chociażby na przykładzie Ransomware as a Service. Ten model pozwala cyberprzestępcom korzystać z platformy dostarczającej nie tylko niezbędny kod oprogramowania, ale również infrastrukturę operacyjną do realizacji kampanii – tłumaczy Robert Dziemianko.

W 2024 roku poza kontynuacją ataków na łańcuchy dostaw, należy spodziewać się incydentów wykorzystujących luki w środowisku chmurowym oraz sieciach VPN. Wszystko wskazuje na to, że gangi ransomware coraz częściej będą wykorzystywać do swoich ataków generatywną sztuczną inteligencję. W praktyce oznacza to bardziej zaawansowane kampanie phishingowe, będące jednym z trzech wektorów najczęściej używanych do uzyskania dostępu w atakach ransomware, dwa pozostałe to wykorzystanie luk bezpieczeństwa oraz protokół Windows Remote Desktop.

Wraz z rozwojem ataków ransomware ewoluują formy wymuszeń. W przeszłości gangi ograniczały się do szyfrowania informacji, a następnie żądały okupu za klucz deszyfrujący. Następnie pojawiło się tak zwane podwójne wymuszenie, polegające na tym, że napastnicy eksfiltrują dane do osobnej lokalizacji. Kolejnym krokiem jest potrójne wymuszenie, czyli groźba upublicznienia danych, jeśli ofiara odmówi zapłaty. Wiele kontrowersji wzbudza płacenie haraczu. Na ogół panuje przekonanie, że nie jest to dobra praktyka, między innymi dlatego, że znane są przypadki, kiedy ofiara zapłaciła okup, zaś napastnicy nie odszyfrowali danych.

• Jeśli ofiara zapłaci, szantażysta może skorzystać i ponownie zaszyfrować pliki, a po pewnym czasie ponownie aktywuje dobrze ukryte części złośliwego oprogramowania. Nie wspominając już o tym, że oszustwo pozostaje dochodowe dla napastników, a tym samym wzmacnia ich oraz zachęca do kolejnych działań. – ostrzega Robert Dziemianko.

Zasilane środkami z okupów gangi ransomware rozszerzają swój arsenał. W związku z tym firmy powinny robić to samo, inwestując w zaawansowane technologie ochrony. W przypadku średnich i dużych przedsiębiorstw warto rozważyć zakup systemów EDR (Endpoint Detection and Response) bądź XDR (Extended Detection and Response) Zastosowanie rozszerzonego wykrywania i reagowania może pomóc organizacjom zidentyfikować potencjalne ryzyko. Nie mniej ważną linią obrony jest backup. Specjaliści zalecają regularne tworzenie kopii zapasowych na dyskach sieciowych, zewnętrznych dyskach twardych lub w chmurze. Po każdej operacji trzeba pamiętać o rozłączeniu połączenia z nośnikiem danych lub dyskiem sieciowym – w przeciwnym razie istnieje ryzyko zaszyfrowania wszystkich kopii zapasowych.

Nie można też zapominać o podstawowych czynnościach, takich jak aktualizacja oprogramowania oraz edukacja pracowników. Przy czym w tym drugim przypadku warto zastosować mniej konwencjonalne metody w postaci specjalistycznych szkoleń. Na przykład platforma edukacyjna Security Awareness firmy G DATA zawiera 36 opracowanych przez ekspertów materiałów z zakresu świadomości przestrzegania zasad bezpieczeństwa. Ich treść bazuje na realnych przykładach ataków oraz spotykanych zagrożeń i jest cały czas aktualizowana.

Firmy chętnie korzystają z aplikacji chmurowych ze względu na koszty i wygodę. Niestety, często nie widzą zagrożeń, jakie niesie ze sobą ten model usługowy.

Choć część przedsiębiorców wciąż nieufnie podchodzi do dostawców usług chmurowych, to model SaaS (Software as a Service) cieszy się bardzo dużą popularnością. Według Gartnera w 2023 roku przychody ze sprzedaży oprogramowania jako usługi wyniosły 198 mld dolarów, zaś Better Cloud szacuje, że

przeciętna firma korzysta ze 130 aplikacji chmurowych, a ich liczba każdego roku wzrasta średnio o 18 procent.

Model SaaS zmienił reguły gry na rynku oprogramowania, umożliwiając dostęp do zaawansowanych oraz najnowszych wersji produktów nie tylko wielkim korporacjom, ale również startupom i małym firmom. W wyniku ekspansji SaaS pozycja tradycyjnego oprogramowania, instalowanego i zarządzanego w środowisku lokalnym, wyraźnie osłabła. Wszechobecne aplikacje chmurowe pozwalają firmie z Warszawy bez wysiłku współpracować z zespołem z Londynie, organizując spotkania wideo, podczas których analizuje się dane, a nawet realizować skomplikowane zadania związane z zarządzaniem projektami.

• Niestety, w świecie biznesu nie ma nic za darmo. Wygoda związana z użytkowaniem SaaS niesie ze sobą ryzyko. Wprawdzie zapisywanie plików i ich współdzielenie nigdy nie było tak łatwe jak w przypadku aplikacji chmurowych, ale też nigdy nie było tak niebezpieczne. Duża ilość wrażliwych danych i użytkowników mających do nich dostęp z dowolnego urządzenia przysparza coraz więcej trudności pracownikom odpowiedzialnym za bezpieczeństwo IT – tłumaczy Robert Dziemianko, Marketing Manager G DATA Software.

Każda aplikacja chmurowa posiada odrębne dane, pliki, użytkowników, a także własne konfiguracje i definicje uprawnień. To wiąże się z brakiem standaryzacji sposobu, w jaki dział IT ma zarządzać tymi procesami. Beneficjentami tego chaosu są cyberprzestępcy.

Według badań, przeprowadzonych przez G DATA wśród menedżerów najwyższego szczebla, aż 42 procent respondentów przyznało, że usługi chmurowe, z których korzystają, były celem ataku. Napastnicy najczęściej sięgali po metodę siłową, polegającą na wielokrotnym wpisywanie różnych kombinacji danych dostępowych (39 procent), a w dalszej kolejności DdoS (36 procent), nieautoryzowany dostęp (35 procent) oraz ataki wymierzone bezpośrednio w aplikacje (32 procent).

Warto odnotować, iż dwa znane ataki ransomware: Cloud Hopper oraz WastedLocker atak wykorzystywały luki w infrastrukturze chmury Saas w celu infiltrowania docelowych sieci, szyfrowania krytycznych danych i żądania płatności okupu.

Iluzja ochrony danych

Jeszcze do niedawna wśród użytkowników panowało powszechne przekonanie, że dane w chmurze publicznej lub aplikacjach SaaS są z natury chronione i możliwe do odzyskania. Jednak rzeczywistość jest zgoła odmienna. Zgodnie z modelem wspólnej odpowiedzialności przyjętego przez większość dostawców usług chmurowych, ich obowiązki w zakresie bezpieczeństwa ograniczają się do własnej infrastruktury, zaś zabezpieczenie danych spoczywa na barkach usługobiorców. Ten często źle rozumiany podział kompetencji spowodował, że aż 77 procent danych przetwarzanych przez aplikacje chmurowe pozostaje podatnych na zagrożenia (SAAS Management 2022), takie jak ransomware, przypadkowa utraty danych i inne rodzaje cyberataków.

Natomiast 42 procent respondentów biorących udział w badaniu „2023 State of Ops” przyznało, że należyte zabezpieczenie użytkowników aplikacji chmurowych jest trudnym zadaniem. Wraz z rosnącą ilością danych osobowych, informacji o klientach i innych rodzajach wrażliwych rekordów przetwarzanych przez większą liczbę aplikacji, stawka wzrasta.

Działy IT szczególnie przejmują się zagrożeniami wewnętrznymi, niezależnie od tego, czy wynikają ze złośliwości pracowników, czy ich nieostrożności. Innym poważnym problemem jest publiczne udostępnianie linków do wrażliwych informacji. Sporo zamieszania wywołują też niesankcjonowane aplikacje chmurowe, czyli zjawisko znane również jako shadow IT. Programy są instalowane bez wiedzy i zgody działów informatycznych, w związku z czym nie podlegają one żadnej kontroli. Shadow IT stwarza zagrożenie bezpieczeństwa, ale powoduje także nieefektywność systemu, zwłaszcza gdy organizacje (nieświadomie) korzystają z wielu aplikacji służących do realizacji tego samego zadania, na przykład planowania kampanii reklamowych.

– Ochrona danych przetwarzanych przez aplikację SaaS jest wyjątkowo trudnym zadaniem. Wymaga ono od organizacji podjęcia działania w kilku obszarach. Jednym z nich jest edukacja pracowników w zakresie korzystania z poczty elektronicznej, współdzielenia plików i zagrożeń związanych z używaniem niezatwierdzonych aplikacji. Drugą kwestią jest ochrona kopii zapasowych, często niszczonych przez gangi ransomware. Poza tym wiele wskazuje na to, że organizacje zaczną inwestować w zaawansowane narzędzia do ochrony urządzeń końcowych, takie jak XDR, który wykrywa anomalie i potencjalnie niebezpieczne aktywności również w środowisku chmury publicznej. – tłumaczy Robert Dziemianko.

Wraz z uzależnieniem się od aplikacji SaaS, zespoły IT będą miały coraz więcej pracy. Jednym ze sposobów na ich odciążenie jest automatyzacja procesów oraz zacieśnienie współpracy pomiędzy działami informatycznymi i biznesowymi.

Istnieją dwie podstawowe metody tworzenia oprogramowania: tradycyjny model kaskadowy oraz nowsze podejście, zwane agile (tj. „zwinne”), które jest kluczowe dla przekształcenia przemysłu motoryzacyjnego w kierunku „pojazdów zdefiniowanych programowo”.

W podejściu kaskadowym tworzenie oprogramowania przechodzi przez odrębne, następujące po sobie fazy. Fazy te obejmują definiowanie wymagań, implementację oraz integrację i testowanie.

Metoda kaskadowa ma liczne wady: nie jest ona wystarczająco elastyczna, aby nadążyć za tempem zmian w dzisiejszym przemyśle motoryzacyjnym; nie kładzie mocnego nacisku na bliską współpracę i szybkie pozyskanie informacji zwrotnej od zespołów biznesowych wewnątrz firmy oraz od partnerów zewnętrznych, a także nie zapewnia testowania na wystarczająco wczesnym etapie projektu.

Możliwość testowania złożonych systemów oprogramowania jest szczególnie ważna w przemyśle motoryzacyjnym, gdzie inżynierowie przeprowadzają zaawansowane symulacje rzeczywistych warunków jazdy – software-in-the-loop, hardware-in-the-loop i vehicle-in-the-loop – zanim wyjadą pojazdem na drogę publiczną.

Jak działa agile?

Podejście „zwinne” stanowi kulturową i proceduralną zmianę w stosunku do podejścia kaskadowego, które jest liniowe i sekwencyjne. Agile jest iteracyjne, oparte na współpracy oraz uwzględnia częste pętle informacji zwrotnej.

Organizacje korzystające z agile tworzą małe zespoły adresujące konkretne, wysoko priorytetowe wymagania biznesowe. Zespoły często pracują w ustalonym, stosunkowo krótkim cyklu iteracyjnym, zwanym Sprintem. W ramach takiej pojedynczej iteracji wytwarzają na podstawie określonych potrzeb biznesowych, kompletny i przetestowany inkrement produktu softwareowego, gotowy do weryfikacji przez interesariuszy.

„W Aptiv, naszą siłą jest nie tylko dostosowywanie się do zmian zachodzących w branży, ale także dążenie do stworzenia warunków sprzyjających zwinności w naszym procesie wytwarzania oprogramowania. W obszarze agile, pracujemy w zespole składającym się z product ownera i scrum mastera, którzy działają w parze. To właśnie ich partnerstwo oraz umiejętność stawiania wyzwań przed zespołami skutkują praktycznym wdrożeniem teorii agile w Aptiv” – mówi Dariusz Mruk, dyrektor Centrum Technicznego Aptiv w Krakowie.

Zarówno podejście kaskadowe, jak i „zwinne”, mogą wykorzystywać V-model wytwarzania oprogramowania, przechodząc kolejno przez fazy projektowania, implementacji oraz testów. Różnica polega na tym, że podejście kaskadowe stosuje V-model jako proces nadrzędny o jednokrotnym przebiegu w ramach całego projektu, natomiast podejście „zwinne” może realizować V-model w ramach każdego Sprintu.

Metody „zwinne” umożliwiają firmom przejście od długo-okresowych aktualizacji produktu związanych z metodą kaskadową, do nowszego stylu wdrażania oprogramowania znanego jako CI/CD, czyli ciągła integracja i wdrażanie. Agile i CI/CD są ze sobą powiązane. Agile odnosi się do metody wytwarzania oprogramowania; CI/CD zapewnia częste integrowanie, testowanie i wdrażanie na produkcję nowych wersji z niewielkimi zmianami, solidnie zweryfikowanych pod kątem jakości. 

Agile zapewnia wiele korzyści, w tym umożliwia inżynierom szybkie reagowanie na zmieniające się uwarunkowania biznesowe. Korzystając z metod zwinnych, inżynierowie mogą zapewnić ciągłą dostawę ulepszeń oprogramowania, które zostało dokładnie przetestowane i które odpowiada stale weryfikowanym potrzebom biznesu.

„Zwinne” tworzenie oprogramowania w przemyśle motoryzacyjnym

Wraz z coraz większą rolą oprogramowania w pojazdach, rośnie presja na producentów samochodów (OEM) i dostawców, aby pisać, wdrażać i integrować kod szybciej i skuteczniej. Oprogramowanie nie tylko odgrywa większą rolę w podstawowych funkcjach pojazdu, ale także umożliwia wprowadzanie nowych funkcjonalności użytkowych, takich jak systemy rozrywki, zaawansowane systemy wspomagania kierowcy i systemy jazdy autonomicznej.

„Zwinność, współpraca i innowacyjność to cechy, które pozwalają firmom odnosić sukcesy na rynku, zwłaszcza w dziedzinie technologii. Centrum Techniczne Aptiv w Krakowie ściśle współpracuje z naszymi klientami, co pozwala nam na niezwykle szybką reakcję na ich potrzeby i dostarczanie technologii opracowanych z myślą o nich. Dzięki setkom godzin pracy, jakie wkładamy w tworzenie i rozwijanie algorytmów, jesteśmy w stanie efektywnie przygotowywać prototypy, które ostatecznie wspierają wdrażanie innowacji. Zaangażowanie i wysiłek naszych zespołów w procesie tworzenia oprogramowania czyni nas prawdziwie zwinną firmą” – dodaje Dariusz Mruk.

Producenci muszą wprowadzać nowe funkcjonalności bliżej terminu rozpoczęcia produkcji, a także oczekują możliwości szybkiego i bezpiecznego wprowadzania aktualizacji oprogramowania już po wyprodukowaniu pojazdu.

Tradycyjnie, programiści odpowiadali za oprogramowanie dla każdego komponentu sprzętowego, a następnie integrowali je z kodem dla innych części pojazdu. Testowanie zintegrowanego oprogramowania odbywało się na późnym etapie procesu, co ograniczało czas na wprowadzanie dodatkowych zmian. Rozwój każdego komponentu i platformy samochodowej był procesem jednorazowym, który rozpoczynał się od nowa dla kolejnej platformy.

Producenci odchodzą od takiego podejścia na rzecz metod iteracyjnych, które uwzględniają korzyści płynące ze współpracy, integracji i ponownego wykorzystania kodu, wynikające z podejścia „zwinnego”. Na przykład, warstwy pośrednie oprogramowania (middleware) mogą zastąpić kod specyficzny dla każdego komponentu lub platformy pojazdu. Aplikacje i funkcje mogą być integrowane za pomocą interfejsów programowania aplikacji i współdzielone między zespołami programistów.

Metoda „zwinna” pomaga również producentom pojazdów wdrażać nowe architektury, w których przetwarzanie przenosi się z mniejszych jednostek sterujących, do dużych, scentralizowanych kontrolerów domenowych, co zmniejsza koszty i złożoność.

###

O Aptiv Services Poland S.A.

Aptiv Services Poland S.A.  jest częścią globalnej firmy technologicznej, której systemy pomagają tworzyć bezpieczniejszą, bardziej ekologiczną i lepiej skomunikowaną przyszłość.

Aptiv w Polsce to dziś ponad 5500 pracowników zlokalizowanych w 3 polskich miastach – Jeleśni oraz Gdańsku, gdzie znajdują się zakłady produkcyjne oraz Krakowie. Centrum Techniczne Aptiv w Krakowie działa od 2000 roku i zatrudnia ponad 2000 inżynierów i 900 specjalistów korporacyjnych. Jest to jedno z największych i najbardziej innowacyjnych laboratoriów R&D firmy na świecie. Powstały w nim m.in. pierwszy system sterowania gestami dla motoryzacji oraz technologie aktywnego bezpieczeństwa.