Kontić i Vuković su govorili za WebMind na ovogodišnjoj, drugoj po redu, konferenciji PULSE360, koja je okupila preko 600 učesnika koji su imali priliku da se upoznaju sa novim tehnologijama i trendovima u oblasti sajber bezbednosti.
Prepoznavanje sajber napada i odgovor na njih
Prema rečima Miloša Kontića, prvi korak u borbi protiv sajber napada je pravovremeno prepoznavanje incidenta.
“Sajber incident je situacija koju moramo potvrditi pre nego što reagujemo,” objašnjava on, i dodaje da bi u idealnom scenariju, kompanije trebale imati Security Operations Centar (SOC), koji kontinuirano prati mrežne aktivnosti i pomoću specijalizovanih alata obaveštava timove o potencijalnim pretnjama.
“Nažalost, od sajber incidenta se sve teže branimo i osim tehničkih sredstava zaštite moramo da uvrstimo i ljude, i da ih obučavamo. Najvažnije je imati kvalitetan incident response plan koji obuhvata obučene ljude koji znaju da rukuju alatima”, naglašava Kontić.
Izvor: Pulsec360
Kada se sumnja na incident potvrdi, Kontić kaže da se u tom trenutku aktivira Incident Response Team, koji preuzima akciju kako bi brzo identifikovao, ograničio i neutralisao pretnju pošto od brzine i tačnosti reakcije zavisi obim štete našeg sistema.
Stoga, on smatra da je od izuzetne važnosti usklađivanje sa evropskom regulativom NIS-2, kako bismo pratili evropske zakone, i ostvarili benefite.
“Posebna pažnja obratiti na sajber bezbednost, nego i njihovih dobavljača, što do sada nije bio slučaj”, rekao je Kontić.
Tehnička zaštita i uloga ljudskog faktora
Tehnička sredstva zaštite kao što su firewall-ovi, antivirusni programi i enkripcija od ključnog su značaja, ali prema Vukoviću, ljudski faktor ostaje najkritičniji.
„Najčešći uzrok kompromitacije sistema je ljudska greška,” kaže on, I naglašava da fišing napadi, lažni mejlovi i maliciozni linkovi, predstavljaju najčešći način proboja u sisteme.
Zaposleni često nesvesno ostavljaju svoje kredencijale na nepoznatim ili lažnim sajtovima, što napadačima omogućava pristup osetljivim informacijama, kaže ovaj mladi inženjer.
Izvor: Pulsec360
“Edukacija zaposlenih igra ključnu ulogu u smanjenju rizika. U PULSEC-u, obuke o prepoznavanju fišing napada i bezbednosnim praksama redovno se sprovode, čime se povećava otpornost na sajber pretnje, a obučeni timovi prestavljaju srž svakog incident response plana,” objašnjava Vuković.
Proces oporavka: Šta raditi nakon napada?
Kada dođe do kompromitacije, Vuković kaže da PULSEC-ov Incident Response Team preduzima niz koraka kako bi sanirao posledice napada.
“Njihov broj telefona bih svakome preporučio da ima na brzom biranju. Oni dođu kod vas, identifikuju koji sistemi su kompromitovani, urade inicijalna suzbijanja, mrežno izoluju sve sisteme u zavisnosti koji su kritični sistemi ugroženi. U 99 posto slučajeva kompanije u Srbiji imaju Microsoft domensku infrastrukturu i mi se kao Compromise Recovery Team, moj tim konkretno, fokusiramo najviše na oporavak takvih sistema”, kaže Vuković.
Za kompanije koje koriste Microsoft-ovu domensku infrastrukturu, proces oporavka uključuje detaljne revizije sistema, resetovanje pristupnih šifri, i uvođenje višefaktorske autentifikacije (MFA), pojašnjava on.
“Rotacija šifri i jačanje bezbednosnih procedura su osnovni koraci koji prate svaki uspešan oporavak”, objašnjava Vuković.
Kako bi se predupredili budući napadi, PULSEC preporučuje redovne procene ranjivosti i bezbednosne audite. Ove provere omogućavaju kompanijama da identifikuju potencijalne slabosti pre nego što postanu meta napada.
„Čak i ako niste kompromitovani, pregled vaše infrastrukture može vam pomoći da unapredite bezbednost i izbegnete napade u budućnosti,” dodaje Vuković.
Takođe, prema njemu, pored tehničkih rešenja, uvođenje evropske regulative NIS-2 donosi dodatne koristi.
“Ova regulativa naglašava važnost sajber bezbednosti, ne samo u kompanijama, već i kod njihovih dobavljača, što smanjuje rizik napada putem kompromitovanih partnera u lancu snabdevanja”, dodaje naš sagovornik.
Tipičan scenario sajber napada
Vuković je opisao tipičan scenario sajber napada: Najčešće počinje fišing mejlom koji sadrži maliciozni link. Kada korisnik klikne na njega, zlonamerni softver preuzima kontrolu nad sistemom, enkriptuje podatke i onemogućava pristup. Napadači potom traže otkupninu, obično u kriptovaluti, u zamenu za povratak podataka.
S obzirom na sve veću sofisticiranost ovakvih napada, kompanije moraju biti spremne da brzo reaguju i imaju plan za oporavak.
