Skoči na vsebino

Hitri pregled leta 2021

Ključne besede leta 2021

Leto ranljivosti in težav dobavne verige

Že sedaj lahko rečemo, da si bomo v skupnosti odzivnih centrov za kibernetsko varnost (CSIRT) leto 2021 zapomnili po velikem številu razkritih ranljivosti. Obravnava teh spada v običajni nabor dela odzivnih centrov, vendar pa je leto 2021 posebno po tem, da so bile v ospredju ranljivosti dobavne verige (angl. supply-chain). Začelo se je že marca 2020 vdorom v omrežje proizvajalca SolarWinds, ko so storilci namestili stranska vrata v produkt Orion, podjetje pa je to zlonamerno komponento nevede “porinilo” naprej svojim strankam skozi cikle rednih nadgradenj. S tem so storilci (po ocenah gre za državno-podprte akterje) lahko pridobili dostop do upravljanja z napravami končnih uporabnikov, med njimi so bile številne pomembne organizacije. Do razkritja ranljivosti pa je prišlo šele proti koncu 2020. Nekaj mesecev kasneje je sledila prva v seriji ranljivosti Microsoft Exchange strežnikov, kjer je bilo hitro ukrepanje pomembno zaradi sorazmerno velike razširjenosti produkta. Eden od zaključkov je, da je pomembna skrb za celoten “ekosistem” kibernetskega prostora, kjer je veliko majhnih in srednjih podjetij. Tam smo žal lahko spremljali dokaj počasno nameščanje popravkov, enak sklep smo lahko potegnili tudi poleti ob ProxyShell ranljivosti. Leto pa ravnokar zaključujemo s stanjem povečane pripravljenosti celotne EU Mreže CSIRT in tudi razglašene povečane ogroženosti varnosti omrežij in informacijskih sistemov zaradi 0-day ranljivosti v knjižnici Log4J. Gre za odprtokodno knjižnico, ki pa jo uporablja zelo veliko število drugih produktov, veliko njih je komercialne narave. 

xkcd.com: Dependency (CC BY-NC 2.5)

Naloge SI-CERT ob razkriti ranljivosti

Ob objavi ranljivosti opravimo oceno učinka (oziroma posledic) konkretne ranljivosti na področju delovanja CSIRT skupine (v primeru SI-CERT to recimo pomeni vse računalniške sisteme in omrežja v državi, z izjemo organov državne uprave, za katere je pristojen SIGOV-CERT), sledi priprava navodil za ukrepanje in po potrebi obveščanje skrbnikov potencialno prizadetih sistemov. Primer obravnave ene od teh smo opisali v prispevku Krpanje MS Exchange strežnikov, kjer smo obravnavali ProxyLogon ranljivost. Bolj sistematični pristop pri koordinirani obravnavi ranljivosti pa obljublja tudi prenovljena direktiva NIS2.

Vztrajna rast phishing napadov

Število obravnavanih incidentov na SI-CERT po letih (z deležem phishing incidentov in projekcijo za 2021)

Phishing napadi ne pojenjajo. Nasprotno; predstavljajo vedno večji delež med obravnavanimi incidenti, kar je razvidno iz oblaka oznak na začetku in iz zgornjega grafa. Gre za načeloma zelo enostavno tehniko družbenega inženiringa, kjer se ustvari videz avtentičnosti sporočila in se naslovnika prelisiči v razkritje prijavnih podatkov ali številke kreditne kartice. Letos smo lahko opazili največ phishing napadov v imenu dostavnih služb (Pošta Slovenije, DHL). Storilci so namreč izkoristili porast spletnega nakupovanja v času epidemije, saj je velika možnost, da res čakamo na dostavo paketa in bomo posledično “padli” na prevaro.

10 let ozaveščanja Varni na internetu

Februarja 2011 smo postavili prvo spletno mesto Varni na internetu, s katerim smo na SI-CERT pričeli z nacionalnim programom ozaveščanja širše javnosti o tveganjih v kibernetskem prostoru. V ospredje smo postavili dobro definirano vsebino z jasnimi opisi in navodili za zmanjševanje tveganj. Bistveno je tudi, da imamo zaradi svoje vloge jasen pregled nad aktualnim dogajanjem v slovenskem delu omrežij in se lahko ustrezno odzovemo na nove pojave zlonamernih vsebin in goljufij. 

Spletna stran varninainternetu.si iz leta 2011

V desetih letih smo prejeli številne nagrade in priznanja, vabila na posvete in predavanja doma in v tujini. Ponosni smo, da nas kolegi v strokovni skupnosti po svetu navajajo kot zgled, kako se lotiti ozaveščanja na področju kibernetske varnosti. To pa nas ne sme uspavati, saj novih izzivov nikoli ne zmanjka. Z veseljem se jih bomo lotevali, skupaj v sodelovanju z drugimi deležniki v Sloveniji, ki prispevajo k temu, da lahko gradimo točko, na kateri se lahko seznanite s pastmi interneta in drugih omrežij. V sklopu letošnjih aktivnosti pa vas z veseljem napotimo na ogled nove video serije KLIK in brezplačni tečaj Varni v pisarni!

Vodenje EU Mreže CSIRT

Mreža CSIRT skupin (EU CSIRTs Network) je bila ustanovljena na podlagi direktive NIS (sprejeta leta 2016) in združuje vse CSIRT skupine držav članic EU, ki so določene za obravnavo incidentov izvajalcev bistvenih storitev v enem od sektorjev, ki jih opredeljuje direktiva. Mreža si v skladu z direktivo sama določa pravila delovanja in ena od prvih odločitev mreže je bila, da se odpovemo šestmesečni rotaciji na čelu in raje uporabimo okvir trenutno predsedujočega tria in izberemo v njem predsedujočega za celotno obdobje osemnajstih mesecev. V dogovoru s partnerji iz Nemčije in Portugalske je tako vodenje mreže 1. julija 2020 prevzel vodja SI-CERT, Gorazd Božič, ki s 31. 12. 2021 mandat zaključuje. Zaznamovali so ga obsežnejši incidenti v dobavni verigi in potreba po dinamičnem odzivanju: skupine CSIRT so namreč tisti tehnično-operativni del sestavljanke kibernetske varnosti v EU, ki prvi lahko poda sliko stanja v državah članicah in posameznih sektorjih. Iz mreže morajo situacijski podatki hitro potovati na druge nivoje, da se lahko zagotovi ustrezno usklajevanje odziva. 

Preberite tudi

RDP bo zaščiten z zaklepanjem računov

Microsoft uvaja privzeto zaščito z zaklepanjem računov, kar bo otežilo izvedbo vdorov s hitrim preizkušanjem različnih gesel skozi RDP. Ta se ponavadi končajo z izsiljevalskim virusom in šifriranimi podatki.
Več

SI-CERT sodeloval na vaji kibernetske varnosti Cyber Europe 2022

Če bi bile zdravstvene storitve in infrastruktura v Evropi tarča obsežnega kibernetskega napada, kako bi se odzvali in usklajevali ukrepe na nacionalni in evropski ravni, da bi ublažili nastale incidente …
Več

Najave phishing testiranj

Zakaj je pomembno, da izvajalci phishing testiranj le-te predhodno prijavijo na SI-CERT
Več