Atzealdea Gipuzkoako 15 enpresak ZIURek zibererasoak detektatzeko eta aztertzeko abian jarri duen proiektuan hartu dute parte

2023 / 02 / 23
ZIURek, kontrainteligentzia kanpaina bultzatu du, Deception edo engainu teknologietan oinarriturik. Horretarako, Counter Craft enpresa donostiarraren Deception teknologia erabili da proiektuan.

Gipuzkoako 15 enpresak ZIURek zibererasoak detektatzeko eta aztertzeko abian jarri duen proiektuan hartu dute parte

Bi urtean zehar, industria arloko lurraldeko 15 enpresak beren segurtasuna egunero mehatxatzen duten zibererasoen bilakaera aztertzeko proiektuan hartu dute parte. Horretarako, ZIURek, Gipuzkoako Zibersegurtasun Industrialeko Zentroak, kontrainteligentzia kanpaina bultzatu du, ‘Deception’ edo engainu teknologietan oinarriturik, erasotzaileen mugimenduak aztertzeko xedez. Proiektuaren helburua enpresetan egungo zibersegurtasun gaitasunak indartzea da, erasoen hautemate goiztiarra indartzeko eta erantzuteko mekanismoak aktibatzeko.

Ekimen hori gauzatzeko, erasoak detektatzeko eta mehatxuei buruzko informazioa biltzeko Counter Craft enpresa gipuzkoarrak garatu duen teknologia erabili zen. Horretarako, bezero bakoitzaren plataforma teknologikoaren parte izatea era errealistan simulatzen zuen azpiegitura teknologiko bat sortu zen Interneten, eta hainbat amu diseinatu eta ezarri ziren konpainia horretan interesa zuten erasotzaileak “Deception” azpiegiturara eramateko asmoz. Engainu-plataforma hori, birtualki bezero bakoitzari loturik egon arren, erabat isolaturik eta seguru zegoen.

Proiektuan, beren sektoreetan, industrian, banaketan, makina-erremintan, automobilgintzan, ikerketan, hezkuntzan, etab. erreferente garrantzitsuak diren lurraldeko 15 enpresak hartu dute parte era anonimoan.

Emaitzak

Ikerketaren emaitzek adierazten dutenez, ‘Deception’-en azpiegiturak eraso gogorrak jasan zituen. Eraso horiek teknologia ahulean gauzatu izan balira konfidentzialtasuna, osotasuna eta erabilgarritasuna arriskuan jarriko luketen eragin kritikoko erasoak ere identifikatu ziren. Hala eta guztiz ere, azpiegitura ez zen inoiz urratu.

Erasoak IT eta OT inguruneetan fokalizatu dira batez ere, eta Blog WordPress eta FTP izenekoak izan dira eraso gehien jasan dituzten zerbitzuak.

Antzemandako jarduera motak adierazten du enpresek, batez ere eraso automatikoak jasaten dituztela, eta eraso horien helburua ez dela erakunde jakin bat izan. Erasotzaileak konfigurazio ahulak eta zaurgarritasunak aurkitzen saiatzen dira, teknologia zaurgarriaren aurkako erasoa egiteko.

Hala ere, horrek ez du baztertzen aktore maltzur sofistikatuagoek ekimenean parte hartu zuten enpresetan interesa izaterik, izan ere, eraso automatiko bat, berez, eskuzko erasotzaile sofistikatuago batek erabili dezakeen ezagutza modu bat izan daiteke.

Enpresa-sistema edo -sare baterako sarbidea lortu duten aktore maltzurrek erabiltzen duten beste jardunbide bat sarbideen salmenta da. Jardunbide horren bitartez, sistema edo sare konprometitu horretarako sarbidea saldu nahi zaie beste aktore maltzur batzuei ‘darknet’ ;edo “sare iluna” izenekoak, onura ekonomikoak lortzeko asmoz.

Koldo Peciña ZIUReko zuzendari nagusiaren iritziz, “tresna aurreratuen erabilerak, taktika, teknika eta prozedurei buruz bildutako informazioarekin batera, zibergaizkileek era profesionalean jarduten dutela eta denbora eta erasoak diseinatzen eta abiarazten baliabide asko inbertitzen dituztela adierazten du”.

Horren aurrean, gaineratu duenez, “ezinbestekoa da zibersegurtasun prozesuak definitzea eta eraso zibernetikoak prebenitzeko, detektatzeko eta horiei erantzuteko erabiltzea. Horrek datuak galtzeko, negozioa eteteko eta enpresa baten izen onari kalte egiteko arriskua murrizten du”.

Gomendioak

Proiektuak antzemandako gertaera garrantzitsuenetan oinarritutako zenbait gomendio jasotzeko aukera ematen du.

  • Eraso-azalera murriztea, Interneten beharrezko zerbitzuak bakarrik erakutsiz. Horrela, erasotzaile batentzako balizko sarrera-puntuen kopurua murriztu egiten da, eta horrek zerbitzu kritikoei segurtasun-neurri zorrotzagoak aplikatzea ahalbidetzen du.
  • Zibersegurtasunaren ikuspegitik arriskutsuak izan daitezkeen funtzio ez beharrezkoak desgaitzea, hala nola xmlrpc.php WordPress-en.
  • Agerian dauden zerbitzuei adabakiak jartzea eta eguneratzea, ezagutzen diren ahultasunak zuzentzeko eta eskuragarri dauden azken segurtasun-neurriak erabiltzen direla bermatzeko.
  • Enpresaren sistemetara eta kontuetara sartzeko erasotzaileek erabil ditzaketen ‘leak’-ak (datuen ihesa) eta pasahitz iragaziak ikertzea eta ezagutzea.
  • Pasahitz seguruak sortzeko eta erabiltzeko jarraibideak ezarriko dituen pasahitz-politika aplikatzea. Pasahitz horiek zailak izango dira xmlrpc.php-k eta FTPk jasandako indar gordineko erasoen bitartez asmatzeko edo deskubritzeko. Horiek, kasu gehienetan, pasahitz errazak erabiltzen zituzten. Jarraibide horien artean pasahitzen luzera, karaktere berezien, letra larrien eta xeheen erabilera, eta horiek aldizka aldatzeko beharra daude, baita pasahitz arruntak edo erraz asmatzen direnak ez erabiltzeko neurriak ezartzea ere, hala nola informazio pertsonala edo hitz arruntak erabiltzeko debekua.
  • WordPress-eko konfigurazio-akatsetan arreta berezia jartzea. Software segurua da, baina konfigurazio akats arrunt batzuen ondorioz, erasotzaileek WordPressen oinarritutako webguneak berenganatu ditzakete. Horregatik guztiagatik, bastioi-prozesuak aplikatzea gomendatzen da, zaurgarritasunak murrizteko, eta, ahal den neurrian, detekzio-sistema gehigarriak instalatzea, hala nola WAF (Web Application Firewall), trafiko maltzurra aplikaziora iritsi aurretik iragaziz.