Hakerët vazhdojnë të mashtrojnë punonjësit për të fituar qasje në rrjetet e korporatave, kështu që kompanitë po ndryshojnë qasjen e tyre për t’ua bërë më të vështirë që të bëjnë kërdinë pasi të jenë në sisteme.
Kompanitë që duhet të dinë më mirë se si të luftojnë hakerët, firmat e teknologjisë, kanë arritur në një përfundim: Lidhja më e dobët e sigurisë, siç ka qenë që nga Lufta e Trojës, janë njerëzit.
Gjithnjë e më shumë, ata po marrin një qasje të re: Mos i besoni askujt.
Filozofia, e njohur si arkitektura e besimit zero, supozon se pa marrë parasysh se sa të forta janë mbrojtjet e jashtme të një kompanie, hakerët mund të hyjnë brenda. Kështu që kompanitë duhet të sigurohen që edhe përdoruesit brenda një rrjeti nuk mund të bëjnë dëm serioz.
Javën e kaluar, Uber dhe njësia Rockstar Games e kompanisë së lojërave video Take-Tëo Interactive Softëare, zbuluan secila hakerime të mëdha që prishën funksionimin e tyre. Ato iu bashkuan listës së viktimave këtë vit, që përfshin disa nga kompanitë më të aftë teknologjikisht në planet, si kompania e verifikimit të identitetit Okta dhe gjiganti i çipave Nvidia.
E përbashkëta e shumë prej këtyre hakerimeve është se ata ia dolën mbanë duke mashtruar një person në kompani ose afër kompanisë së synuar për të hequr dorë nga kredencialet e aksesit në rrjet ose informacione të tjera të rëndësishme, një teknikë e njohur si inxhinieri sociale.
Në rastin Uber, për shembull, një kontraktor, telefoni i të cilit ishte duke u ‘goditur’ nga kërkesat për qasje të prodhuara automatikisht të shkaktuara nga një haker, më në fund miratoi një, tha kompania. Shembuj të tjerë përfshijnë email fals ‘phishing’ që mashtrojnë punonjësit në dërgimin e kredencialeve të hyrjes te sulmuesit.
Hakerimet në dy kompanitë, të cilat nuk pranuan të diskutojnë qasjen e tyre ndaj sigurisë, po rrisin shtytjen për zero besim brenda grupit të tyre. Zero-besimi është një koncept i gjerë, por në bazë do të thotë që asnjë pjesë e sistemeve të IT-së të një kompanie nuk duhet të supozojë se ndonjë pjesë tjetër – njeriu ose softueri – është ai ose çfarë pretendon të jetë. Të gjitha sistemet supozohet se tashmë janë komprometuar nga hakerat.
Ndërsa kompanitë e mëdha dhe me burime të mira janë përmirësuar në mbrojtjen kundër shfrytëzimeve thjesht teknike të sistemeve të tyre, këto sulme inxhinierike sociale janë bërë më të njohura, thonë ekspertët e sigurisë kibernetike dhe Byroja Federale e Hetimit. Në fund të fundit, është më e lehtë të përmirësosh një kompjuter sesa mendjen e njeriut.
‘Hendekët’ nuk mjaftojnë
Në qasjen tradicionale ndaj sigurisë kibernetike, mbrojtja është e tipit; ‘Ne sapo ndërtuam një hendek gjigant rreth kështjellës dhe sapo e shkele atë hendek, re brenda’, thotë Boe Hartman, një ish-oficer i teknologjisë në Goldman Sachs, ku ai drejtoi ekipin që ndërtoi infrastrukturën bankare konsumatore që bëri të mundur kartën e kreditit të Apple dhe veçoritë e saj të lavdëruara të privatësisë.
Kjo lloj sigurie perimetrike kishte kuptim në një kohë kur rrjetet e korporatave përbëheshin kryesisht nga komputera që ishin të lidhur fizikisht në një ndërtesë zyre – ose, nëse ishin jashtë vendit, me një rrjet privat virtual ose VPN.
Këto ditë, një shumëllojshmëri marramendëse e pajisjeve, punonjësve dhe kontraktorëve të jashtëm lidhen me sistemet e korporatave, në një gamë gjithnjë e më të madhe mënyrash, nga pajisjet personale celulare dhe kompjuterët e shtëpisë deri te shërbimet ‘cloud’ dhe pajisjet e internetit.
Sot, mbështetja vetëm në mbrojtjen e çdo pajisjeje dhe llogarie që mund të lidhet me sistemet e një kompanie nuk është thjesht e vështirë, por shpesh katastrofike, pasi sulmuesit duhet të kalojnë vetëm një portë të vetme për të hyrë në të gjithë ‘mbretërinë’.
Në Uber, sulmuesi përdori llogarinë e kontraktorit të komanduar për të hyrë në sistemet e brendshme, duke postuar një mesazh në një kanal Slack në mbarë kompaninë dhe duke marrë përsipër një llogari të përdorur për të komunikuar me studiuesit e sigurisë.
Uber duhej të pezullonte përkohësisht qasjen në sistemet e komunikimit të brendshëm. Një përfaqësues nuk pranoi të komentonte përtej një deklarate që thoshte se kompania nuk kishte gjetur asnjë tregues se hakeri kishte qasje në llogaritë e përdoruesve ose në bazat e të dhënave që Uber përdor për të ruajtur informacione të ndjeshme të përdoruesit.
Çdo përbërës i një sistemi duhet të jetë skeptik se ju jeni ai që thoni se jeni dhe po bëni atë që duhet të bëni.
Qasja e besimit zero synon të kufizojë dëme tejet të mëdha.
“Besimi zero bazohet në idenë se nuk i besoni më asgjëje në sistemin tuaj.” – thotë Anshu Sharma, shefi ekzekutiv i Skyfloë, një startup që përdor parimet e besimit zero për të mbrojtur të dhënat personale për kompanitë e tjera.
“Vetëm sepse jeni në ndërtesë, nuk keni qasje në gjëra të rëndësishme.”
Shumë nga parimet e projektimit që drejtojnë inxhinierët që ndërtojnë sisteme me ‘besim zero’ janë të lehta për t’u kuptuar. Nëse e keni gjetur veten që duhet të identifikoheni përsëri në sistemet e korporatave ose në faqen e internetit të bankës tuaj më shpesh vonë, ky është një version i taktikës së besimit zero të ‘metodave’ të rregullta të kredencialeve që lejojnë njerëzit dhe kompjuterët të kenë qasje në sisteme të tjera. Ideja është që edhe nëse sulmuesit hynë me llogarinë tuaj, ata do kishin kohë të kufizuar për të bërë dëm.
Një parim tjetër i besimit zero, i njohur si analiza e sjelljes, është se softueri duhet të mbikëqyrë sjelljen e atyre në një rrjet dhe të ‘djegë’ këdo që bën diçka të pazakontë, si për shembull të përpiqet të bëjë një tërheqje shumë të madhe bankare. (Ky është i njëjti lloj analize që e shtyn bankën tuaj t’ju dërgojë një mesazh nëse bëni një blerje me kartë krediti, për shembull, kur jeni duke udhëtuar në një qytet të ri.)
Tema e qëndrueshme është se çdo përbërës i një sistemi duhet të jetë skeptik, edhe nëse e keni identifikuar veten dhe keni fituar qasje, se jeni ai që thoni se jeni dhe po bëni atë që duhet të bëni.
Rockstar Games, botuesi i ‘Red Dead Redemption’, zbuloi një hakerim të madh javën e kaluar që çoi në ndërprerjen e operacioneve.
Sistemet me zero besim mund të krijojnë bezdi për përdoruesit dhe punonjësit, sepse siguria është gjithmonë një ekuilibër midis dhënies së qasjes që u nevojitet njerëzve dhe kërkesës që ata të provojnë identitetin e tyre.
Ky është gjithashtu një koncept i njohur si ‘parimi i privilegjit më të vogël’, ose duke u dhënë njerëzve qasje vetëm në gjërat që u nevojiten, kur u duhen dhe jo më shumë. Por kjo bie ndesh me prioritetet e shumë bizneseve, të cilat janë të përqendruara më shumë në maksimizimin e efikasitetit të operacioneve të tyre sesa në sigurimin e tyre.
Një dekadë e ‘besimit zero’
Ndërsa shumë biznese vetëm tani po përshtasin sisteme të vërteta me zero besim, industria e sigurisë ka folur për problemin në fjalë për më shumë se një dekadë.
Një kompani që kuptoi që herët se muret dhe hendeqet nuk ishin më mbrojtje e përshtatshme, ishte Google. Mësoi në rrugën e vështirë; Duke filluar nga viti 2009, sulmet e bashkërenduara nga hakerat e lidhur me qeverinë kineze u përpoqën të depërtonin në llogaritë e emailit të Google-it të aktivistëve kinezë të të drejtave të njeriut, raportoi The Ëall Street Journal.
Menjëherë pas kësaj, Google filloi të zbatojë versionin e tij të sistemeve me besim zero, të cilin e quajti BeyondCorp. Një zëdhënëse thotë se qasja e tij zbatohet për të gjitha pjesët e një sistemi IT, përdoruesit, pajisjet, aplikacionet dhe shërbimet, pavarësisht nga pronësia ose vendndodhjen fizike të rrjetit. Të gjithë këta elementë trajtohen me të njëjtin dyshim të qenësishëm. Ndërrimi në fakt e bën më të lehtë për punonjësit të punojnë nga kudo, pa një VPN, shton ajo.
Natyrisht, Google gjithashtu e ktheu atë në një produkt që mund të përdoret nga kompanitë që paguajnë për shërbimet e tij cloud.
Ka shumë këshilltarë dhe shitës të tjerë që përdorin parimet e besimit zero, ose shesin sisteme të ndërtuara me to. Okta është e specializuar në sistemet e verifikimit të identitetit njerëzor me zero besim. (Fakti që vetë Okta është bërë kohët e fundit një viktimë hakerimi tregon se si hakerët mund të kapërcejnë kufijtë e sigurisë së kompanisë, madje edhe në kompanitë që specializohen në siguri.)
Zscaler bën të njëjtën gjë për qasjen për softuer dhe pajisje. Rrjetet Palo Alto ndihmojnë në ndërtimin e rrjeteve me zero besim. Lista vazhdon. Megjithatë, bizneset – duke përfshirë kompanitë e mëdha dhe të sofistikuara të teknologjisë – vazhdojnë të vuajnë humbje të të dhënave të pronarit, kodit burimor dhe informacionit të klientit.
‘Roma nuk u rindërtua brenda një dite’
Krijimi i një arkitekture me zero besim nga lart-poshtë për infrastrukturën ekzistuese të IT-së së një kompanie kërkon angazhim nga drejtuesit e saj më të lartë dhe në fund mund të kërkojë atë që në thelb është një rinovim i sistemit të saj, thotë z. Hartman, tani bashkëthemelues i ‘Nomi Health’, një startup i kujdesit shëndetësor.
Uber zbuloi një ndërhyrje që rezultoi nga një kontraktor që miratoi një kërkesë false për qasje të shkaktuar nga një haker.
Muaj përpara se të sulmohej, Nvidia, kompania gjysmëpërçuese amerikane me vlerën më të lartë, njoftoi një mjet të quajtur Morpheus digitalprinting fingerprint, që do funksionojë në pajisjen Nvidia.
Ai përdor inteligjencën artificiale për të analizuar qindra miliarda veprime të përdoruesve në javë dhe për të shënuar rastet kur një përdorues duket se po bën diçka të pazakontë dhe potencialisht me rrezik të lartë. Për shembull: Një përdorues që punon normalisht në Microsoft Office, befas po përpiqet të ketë qasje në mjetet dhe ‘depot’ ku qëndron kodi burimor i kompanisë.
Kështu që Nvidia dinte një ose dy gjëra për besimin zero. Megjithatë, në mars, sistemet e tij u komprometuan – me gjasë, siç u raportuan, nga Lapsus$, i njëjti grup hakerash të rinj që goditën Uber-in dhe të tjerët. Më pas, CEO Jensen Huang tha se incidenti ishte një thirrje zgjimi dhe u zotua të përshpejtojë përqafimin nga Nvidia të arkitekturës me zero besim.
Përdorimi i këtij sistemi ka edhe anët e tij negative, duke përfshirë mënyrën se si mund të kufizojë produktivitetin e inxhinierëve që të gjithë duan sa më shumë qasje të jetë e mundur. Arritja e një ekuilibri midis sigurisë dhe qasjes do të thotë biseda të vazhdueshme midis ekipeve të sigurisë dhe punonjësve të cilëve u shërbejnë, thotë Justin Boitano, nënkryetar i informatikës së ndërmarrjeve në Nvidia.
Okta, e cila gjithashtu ka të ngjarë të jetë goditur në mars nga Lapsus$, tha në një postim në blog duke raportuar pasojat e asaj shkeljeje se kompania kishte dalë shumë më mirë se sa u frikësua fillimisht nga inxhinierët e saj.
Sipas një raporti të përgatitur nga një firmë e jashtme e sigurisë kibernetike, sulmuesi qëndroi në sistemet e tij për vetëm 25 minuta, pa dhe mori pamje nga ekrani i dy llogarive të klientëve dhe nuk ishte në gjendje të identifikohej drejtpërdrejt në llogarinë Okta të ndonjë klienti ose të bënte ndonjë ndryshim në sistemet e brendshme.
‘Teknologji personale’
Joanna Stern dhe pjesa tjetër e ekipit të ‘Teknologjisë Personale’ shqyrtojnë produktet dhe teknologjitë e reja.
Okta tani kërkon nga nënkontraktorët, të përdorin arkitekturat e sigurisë me zero besim dhe të gjithë ata duhet të demonstrojnë se kanë të njëjtin nivel sigurie në sistemet e tyre që Okta ka në vetvete, thotë një zëdhënës i kompanisë. Okta i shpall sistemet e veta si zero-besim, dhe kompania vlerëson arkitekturën e saj me zero besim që parandalon hakerat që të hyjnë më tej në sistemet e saj.
Microsoft thotë se një sulm Lapsus$ në sistemet e tij në mars ka shkelur vetëm një llogari dhe është zbuluar dhe trajtuar shpejt dhe nuk ka çuar në ndonjë rrjedhje të të dhënave të klientit. Vasu Jakkal, nënkryetari i korporatës për sigurinë e kompanisë, thotë se mungesa e dëmtimit ishte rezultat i arkitekturës së brendshme të Microsoft-it me zero besim.
Pa një arkitekturë të tillë, një sulmues mesatar mund të kalojë nga fitimi i qasjes në një sistem, në hyrjen në pjesë të ndjeshme të tij në pak më shumë se një orë, shton znj. Jakkal. Numri i përpjekjeve për sulme kibernetike të bazuara në identitet vazhdon të rritet, për shkak të hakerëve me burime më të mira dhe mjeteve të automatizuara.
“Sulmet mund të vijnë nga kudo, nga kushdo dhe mund t’i bëhen kujtdo.” – thotë znj. Jakkal.
“Nuk ka asnjë kompani, pavarësisht sa e madhe apo e vogël, që nuk është e prekshme ndaj sulmeve.”
Miratimi i një qasjeje me besim zero nënkupton ndryshimin e shumë shtresave të sigurisë. Ato përfshijnë shtimin e vërtetimit me shumë faktorë në llogaritë e kompanive dhe dhënien e përdoruesve dhe sistemeve sa më pak qasje se u nevojitet në të vërtetë.
Gjerësia e ndryshimeve do të thotë që kompanitë që rindërtojnë sistemet e vjetra duhet të vendosin prioritete, thotë z. Hartman, duke filluar me mbrojtjen e ‘bizhuterive të tyre të kurorës’ – kodin burimor, prona të tjera intelektuale, informacione për klientët dhe të ngjashme. Më vonë, ata mund të punojnë përmes pjesëve të tjera të sistemeve të tyre.
Shkalla e sfidës shpjegon, pjesërisht, pse vetëm 22% e kompanive kanë zbatuar vërtetimin me shumë faktorë – të tilla si biometria, njoftimet pasuese ose vërtetimi i bazuar në pajisje, përveç një fjalëkalimi – edhe pse është një nga më mbrojtjes më të mira kibernetike të linjës së përparme, thotë znj. Jakkal.
Edhe përkrahësit e pranojnë se besimi zero nuk është një ‘plumb i artë’, në një pjesë të vogël sepse kërkon shumë kohë dhe përpjekje për ta bërë atë realitet. Por në një botë ku rregullatorët, aksionerët dhe klientët janë të gjithë të gatshëm t’i mbajnë kompanitë dhe drejtuesit e tyre përgjegjës për hakerimet dhe shkeljet e të dhënave, dhe sulmuesit janë më të shkathët dhe agresivë se kurrë, kompanitë mund të mos kenë shumë zgjedhje. Ata duhet të angazhohen për ta bërë veten më pak të cenueshëm.
“Jetojmë në një botë të re. Ju duhet të supozoni se gjithmonë do ketë njerëz të këqij në rrjetin tuaj.” – thotë z. Boitano i Nvidia.
“Dhe pyetja është se si i mbroni burimet tuaja dhe pronën intelektuale të kompanisë.”
VINI RE: Ky material është pronësi intelektuale e WSJ
Përgatiti për Hashtag.al, K.Manjani
