Kibernetička sigurnost (eng. cyber security) je opći naziv za niz praksi zaštite računalnih sustava i mreža. Glavni cilj je spriječiti neovlašteni pristup, krađu podataka ili njihovo oštećenje. Također, kibernetička sigurnost omogućava da svi ovlašteni korisnici sigurno pristupaju i upravljaju podacima bez straha od zloupotrebe. Ovo je posebno važno u hosting industriji, gdje pružatelji usluga moraju biti oprezni, odgovorni i redovito ažurirati poslužitelje. To uključuje praćenje novih trendova i alata za poboljšanje sigurnosti.
DoS napadi
DoS napad (eng. Denial of Service) su vrsta kibernetičkog napada koje maliciozni akteri (hakeri) izvode najčešće tako što namjerno generiraju veliki volumen prometa prema određenoj meti (obično poslužitelj/i na kojem se hosta neka web stranica ili web servis). Neprirodno velik broj upita koje takav volumen podataka stvori na poslužitelju, dovodi do onemogućavanja pristupa i/ili sprečavanja normalnog rada napadnutog poslužitelja ili usluge. DDoS napad može uzrokovati financijsku štetu, ali i na druge načine naštetiti reputaciji tvrtke čiji je sustav napadnut i dugoročno smanjiti povjerenje korisnika.
Postoje još i DDoS napadi (eng. Distributed Denial of Service) koji imaju isti cilj, jedino što DoS napad dolazi s jednog izvora, a DDoS s više različitih izvora rasprostranjenih diljem svijeta. System admini koji brinu od poslužitelju koji je pod napadom, trude se što prije usporiti i mitigirati napad, a koje mjere će biti poduzet ovisi o tome koji je tip DDoS napada u pitanju: volumetrički napad , napad na aplikacijskom sloju ili napad na razini mrežnog protokola.
Volumetrički napadi zaguše kapacitet propusnosti poslužitelja bez obzira na njegovu konfiguraciju. Ovakva zaštita implementira se putem DNS-a (skrije se prava IP adresa poslužitelja koja je meta napada) ili pomoću BGP protokola (engl. Border Gateway Protocol) – neželjeni promet koji je namijenjen nekoj meti, sistem admini mogu preusmjeriti prema centru za čišćenje (engl. scrubbing center) kako bi se očistio. Čišćenje (engl. scrubbing) se odvija u mreži većeg kapaciteta propusnosti i onda se propusti samo legitiman promet.
Ako se radi o DDoS napadu na aplikacijskom sloju, prvi je korak blokiranje svih IP adresa s kojih je napada upućen. Tu je ponekad teško razlikovati legitiman upit na poslužitelj, tj. treba blokirati neželjeni promet a propustiti promet svih pravih korisnika. Aplikacijski vatrozid ili WAF (engl. Web Application Firewall) ovdje je od velike koristi jer filtrira sav promet koji putuje od klijenata prema web sjedištu te s dobro postavljenim pravilima može odmah blokirati sve neželjene upite. Moderne verzije Linux i Windows operacijskih sustava su po zadanim postavkama konfigurirani mjerama koje mogu ublažiti ili čak spriječiti neke od DDoS napada na mrežnom sloju. DDoS napad ponekad može biti izazvan i nepažljivim programiranjem aplikacije – tada developeri moraju napraviti korekcije dijelova kȏda aplikacije koji rezultiraju uskraćivanjem usluga.
Ransomware
Ucjenjivački softver (eng. Ransomware, ransom = otkupnina) je skup zlonamjernih programa koji napadač instalira na računalu ili poslužitelju što korisniku onemogućuju korištenje istog. Napadač potom od korisnika traži otkupninu kako bi vratio pristup računalu ili poslužitelju. Naime ransomware ili šifrira određene datoteke pa ih se ne može koristiti ili onemogući uopće korištenje jer se na sučelju pojavljuje poruka je nemoguće maknuti. Od pojave kriptovaluta, sve su češći tzv. crypto ransomware – gdje napadač za otključavanje računala ili poslužitelja traži otkupninu u nekoj crypto valuti (poznati su još i Locker Ransomware, Scareware i Doxware). Međutim, kod ransomware napada, najveći problem je što napadač može zloupotrijebiti korisničke podatke registriranih korisnika ukradenih iz baze podataka. Zato je važno stalno raditi na prevenciji takvih napada i nakon što je ransomware otklonjen.
Najčešće mete ovakvih napada su važne institucije (banke, bolnice, uredi vlada i sl.) ili velike tvrtke i organizacije od kojih napadača traži velike svote kao bi vratio pristup podacima. Nažalost, trend takvih napada ne opada već troškovi rastu. Uz samu otkupninu (koje mnoge žrtve plate ako je riječ o vrlo kritičnim podacima za poslovanje) tu su još i troškovi stručnjaka angažiranih za rad na problemu dok se prijetnja ne otkloni. Troškovi otkupnina rastu iz godine u godinu i neke procjene već sad kažu kako će do 2031. ti troškovi narasti do 265 milijardi američkih dolara. (Izvor: Cybercrime Magazine)
Izvor: Chainalysis
Prevencija se sastoji od sljedećih radnji:
– redovito ažuriranje svih aplikacija uključujući OS,
– ne otvarati sumnjive privitke u e-mail porukama (tzv. Phishing),
– ne otvarati reklame koje iskoče u skočnom prozoru u web pregledniku (koristiti tzv. “ad blocker”),
– ne koristiti web preglednik ekstenzije koje nemaju dobre recenzije,
– koristiti dobar antivirusni program,
– ne koristiti piratski software bilo koje vrste
– izbjegavati općenito instalacije bilo kakvih sumnjivih aplikacija na uređaj
– prevencija na poslužitelju – koristiti dobrog pružatelja usluge koji će proaktivno štititi poslužitelj od bilo kakvih sumnjivih radnji i u startu koristiti najbolje prakse osiguravanja poslužitelja od svih vrsta napada
Naime sve su to slabe točke koje otvaraju put za vektor napada – način na koji napadač ostvaruje inicijalni pristup sustavu. Ako dođe do ransomware incidenta, stručnjaci koji se bave takvim incidentima (IT specijalisti za kibernetičku sigurnost) analiziraju vektore napada te rade na otklanjanju incidenta i pokušaju spašavanja podataka u slučaju da ne postoji backup.
Uz prevenciju na način da se koristi dobre računalne prakse i izbjegava rizično ponašanje (prakticiranje tzv. zero-trust principa), najvažnija praksa kod sprječavanja teških posljedica za žrtvu ransomware napada je redovito kreiranje sigurnosnih kopija (eng. backup). Posebno se želimo zadržati pri backupu jer se backup smatra jedinom “slamkom spasa” u slučaju da dođe do zaraze ransomware-om. Naime ako imate backup, moguće je reinstalirati OS i onda vratiti čisti backup.
Kod backupa veoma je važno da se naprave kopije koje će su čuvati “offsite” – dakle ne na istom uređaju čiji se backup kreirao. Preporučuje se redovito i periodičko kreiranje tzv. točki vraćanja (eng. restore point) sigurnosne kopije – primjerice dnevni, tjedni i mjesečni backup i po mogućnosti automatizirati taj proces (ovo je općenito preporučeno za poslužitelje koji danas imaju velik niz dobrih opcija za kreiranje sigurnosnih kopija ).
Također preporučuje se dodatno periodičko “ručno” kreiranje sigurnosne kopije i pohrana na vanjski disk ili poslužitelj kako u slučaju kompromitacije taj backup bio siguran. Ovo je zadnja linija obrane od ransomware-a.
Zašto bi kibernetička sigurnost trebala biti važna svakom korisniku
Osim očitih razloga koji uzrokuju probleme u poslovanju (nefunkcionalna web stranica ili aplikacija) i gnjavažu korisnicima, postoje i drugi važni razlozi za brigu.
Ako je kibernetička sigurnost vaše web stranice ili web aplikacije ugrožena, ona može postati nedostupna (uključujući admin sučelja), neodgovarati (odnosno prikazivati razne web greške) ili čak postati opasna. Na primjer, haker može postaviti “phishing stranicu” ili redirekciju na takvu stranicu, ili neku drugu zlonamjernu skriptu. Posljedice za poslovanje, povjerenje korisnika i ugled domene mogu biti značajne.
Bez odgovarajuće kibernetičke zaštite, troškovi čišćenja web stranice od strane profesionalaca predstavljaju dodatni financijski teret za vlasnika. Dok je stranica ili aplikacija nedostupna, gubi se vrijeme i novac – naročito ako je riječ o e-trgovini ili SaaS online servisu koji naplaćujete, a sada je nedostupan. Kako bi se ovo izbjeglo, važna je prevencija i rana detekcija problema, a tu pomaže Imunify360.
Imunify360
Izvor: Imunify360
Kibernetička sigurnost nikad nije bila jednostavnija uz Imunify360.
Imunify360 je moćan alat koji štiti vašu web stranicu od malicioznog koda.
Kompatibilan je sa serverima koji koriste sljedeće operativne sustave:
- CloudLinux OS (6,7,8),
- Ubuntu (16,18, 20),
- CentOS (6,7,8),
- Debian (9,10,11,12),
- RHEL (6,7,8),
- AlmaLinux 8
Imunify360 podržava sučelja kao što su cPanel, Plesk, DirectAdmin i CyberPanel.
Također, može se koristiti na serverima bez kontrolne ploče putem terminala, što omogućava pokretanje skeniranja i čišćenja (više informacija možete pronaći na Imunify360 blogu).
Sve Imunify Security proizvode razvija tvrtka CloudLinux, etablirani lider u hosting industriji. Zahvaljujući anti-malware skeneru i drugim naprednim alatima, Imunify360 pruža iznimnu razinu kibernetičke sigurnosti. Proizvodi poput ImunifyAV+ i ImunifyAV, koji su dio Imunify360 sigurnosnog paketa, značajno povećavaju sigurnost poslužitelja na kojima su instalirani.
Nakon početnih testiranja, Imunify360 smo 2022. godine uveli kao standardnu zaštitu na sve naše Linux shared hosting servere i pakete. Preporučujemo da redovito provjeravate u cPanelu je li Imunify360 otkrio sumnjivi kod u bilo kojem od vaših datoteka na hosting paketu. Imunify360 licenca se može zakupiti i za VPS i namjenski poslužitelj (eng. dedicated server).
Na našim poslužiteljima značajka automatskog skeniranja svih izmijenjenih datoteka uvijek je uključena. Skeniranje u stvarnom vremenu prati promjene datoteka u korisničkim mapama i pokreće skener zlonamjernog softvera nakon što se otkrije nova ili izmijenjena datoteka. Malware Database Scanner također je stalno uključen, što omogućava automatizirano otkrivanje zlonamjernog softvera.
Koliko je Imunify360 učinkovit, pokazuju podaci s njihove službene web stranice: dnevno reagira na preko 450 milijuna incidenata i mjesečno čisti preko 24 milijuna datoteka.
Kibernetička sigurnost uz Imunify360
Da bi odbio hakerske napade, Imunify360 oslanja se na nekoliko ključnih karakteristika i odlika pa istražimo ih redom:
Prevencija napada i praćenje incidenata:
Imunify360 štiti od različitih vrsta cyber napada kao što su brute force napadi, DDoS napadi i malware. Prati i klasificira napade na SSH, FTP, POP, IMAP prema OSSEC pravilima, bilježeći neispravne autentifikacije i upite s blokiranih IP adresa. IP adrese iza Cloudflarea i drugih CDN-ova stavlja na greylist i blokira putem WebShielda. Za identifikaciju stvarnih IP adrese koristi zaglavlja “CF-Connecting-IP” i “X-Forwarded-For”.
Skeniranje i uklanjanje malicioznih datoteka:
Imunify360 redovno skenira sve datoteke na serveru i automatski uklanja zlonamjerne datoteke koristeći vlastiti antivirusni software koji prati CVE listu za identifikaciju prijetnji.
Malware skener sučelje (osim što skenera ranjivosti datoteka u stvarnom vremenu) može:
- skenirati datoteke učitane putem FTP-a (podržava Pure-FTPd)
- skenirati datoteke učitane putem HTTP/HTTPS
- skenirati datoteke radi promjena putem “inotify” (“Linux kernel subsystem”)
- skenirati na zahtjev (mapu → npr. cijeli home direktorij nekog usera)
Skeniranje zlonamjernog softvera omogućuje:
- monitorirati u stvarnom vremenu aktivnost skenera
- pokrenuti sken datoteka na zahtjev
- upravljati zlonamjernim i očišćenim datotekama
- upravljanje “ignore list-om”
Napredni vatrozid (Firewall):
Imunify360 koristi napredni WAF za filtriranje dolaznog i odlaznog prometa, sprječavajući neovlašten pristup i blokirajući sumnjive aktivnosti. Koristi RBL (eng. Real-Time Blacklists) za identifikaciju napadača i loše botove koji pokušavaju skenirati ili napasti razne login stranice, xmlrpc.php i druge popularne, često korištene URL-ove. Sprječava SQL injekcije i “file inclusion ” ranjivosti.
Administratori mogu ručno upravljati whitelist, greylist i blacklist popisima IP adresa. Ako je neki IP označen za blacklist ili greylist, admini će vidjeti kratku poruku s razlogom zašto je tome tako, a također uz whitelist IP adrese admini mogu staviti komentar zašto je IP dodan kao iznimka.
Greylista je isto iznimno korisna, jer u slučaju da korisnik prekrši Imunify360 sigurnosna pravila, (npr. unos krive lozinke) , tada Imunify360 automatski blokira pristup ovoj korisničkoj IP-adresi, dodajući IP-adresu na “greylist” i preusmjerit će korisnika na unos Captche. Nakon ispravnog unosa Captche, Imunify360 će ukloniti tog korisnika s navedene liste. U slučaju ponovnog kršenja, IP-adresa će se ponovno automatski dodati na greylist.
Imunify360 u sebi “donosi” i odgovor na posjete iz Kine. Poznata je činjenica da se Googleova ReCaptcha ne prikazuje kineskim posjetiteljima jer Google ReCaptcha API ne radi u Kini.
Zato je Imunify360 napravio svoj “WebShield” – vlastiti ‘SplashScreen’ umjesto Google ReCaptcha i pritom se pojavljuje se stranica s izazovom (eng. challenge) koja provjerava je li posjetitelj legitiman ili je u pitanju “bad” bot.
IDS/IPS sustavi:
IDS (eng. Intrusion Detection System) nadzire mrežni promet i sistemske aktivnosti kako bi detektirao sumnjive radnje. Analizom tih podataka, IDS može lako prepoznati obrasce koji odgovaraju već poznatim prijetnjama ili anomalijama koje mogu ukazivati na cyber napad na poslužitelju. Kada otkrije potencijalni napad, IDS sustav obavještava administratore ili sigurnosne timove, ali obično ne poduzima akciju za blokiranje napada.
IPS (eng. Intrusion Prevention System) ide korak dalje i automatski poduzima akcije za sprječavanje prijetnji. IDS to čini kroz blokiranje mrežnog prometa, onemogućavanje pristupa korisničkim računima ili kroz prilagodbu sigurnosnih postavki kako bi spriječio napad. Oba sistema su ključna kako bi se održala kibernetička sigurnost i često “rade zajedno” kako bi osigurali sveobuhvatnu zaštitu.
Sustav za praćenje reputacije IP adresa i domena:
Ovaj sustav identificira i blokira zlonamjerne izvore. Sustav reputacije koji je Imunify360 tim isprogramirao već po instalaciji Imunify360 automatski popunjava “greylistu” s preko 15 000 adresa koje su već detektirane kao potencijalno štetne za poslužitelj – što znači da to ne mora napraviti administrator poslužitelja.
Pregledna kontrolna ploča:
Kontrolna ploča Imunify360 omogućuje jednostavan pristup svim navedenim informacijama o sigurnosnim događajima i upravljanje postavkama, što u konačnici olakšava rad administratorima i tehničkoj podršci.
Proaktivna zaštita:
Imunify360 koristi tehnologiju za proaktivnu obranu, prepoznaje i blokira napade prije nego što mogu nanijeti štetu. Ova zaštita prepoznaje maliciozne funkcije u PHP skriptama i ograničava njihovu funkcionalnost, čime sprječava izvršenje zlonamjernog koda.
Primjerice, prepoznaje tzv. “nulled” teme ili dodatke iz nepouzdanih izvora koje već u sebi imaju maliciozni kod koji bi mogao po instalaciji “ubaciti se” i u osnovne (“core”) datoteke aplikacije. U sustavu proaktivne zaštite koriste se posebni obrasci koji ispituju tijek obrade PHP skripti i ograničavaju funkcionalnost zlonamjernih funkcija. S uključenom proaktivnom zaštitom, funkcionalnost malicioznih shell ili “backdoor” skripti biva ograničena. Pametni unutarnji mehanizmi identificiraju i blokiraju izvođenje malicioznih funkcija, a pritom ne prekidaju tijek izvršavanja ispravnog koda.
Izvor: Imunify360
Svojim naprednim značajkama, poput prevencije napada, skeniranja i uklanjanja zlonamjernih datoteka, naprednog vatrozida, IDS/IPS sustava, praćenja reputacije IP adresa i domena, pregledne kontrolne ploče i proaktivne zaštite, Imunify360 osigurava da vaša web stranica i server ostanu sigurni i funkcionalni. Automatska skeniranja i praćenje u stvarnom vremenu dodatno poboljšavaju sigurnost, sprječavajući potencijalne napade prije nego što mogu nanijeti štetu.
Ulaganje u kibernetičku sigurnost s Imunify360 znači zaštitu vašeg poslovanja, povjerenja korisnika i ugleda domene. Redovito ažuriranje i praćenje novih sigurnosnih prijetnji osigurava dugoročnu zaštitu i mirno poslovanje u digitalnom svijetu.
