Razdoblje između Božića i Nove godine za većinu organizacija znači usporavanje poslovnih aktivnosti, manji broj zaposlenika i fokus na održavanje osnovnih procesa. Za napadače to znači idealan trenutak za djelovanje. Sigurnosni incidenti koji započnu tijekom blagdana često se ne primijete odmah, a njihove stvarne posljedice postaju vidljive tek nakon povratka u redovni radni ritam. Iskustvo iz stvarnih incidenata pokazuje da blagdani nisu iznimka, već jedno od najrizičnijih razdoblja u godini. Ne zbog novih prijetnji, nego zbog kombinacije postojećih slabosti i smanjene razine nadzora.

Zašto napadači ciljaju razdoblje Božića i Nove godine

Napadači vrlo svjesno biraju vrijeme svojih aktivnosti. Blagdani im nude predvidljivo okruženje u kojem organizacije rade s ograničenim kapacitetima. Unaprijed je poznato kada su ključni zaposlenici na godišnjem odmoru, kada su IT i sigurnosni timovi reducirani i kada se odluke odgađaju. U takvim uvjetima napadači dobivaju više vremena unutar sustava prije nego što budu primijećeni.

Dodatni problem je sporija eskalacija. Čak i kada se sumnjiva aktivnost uoči, reakcija se često odgađa jer nema jasne odgovornosti ili su ključne osobe nedostupne. To napadačima omogućuje kretanje kroz sustav, prikupljanje podataka i pripremu ozbiljnijih faza napada.

Manje osoblja, sporije reakcije i opuštene kontrole

Tijekom blagdana sigurnost rijetko nestaje namjerno. Ona jednostavno prestaje biti prioritet. IT i sigurnosni timovi često rade u smanjenom sastavu, a u manjim organizacijama sigurnost se svodi na povremene provjere. Upozorenja ostaju neanalizirana, logovi se prikupljaju bez aktivnog nadzora, a pojedinačni incidenti se ne povezuju u širu sliku.

Istovremeno se toleriraju privremena rješenja. Privremeni korisnički računi ostaju aktivni, udaljeni pristupi se ne revidiraju, a sigurnosne kontrole se ublažavaju kako bi se olakšao rad zaposlenicima koji rade udaljeno. Sve to povećava napadnu površinu upravo u trenutku kada je sposobnost reakcije najmanja.

Najčešći napadi tijekom blagdanskog razdoblja

Napadi koji se događaju krajem godine rijetko su tehnički složeni. Njihova učinkovitost proizlazi iz pravog trenutka i iskorištavanja ljudskog faktora. Phishing je najčešći oblik napada. Poruke se predstavljaju kao obavijesti o dostavi paketa, božićne čestitke, promjene radnog rasporeda ili hitni financijski zahtjevi prije zatvaranja godine. Zaposlenici koji rade udaljeno često nemaju mogućnost brze provjere, što povećava vjerojatnost pogreške.

Ransomware napadi često započinju kompromitiranim korisničkim računima ili phishing porukama, ali se aktiviraju kada napadači procijene da je reakcija organizacije usporena. Svaki izgubljeni sat tijekom blagdana povećava pritisak i potencijalnu štetu.

Kompromitirani VPN i drugi udaljeni pristupi također su česti. Slabe lozinke, nedostatak višefaktorske autentikacije i zastarjele konfiguracije omogućuju napadačima neprimjetan pristup sustavu. Takvi upadi često ostaju neotkriveni sve do siječnja, kada se pojave neobične aktivnosti ili ozbiljni incidenti.

Važno je naglasiti da se u većini slučajeva ne radi o novim ranjivostima. Radi se o poznatim tehničkim slabostima koje su postojale i ranije, ali tijekom blagdana postaju kritične jer nema aktivnog nadzora.

Što organizacije realno mogu učiniti i bez stalnog nadzora

Nemaju sve organizacije mogućnost stalnog sigurnosnog nadzora ili dežurnih timova. To ipak ne znači da su prepuštene slučaju. Prvi korak je razumijevanje stvarne izloženosti. Bez jasnog uvida u tehničke ranjivosti teško je znati koje su slabosti doista kritične. Upravo tu vulnerability assessment ima ključnu ulogu. Vulnerability assessment omogućuje sustavno otkrivanje slabosti u sustavima, aplikacijama i mrežnoj infrastrukturi. Umjesto pretpostavki, organizacija dobiva jasnu sliku gdje postoje tehnički propusti koji se mogu iskoristiti upravo u razdobljima smanjene pažnje.

Drugi važan element je prioritetizacija. Nisu sve ranjivosti jednako opasne. Procjena stvarnog rizika omogućuje fokus na one slabosti koje imaju najveći potencijal za ozbiljan incident.

Treći element je priprema. Organizacije koje razumiju svoje slabosti mogu unaprijed ukloniti najkritičnije propuste i ući u blagdansko razdoblje s manjim rizikom i više kontrole.

Blagdani ne stvaraju probleme, oni ih razotkrivaju

Blagdansko razdoblje samo po sebi ne uzrokuje sigurnosne incidente. Ono pokazuje koliko su postojeće sigurnosne mjere zaista učinkovite kada nestane svakodnevna rutina i stalni nadzor. Organizacije koje imaju jasan uvid u svoje tehničke slabosti i razumiju stvarne rizike ulaze u blagdane s manje neizvjesnosti. One koje se oslanjaju na pretpostavke često u novu godinu ulaze rješavajući incidente koji su se mogli spriječiti.

Izvori:

FBI & CISA – Ransomware Awareness for Holidays and Weekends (AA21-243A)
Palo Alto Networks Unit 42 – Incident Response Report