Nowa kategoria cyberzagro?e?

Niedawne przypadki szybko rozprzestrzeniaj?cych si? z?o?liwych kodów znanych pod nazw? WannaCry i Nyetya zwiastuj? pojawienie si? nowego typu ataków, okre?lanych przez Cisco jako DeOS (Destruction Of Service). Nowe ataki b?d? zacznie bardziej destrukcyjne ni? klasyczna odmiana ransomware, powoduj?c, ?e firmy zostan? kompletnie pozbawione mo?liwo?ci odtworzenia danych i przywrócenia systemu IT do normalnego dzia?ania. DeOS uniemo?liwia odtworzenia systemu IT po udanym ataku na infrastruktur?. Wykorzystuje mechanizmy pozwalaj?ce na uszkodzenie systemów do backupu i obs?uguj?cych je sieci. Wraz z rosn?c? popularno?ci? internetu rzeczy (IoT) i realizowaniem przez firmy operacji w trybie online zwi?ksza si? potencjalny obszar ataków, umo?liwiaj?c ich eskalacj? na niespotykan? dot?d skal?.

Obserwacja bie??cej aktywno?ci botnetów wykorzystuj?cych urz?dzenia IoT wskazuje na przygotowania przez cyberprzest?pców rozbudowanej infrastruktury, która potencjalnie b?dzie mog?a zablokowa? dzia?anie ca?ej globalnej sieci internetowej. W obliczu tego zagro?enia, krytycznego znaczenia nabiera mo?liwo?? pomiarów efektywno?ci istniej?cych systemów zabezpiecze?. Cisco ?ledzi post?py w redukcji czasu TTD (Time To Detection) up?ywaj?cego od momentu kompromitacji systemu do momentu wykrycia zagro?enia. Jego skrócenie pozwala na ograniczenie zasi?gu propagacji szkodliwych kodów i zmniejszenie szkód powodowanych przez atak. Od listopada 2015 roku, Cisco skróci?o ?redni czas TTD z 39 godzin do oko?o 3,5 godziny. Warto?ci te s? oparte na analizie danych telemetrycznych dostarczanych przez produkty bezpiecze?stwa Cisco zainstalowane na ca?ym ?wiecie.

Aktualny krajobraz zagro?e?

Specjali?ci Cisco ds. bezpiecze?stwa obserwowali ewolucj? zagro?e? w pierwszej po?owie 2017 roku. Zebrane dane pozwoli?y okre?li? jak zmieniaj? si? sposoby rozpowszechniania malware oraz jakie techniki pozwalaj? ukry? szkodliwe kody przed wykryciem. Cyberprzest?pcy coraz cz??ciej próbuj? zach?ci? potencjalne ofiary do uruchamiania malware przez klikni?cie w link lub otwarcie zainfekowanego za??cznika. Rozwijaj? te? techniki umieszczania szkodliwych kodów bezpo?rednio w pami?ci RAM, co jest trudniejsze do wykrycia przez oprogramowanie zabezpieczaj?ce przed zagro?eniami. Coraz cz??ciej wykorzystuj? oni równie? zdecentralizowan?, anonimow? infrastruktur?, tak? jak us?ugi dost?pne w sieci Tor, by ukry? serwery C&C (Command & Contol) kontroluj?ce aktywno?? szkodliwego oprogramowania.

Zarejestrowano istotny spadek liczby pojawiaj?cych si? w sieci nowych eksploitów, ale jednocze?nie zaobserwowano wzrost liczby ataków wykorzystuj?cych tradycyjne, od dawna znane techniki:

– Znacz?cy wzrost ilo?ci spamu spowodowany jest powrotem sprawdzonych metod masowej dystrybucji malware przy wykorzystaniu np. wiadomo?ci email. Analitycy Cisco przewiduj?, ?e ilo?? spamu ze szkodliwymi za??cznikami b?dzie dalej wzrasta?, podczas gdy liczba nowych eksploitów b?dzie si? zmienia?.

– Oprogramowanie spyware i adware, cz?sto okre?lane przez specjalistów ds. bezpiecze?stwa jako powoduj?ce wi?cej k?opotów ni? rzeczywistej szkody, to element malware, który wci?? si? pojawia, stanowi?c zagro?enie dla firm. Przeprowadzone przez Cisco 4-miesi?czne badania 300 firm wykaza?y, ?e 20% z nich by?o infekowanych przez trzy g?ówne rodziny szkodliwych kodów. W ?rodowiskach korporacyjnych spyware mo?e s?u?y? do wykradania prywatnych i firmowych informacji os?abiaj?c istniej?ce mechanizmy zabezpieczania urz?dze? i zwi?kszaj?c zagro?enie kolejnymi infekcjami.

– Ewolucja ransomware, na przyk?ad wzrost popularno?ci us?ug okre?lanych jako RaaS (Ransomware-as-a-Service), u?atwia cyberprzest?pcom przeprowadzanie ataków niezale?nie od ich wiedzy i umiej?tno?ci technicznych. Informacje o atakach ransomware wci?? trafiaj? na nag?ówki gazet a wed?ug szacunków warto?? wyp?aconych okupów przekroczy?a w 2016 roku 1 miliard USD. Nale?y jednak pami?ta? o firmach, które ponios?y olbrzymie straty w wyniku ransomware, cho? informacje o tym nie zosta?y upublicznione. Kompromitacja systemów biznesowej poczty email (BEC -Business Email Compromise) czyli ataki wykorzystuj?ce techniki in?ynierii spo?ecznej do przygotowania oszuka?czych wiadomo?ci email, które maj? sk?oni? do przes?ania pieni?dzy na konta nale??ce do cyberprzest?pców, sta?y si? lukratywnym biznesem. Wed?ug organizacji Internet Crime Complaint Center w okresie od pa?dziernika 2013 do grudnia 2016 roku globalne straty zwi?zane z atakami BEC osi?gn??y warto?? 5,3 mld USD.

Jednakowe wyzwania dla wszystkich bran?

Cyberprzest?pcy wci?? doskonal? techniki i zwi?kszaj? intensywno?? ataków, a firmy zaczynaj? mie? problem z nad??aniem za zmianami nawet w zakresie spe?nienia podstawowych wymaga? cyberbezpiecze?stwa. Wraz z integracj? technologii IT (Information Technology) i OT (Operational Technology) w ramach systemów IoT ro?nie stopie? skomplikowania systemów zabezpiecze?, firmom trudno zapewni? widoczno?? oraz kontrol? nad wszystkimi pojawiaj?cymi si? zagro?eniami. W ramach badania Security Capabilities Benchmark Study, Cisco przeprowadzi?o ankiet? w?ród  3000 specjalistów bezpiecze?stwa z 13 krajów. Wynika z niej, ?e zespo?y zajmuj?ce si? bezpiecze?stwem w firmach s? coraz bardziej przeci??one rosn?c? liczb? ataków, z którymi musz? si? zmaga?. To z kolei powoduje skupienie si? na reaktywnym usuwaniu skutków, a nie na proaktywnym przeciwdzia?aniu zagro?eniom.

Podstawowe wnioski z bada?:

– Nie wi?cej ni? 66% firm ?ledzi i analizuje alerty dotycz?ce nowych zagro?e?. W niektórych bran?ach (np. s?u?ba zdrowia czy transport) wska?nik ten oscyluje w granicach 50%.

– Nawet w najbardziej newralgicznych segmentach rynku (takich jak finanse czy s?u?ba zdrowia) firmy i organizacje eliminuj? mniej ni? 50% ataków, które zosta?y uznane za realne zagro?enie dla bezpiecze?stwa.

– Wykrycie w?amania to sygna? pobudzaj?cy do dzia?a?. W 90% firm spowodowa? on wprowadzenie przynajmniej umiarkowanych usprawnie? systemu bezpiecze?stwa, cho? niektóre bran?e (np. transport), s? pod tym wzgl?dem mniej responsywne i parametr ten wynosi tylko ok. 80%.

Kluczowe ustalenia dotycz?ce poszczególnych bran?:

– Sektor publiczny – Ze wszystkich analizowanych zagro?e?, 32% zosta?o uznane jako realnie zagra?aj?ce bezpiecze?stwu, ale tylko 47% z nich zosta?o ostatecznie wyeliminowanych.

– Handel detaliczny – 32% ankietowanych firm przyzna?o si? do poniesienia strat w ostatnim roku, zwi?zanych z atakami na ich systemy IT, a oko?o 25% utraci?o klientów i potencjalne zyski.

– Przemys? – 40% mened?erów w firmach przemys?owych przyznaje, ?e nie ma opracowanej formalnej strategii dotycz?cej bezpiecze?stwa, ani polityki zabezpieczania informacji zgodnej ze standardowymi praktykami takimi, jak okre?lane przez normy ISO 27001 lub NIST 800-53.

– Us?ugi komunalne – Specjali?ci od bezpiecze?stwa w tej bran?y uwa?aj?, ?e w ich przypadku najwi?ksze, krytyczne zagro?enia to ataki ukierunkowane (42%) oraz ataki APT (Advanced Persistent Threats) – 40%.

– S?u?ba zdrowia – 37% firm i organizacji z tej bran?y uwa?a, ?e najwi?kszym zagro?eniem dla bezpiecze?stwa s? dla nich ataki ukierunkowane.

Eksperci Cisco radz? jak zwi?kszy? poziom cyberbezpiecze?stwa:

• Nale?y zadba? o bie??c?, jak najszybsz? aktualizacj? aplikacji i systemów IT, aby cyberprzest?pcy nie mogli wykorzysta? znanych luk i podatno?ci.
• Warto zadba? o uproszczenie systemu bezpiecze?stwa przez zastosowanie zintegrowanej ochrony, a nie rozbudowanej infrastruktury zabezpiecze? wykorzystuj?cej wiele ró?nych produktów.
• Zaanga?owanie cz?onków najwy?szego kierownictwa firmy ju? we wczesnej fazie projektów zwi?zanych z wdra?aniem systemów bezpiecze?stwa zapewnia pe?ne u?wiadomienie ryzyka, potencjalnych korzy?ci i ogranicze? bud?etowych.
• Zdefiniowanie jasnych metod pomiaru poziomu zabezpiecze? umo?liwia jego ocen? i usprawnienie praktyk zwi?zanych z bezpiecze?stwem.
• Nale?y zweryfikowa? szkolenia z zakresu bezpiecze?stwa pod k?tem dostosowania ich tre?ci do funkcji pe?nionej przez poszczególnych pracowników, zamiast ogólnych szkole? dla wszystkich.
• System bezpiecze?stwa powinien by? zrównowa?ony i wykorzystywa? mechanizmy aktywnego przeciwdzia?ania zagro?eniom. Jego konfiguracja na zasadzie „ustaw i zapomnij” jest niedopuszczalna.

Do wspó?pracy w przygotowaniu raportu 2017 MCR Cisco zaprosi?o 10 technologicznych partnerów którzy dostarczyli znajduj?ce si? w ich posiadaniu dane umo?liwiaj?c wyci?gni?cie wniosków dotycz?cych obecnego krajobrazu zagro?e?. W?ród partnerów, którzy mieli wk?ad w powstanie raportu znalaz?y si? takie firmy jak Anomali, Flashpoint, Lumeta, Qualys, Radware, Rapid7, RSA, SAINT Corporation, ThreatConnect oraz TrapX. Ekosystem partnerów jest kluczowym elementem podej?cia Cisco, które zak?ada oferowanie klientom prostych, otwartych i zautomatyzowanych systemów bezpiecze?stwa.