Nowe metody ataków - większe zyski cyberprzestępców
Według raportu Cisco 2016 Midyear Cybersecurity Report (MCR), organizacje są nieprzygotowane na przyszłe zaawansowane ataki złośliwym kodem, wymuszającym cyfrowy okup (tzw. ransomware). Wrażliwa na ataki, przestarzała infrastruktura, niski poziom higieny sieci oraz długi czas wykrywania ataków sprawiają, że atakujący mają wystarczająco dużo czasu na niezakłócone działanie - zanim atak zostanie wykryty, zdążą osiągnąć swoje cele. Ograniczenie tej swobody operacyjnej cyberprzestępców jest największym wyzwaniem, przed jakim stoją firmy – zagraża ona bowiem fundamentowi ich cyfrowej transformacji.
Inne wnioski z raportu to rosnące zainteresowanie cyberprzestępców atakami na serwery, coraz częstsze wykorzystywanie przez nich szyfrowania w celu ukrycia rzeczywistej aktywności oraz ewolucja metod ataku.
Największe zagrożenie: ransomware, czyli cyfrowy okup
Ransomware stał się najbardziej dochodowym rodzajem złośliwego oprogramowania w historii. Cisco przewiduje, że jego popularność wśród cyberprzestępców utrzyma się, a ransomware będzie ewoluował i stanie się jeszcze bardziej destrukcyjny, rozprzestrzeniając się samoistnie i „porywając” całe sieci, a de facto firmy.
Na przykład, przyszłe ataki wykorzystujące ransomware będą unikały wykrycia poprzez ograniczanie wykorzystania procesora i wstrzymanie wykonywanych przez niego poleceń. Nowe odmiany ransomware’u będą rozprzestrzeniać się szybciej i samodzielnie replikować w ramach organizacji, poprzedzając skoordynowane działania wymuszające okup.
Swoboda działania atakujących
Średni czas od pojawiania się nowego, nieznanego zagrożenia w firmowej sieci do momentu jego wykrycia wynosi nawet 200 dni. Cisco potrafi skrócić ten czas do około 13 godzin, co jest najlepszym wynikiem w branży. Skrócenie czasu wykrycia zagrożeń jest kluczowe dla ograniczenia swobody operacyjnej cyberprzestępców i minimalizowania skutków ich ataków.
Raport wskazuje ponadto, że coraz bardziej innowacyjne metody ataków spotykają się z coraz większymi problemami po stronie obrońców. Przestarzałe systemy, którymi często dysponują, otwierają przed atakującymi dodatkowe możliwości, aby w łatwy sposób uzyskać do nich dostęp, pozostać niezauważonym oraz maksymalizowować szkody firm i swoje zyski – tym bardziej, im dłużej ich działania pozostają niewykryte.
Według Cisco, zyski cyberprzestępców gwałtownie wzrosły w pierwszej połowie 2016 roku, głównie z powodu:
- Poszerzania pola ataku – atakujący nie skupiają się już tylko na urządzeniach klienckich, coraz częściej wykorzystując serwery do rozprzestrzeniania złośliwego kodu.
- Ewolucji metod ataku – cyberprzestępcy nieustannie zmieniają metody ataku, dzięki czemu długo pozostają niezauważeni przez obrońców.
- Zacieranie śladów ataku – atakujący zwiększają wykorzystanie szyfrowania jako metody maskowania swojej rzeczywistej działalności.
Problemy obrońców
W obliczu coraz bardziej zaawansowanych ataków, ograniczone zasoby i przestarzała infrastruktura w wielu firmach utrudniają obrońcom walkę z cyberprzestępcami. Dane w raporcie sugerują, że im bardziej krytyczne znaczenie dla działania biznesu ma jakaś technologia, tym większe prawdopodobieństwo, że nie jest ona odpowiednio utrzymywana, np. przez instalowanie najnowszych aktualizacji czy łatek systemowych. Na przykład:
- W obszarze przeglądarek, Google Chrome, aktualizująca się automatycznie, ma 75-80 proc. użytkowników, którzy korzystają z najnowszej wersji.
- Wolniejszą migrację do najnowszej wersji widać w przypadku innego oprogramowania. Np. ponad 30 proc. badanych przez Cisco systemów korzystało z Javy w wersji SE 6, wycofywanej przez Oracle (aktualna wersja to SE 10).
- Zaledwie 10 proc. użytkowników Microsoft Office 2013 korzysta z najnowszej wersji service packów.
Warto dodać, że aktualizacja przeglądarki w urządzeniu końcowym jest bardzo łatwa. Aktualizacja infrastruktury czy aplikacji biznesowych jest dużo trudniejsza i może powodować problemy z zapewnieniem ciągłości biznesu. Z drugiej strony, im dłużej taka infrastruktura pozostaje niezaktualizowana, tym łatwiej będzie cyberprzestępcom wykorzystać podatności w niej obecne do ataku na firmowy system IT.
Cisco radzi jak w kilku prostych krokach zwiększyć bezpieczeństwo środowisk biznesowych
Badacze z grupy Cisco Talos zaobserwowali, że organizacje, które wykonają kilka prostych, ale bardzo ważnych kroków, mogą w istotnym stopniu zwiększyć bezpieczeństwo swojego biznesu.
- Poprawa „higieny” sieci – monitoring stanu sieci, najnowsze aktualizacje, instalowanie łatek systemowych, segmentacja sieci, ochrona brzegu sieci, Firewall nowej generacji – wszystko to prowadzi do zwiększenia bezpieczeństwa.
- Integracja systemów ochrony – odejście od wdrażania pojedynczych produktów i rozwiązań na rzecz podejścia systemowego i kompleksowych architektur bezpieczeństwa.
- Mierzenie czasu do wykrycia ataku – dążenie do tego, aby czas wykrycia nowych zagrożeń był jak najkrótszy a minimalizacja ich skutków natychmiastowa; metryki czasu wykrycia powinny stać się elementem polityki bezpieczeństwa każdej organizacji.
- Chroń użytkowników wszędzie, gdzie są i pracują – ochrona użytkowników tylko wtedy, gdy pracują w ramach sieci korporacyjnej, już nie wystarczy.
- Twórz kopie zapasowe krytycznych danych.
Gaweł Mikołajczyk, Dyrektor Cisco Security Operations Center w Krakowie: „Cyberbezpieczeństwo stanowi podstawę dla tworzenia nowych modeli biznesowych w obecnej erze cyfrowej transformacji. Tymczasem jak wynika z Cisco 2016 Midyear Cybersecurity Report, cyberprzestępcy wykorzystują szybko ewoluujące metody ataku, pozostając niezauważonymi na długo po naruszeniu firmowych systemów bezpieczeństwa, co daje im czas na maksymalizację zysków kosztem zaatakowanych organizacji. Aby zmniejszyć tę swobodę działania atakujących, firmy powinny zabiegać o większą widoczność tego, co dzieje się w ich sieci. Wskazane jest także podjęcie kroków zmierzających do aktualizacji przestarzałej infrastruktury czy instalacji najnowszych łatek systemowych".