Liderzy cyberbezpieczeństwa stawiają na automatyzację, machine learning oraz AI

Klaudia Ciesielska
6 min

Cyberataki typu malware, polegające na zainfekowaniu komputera złośliwym oprogramowaniem, stają się coraz bardziej wyrafinowane. Cyberprzestępcy wykorzystują usługi chmurowe i unikają wykrycia dzięki ruchowi szyfrowanemu, który pozwala im ukryć zapytania wysyłane do serwerów (command-and-control). Chcąc ograniczyć czas, w którym cyberprzestępcy mogą prowadzić swoje działania, specjaliści ds. bezpieczeństwa coraz chętniej sięgają po rozwiązania wykorzystujące sztuczną inteligencję oraz uczenie maszynowe. Potwierdzają to dane z jedenastej edycji Cisco® 2018 Annual Cybersecurity Report (ACR).

Szyfrowanie połączenia ma na celu zwiększenie poziomu bezpieczeństwa. Wzrost szyfrowanego ruchu sieciowego, który w październiku stanowił aż 50 proc. całości (zarówno tego właściwego jak i generowanego przez cyberprzestępców) postawił przed specjalistami ds. cyberbezpieczeństwa nowe wyzwania związane z monitorowaniem potencjalnych zagrożeń. W ciągu ostatniego roku eksperci Cisco zaobserwowali trzykrotny wzrost wykorzystania szyfrowanej komunikacji sieciowej w sprawdzanych plikach malware.

Wdrażanie rozwiązań z zakresu uczenia maszynowego może zwiększyć bezpieczeństwo sieci, ponieważ w dłuższej perspektywie pozwalają one „nauczyć się” jak odnajdywać wzorce w szyfrowanych połączeniach, chmurze oraz środowisku Internetu Rzeczy. Część z 3600 profesjonalistów, którzy wzięli udział w badaniu Cisco przyznało, że chętnie uzupełniliby portfolio posiadanych narzędzi o rozwiązania z zakresu uczenia maszynowego oraz sztucznej inteligencji, ale zniechęca ich duża ilość błędnych alertów (false positives) generowanych przez system. Dalszy postęp tych technologii, obecnie wciąż na wczesnym etapie rozwoju, sprawi, że liczba prawidłowych wskazań w monitorowanym środowisku sieciowym będzie coraz większa.

REKLAMA

Główne tezy Cisco 2018 Annual Cybersecurity Report:

Koszty cyberataków nie są już tylko hipotetyczną liczbą

Jak wynika z badania Cisco, ponad połowa cyberataków spowodowała straty finansowe wysokości ponad 500 000 USD, włączając w to m.in. utratę przychodu, klientów, okazji biznesowych oraz koszty operacyjne.

Wzrost złożoności i szybkości cyberataków wymierzonych w łańcuch dostaw

Cyberataki skierowane na łańcuchy dostaw mogą zainfekować komputery na ogromną skalę. Co gorsza, mogą utrzymywać się przez miesiące lub nawet lata. Specjaliści ds. cyberbezpieczeństwa powinni mieć świadomość potencjalnych zagrożeń wynikających z wykorzystania oprogramowania i sprzętu dostawców, którzy nie posiadają odpowiedniej polityki bezpieczeństwa.

Dwa tego typu ataki miały miejsce w 2017 roku. Nyetya oraz Ccleaner zainfekowały komputery użytkowników wykorzystując oprogramowanie pochodzące z zaufanego źródła.

Specjaliści ds. cyberbezpieczeństwa powinni korzystać z zewnętrznych testów skuteczności technologii odpowiadających za bezpieczeństwo firm w celu redukcji ryzyka wystąpienia cyberataków skierowanych na łańcuch dostaw.

Bezpieczeństwo staje się coraz bardziej złożoną kwestią, jednocześnie rozszerza się zakres jego naruszeń

  • Aby lepiej ochronić organizacje, specjaliści odpowiedzialni za kwestie bezpieczeństwa wdrażają zestawy produktów i rozwiązań, pochodzące od różnych dostawców. Biorąc pod uwagę jednoczesny wzrost liczby naruszeń, ta złożoność systemów bezpieczeństwa może nieść negatywne skutki dla zdolności organizacji do obrony przed atakami, m.in. zwiększone ryzyko strat.
  • W 2017 r. 25 proc. specjalistów od zabezpieczeń przyznało, że używało produktów od 11 do 20 dostawców. Dla porównania, w 2016 roku potwierdziło to jedynie 18 proc. specjalistów ds. bezpieczeństwa.
  • Specjaliści do spraw bezpieczeństwa przyznali, że 32 proc. naruszeń dotyczyło ponad połowy systemów. Dla porównania, w 2016 potwierdziło to jedynie 15 proc.

Specjaliści ds. bezpieczeństwa dostrzegają wartość narzędzi do analizy behawioralnej w lokalizowaniu autorów ataków sieciowych

92  proc. specjalistów ds. bezpieczeństwa przyznaje, że narzędzia do analizy zachowań sprawdzają się w działaniu. Dwie trzecie przedstawicieli sektora opieki zdrowotnej a także usług finansowych uznało analizę zachowań za wyjątkowo skuteczną w identyfikowaniu autorów ataków.

Wykorzystanie chmury rośnie; napastnicy wykorzystują braki zaawansowanych zabezpieczeń

  • W tegorocznej edycji badania 27 proc. specjalistów ds. bezpieczeństwa stwierdziło, że używa chmur prywatnych działających w oparciu o infrastrukturę zewnętrzną. Odsetek ten wzrósł o 7 proc. w stosunku do 2016 roku, kiedy takiej odpowiedzi udzieliło 20 proc. respondentów.
  • 57 proc. badanych przyznaje, że wykorzystuje hosting w chmurze z uwagi na wyższy poziom bezpieczeństwa danych, 48 proc. ze względu na skalowalność, natomiast 46 proc. z uwagi na łatwość użycia technologii.
  • Podczas, gdy chmura oferuje wyższy poziom bezpieczeństwa danych, atakujący wykorzystują fakt, że zespoły ds. cyberbezpieczeństwa mają problemy z ochroną rozwijających się środowisk cloud computing. Z pomocą przychodzi połączenie najlepszych praktyk, zaawansowanych technologii bezpieczeństwa, takich jak uczenie maszynowe oraz narzędzi pierwszej linii obrony oraz platform bezpieczeństwa w chmurze.

Trendy w zakresie wzrostu ilości złośliwego oprogramowania mają wpływ na czas wykrywania niebezpiecznych zdarzeń

  • Średni czas wykrycia przez Cisco nowego incydentu bezpieczeństwa (TTD ang. Time To Detection) wyniósł około 4,6 godzin w okresie od listopada 2016 r. do października 2017 r. To znacznie poniżej 39-godzinnej średniej TTD zgłoszonej w listopadzie 2015 r. oraz 14-godzinnej średniej odnotowanej w raporcie Cisco 2017 Annual Cybersecurity Report za okres od listopada 2015 r. do października 2016 r.
  • Wykorzystanie technologii zabezpieczeń w chmurze było kluczowym czynnikiem, który zdaniem specjalistów Cisco wpłynął na utrzymanie średniej TTD na niskim poziomie. Krótszy czas wykrycia zdarzeń pomaga specjalistom odpowiedzialnym za bezpieczeństwo szybciej przeciwdziałać atakom.

Dodatkowe rekomendacje dla osób odpowiedzialnych za bezpieczeństwo organizacji:

Ważne jest potwierdzanie przestrzegania zasad i praktyk korporacyjnych dotyczących łatania aplikacji, systemów i urządzeń.

Menedżerowie bezpieczeństwa powinni uzyskiwać dostęp do aktualnych i dokładnych danych oraz procesów dotyczących zagrożeń oraz włączyć te informacje do monitoringu bezpieczeństwa w ramach organizacji.

Analizy bezpieczeństwa powinny być bardziej kompleksowe i prowadzone w bardziej zaawansowany sposób.

W świecie szybko „przemierzających” sieć internetową programów typu ransomware oraz innych cyberzagrożeń ważne jest, aby często tworzyć kopie zapasowe danych oraz testować procedury ich przywracania.

Istotne jest także regularne skanowanie zabezpieczeń firmowych mikroserwisów, usług w chmurze oraz systemów do administrowania aplikacjami.