Nowa kategoria cyberzagrożeń

Niedawne przypadki szybko rozprzestrzeniających się złośliwych kodów znanych pod nazwą WannaCry i Nyetya zwiastują pojawienie się nowego typu ataków, określanych przez Cisco jako DeOS (Destruction Of Service). Nowe ataki będą zacznie bardziej destrukcyjne niż klasyczna odmiana ransomware, powodując, że firmy zostaną kompletnie pozbawione możliwości odtworzenia danych i przywrócenia systemu IT do normalnego działania. DeOS uniemożliwia odtworzenia systemu IT po udanym ataku na infrastrukturę. Wykorzystuje mechanizmy pozwalające na uszkodzenie systemów do backupu i obsługujących je sieci. Wraz z rosnącą popularnością internetu rzeczy (IoT) i realizowaniem przez firmy operacji w trybie online zwiększa się potencjalny obszar ataków, umożliwiając ich eskalację na niespotykaną dotąd skalę.

Obserwacja bieżącej aktywności botnetów wykorzystujących urządzenia IoT wskazuje na przygotowania przez cyberprzestępców rozbudowanej infrastruktury, która potencjalnie będzie mogła zablokować działanie całej globalnej sieci internetowej. W obliczu tego zagrożenia, krytycznego znaczenia nabiera możliwość pomiarów efektywności istniejących systemów zabezpieczeń. Cisco śledzi postępy w redukcji czasu TTD (Time To Detection) upływającego od momentu kompromitacji systemu do momentu wykrycia zagrożenia. Jego skrócenie pozwala na ograniczenie zasięgu propagacji szkodliwych kodów i zmniejszenie szkód powodowanych przez atak. Od listopada 2015 roku, Cisco skróciło średni czas TTD z 39 godzin do około 3,5 godziny. Wartości te są oparte na analizie danych telemetrycznych dostarczanych przez produkty bezpieczeństwa Cisco zainstalowane na całym świecie.

Aktualny krajobraz zagrożeń

Specjaliści Cisco ds. bezpieczeństwa obserwowali ewolucję zagrożeń w pierwszej połowie 2017 roku. Zebrane dane pozwoliły określić jak zmieniają się sposoby rozpowszechniania malware oraz jakie techniki pozwalają ukryć szkodliwe kody przed wykryciem. Cyberprzestępcy coraz częściej próbują zachęcić potencjalne ofiary do uruchamiania malware przez kliknięcie w link lub otwarcie zainfekowanego załącznika. Rozwijają też techniki umieszczania szkodliwych kodów bezpośrednio w pamięci RAM, co jest trudniejsze do wykrycia przez oprogramowanie zabezpieczające przed zagrożeniami. Coraz częściej wykorzystują oni również zdecentralizowaną, anonimową infrastrukturę, taką jak usługi dostępne w sieci Tor, by ukryć serwery C&C (Command & Contol) kontrolujące aktywność szkodliwego oprogramowania.

Zarejestrowano istotny spadek liczby pojawiających się w sieci nowych eksploitów, ale jednocześnie zaobserwowano wzrost liczby ataków wykorzystujących tradycyjne, od dawna znane techniki:

– Znaczący wzrost ilości spamu spowodowany jest powrotem sprawdzonych metod masowej dystrybucji malware przy wykorzystaniu np. wiadomości email. Analitycy Cisco przewidują, że ilość spamu ze szkodliwymi załącznikami będzie dalej wzrastać, podczas gdy liczba nowych eksploitów będzie się zmieniać.

– Oprogramowanie spyware i adware, często określane przez specjalistów ds. bezpieczeństwa jako powodujące więcej kłopotów niż rzeczywistej szkody, to element malware, który wciąż się pojawia, stanowiąc zagrożenie dla firm. Przeprowadzone przez Cisco 4-miesięczne badania 300 firm wykazały, że 20% z nich było infekowanych przez trzy główne rodziny szkodliwych kodów. W środowiskach korporacyjnych spyware może służyć do wykradania prywatnych i firmowych informacji osłabiając istniejące mechanizmy zabezpieczania urządzeń i zwiększając zagrożenie kolejnymi infekcjami.

– Ewolucja ransomware, na przykład wzrost popularności usług określanych jako RaaS (Ransomware-as-a-Service), ułatwia cyberprzestępcom przeprowadzanie ataków niezależnie od ich wiedzy i umiejętności technicznych. Informacje o atakach ransomware wciąż trafiają na nagłówki gazet a według szacunków wartość wypłaconych okupów przekroczyła w 2016 roku 1 miliard USD. Należy jednak pamiętać o firmach, które poniosły olbrzymie straty w wyniku ransomware, choć informacje o tym nie zostały upublicznione. Kompromitacja systemów biznesowej poczty email (BEC -Business Email Compromise) czyli ataki wykorzystujące techniki inżynierii społecznej do przygotowania oszukańczych wiadomości email, które mają skłonić do przesłania pieniędzy na konta należące do cyberprzestępców, stały się lukratywnym biznesem. Według organizacji Internet Crime Complaint Center w okresie od października 2013 do grudnia 2016 roku globalne straty związane z atakami BEC osiągnęły wartość 5,3 mld USD.

Jednakowe wyzwania dla wszystkich branż

Cyberprzestępcy wciąż doskonalą techniki i zwiększają intensywność ataków, a firmy zaczynają mieć problem z nadążaniem za zmianami nawet w zakresie spełnienia podstawowych wymagań cyberbezpieczeństwa. Wraz z integracją technologii IT (Information Technology) i OT (Operational Technology) w ramach systemów IoT rośnie stopień skomplikowania systemów zabezpieczeń, firmom trudno zapewnić widoczność oraz kontrolę nad wszystkimi pojawiającymi się zagrożeniami. W ramach badania Security Capabilities Benchmark Study, Cisco przeprowadziło ankietę wśród  3000 specjalistów bezpieczeństwa z 13 krajów. Wynika z niej, że zespoły zajmujące się bezpieczeństwem w firmach są coraz bardziej przeciążone rosnącą liczbą ataków, z którymi muszą się zmagać. To z kolei powoduje skupienie się na reaktywnym usuwaniu skutków, a nie na proaktywnym przeciwdziałaniu zagrożeniom.

Podstawowe wnioski z badań:

– Nie więcej niż 66% firm śledzi i analizuje alerty dotyczące nowych zagrożeń. W niektórych branżach (np. służba zdrowia czy transport) wskaźnik ten oscyluje w granicach 50%.

– Nawet w najbardziej newralgicznych segmentach rynku (takich jak finanse czy służba zdrowia) firmy i organizacje eliminują mniej niż 50% ataków, które zostały uznane za realne zagrożenie dla bezpieczeństwa.

– Wykrycie włamania to sygnał pobudzający do działań. W 90% firm spowodował on wprowadzenie przynajmniej umiarkowanych usprawnień systemu bezpieczeństwa, choć niektóre branże (np. transport), są pod tym względem mniej responsywne i parametr ten wynosi tylko ok. 80%.

Kluczowe ustalenia dotyczące poszczególnych branż:

– Sektor publiczny – Ze wszystkich analizowanych zagrożeń, 32% zostało uznane jako realnie zagrażające bezpieczeństwu, ale tylko 47% z nich zostało ostatecznie wyeliminowanych.

– Handel detaliczny – 32% ankietowanych firm przyznało się do poniesienia strat w ostatnim roku, związanych z atakami na ich systemy IT, a około 25% utraciło klientów i potencjalne zyski.

– Przemysł – 40% menedżerów w firmach przemysłowych przyznaje, że nie ma opracowanej formalnej strategii dotyczącej bezpieczeństwa, ani polityki zabezpieczania informacji zgodnej ze standardowymi praktykami takimi, jak określane przez normy ISO 27001 lub NIST 800-53.

– Usługi komunalne – Specjaliści od bezpieczeństwa w tej branży uważają, że w ich przypadku największe, krytyczne zagrożenia to ataki ukierunkowane (42%) oraz ataki APT (Advanced Persistent Threats) – 40%.

– Służba zdrowia – 37% firm i organizacji z tej branży uważa, że największym zagrożeniem dla bezpieczeństwa są dla nich ataki ukierunkowane.

Eksperci Cisco radzą jak zwiększyć poziom cyberbezpieczeństwa:

• Należy zadbać o bieżącą, jak najszybszą aktualizację aplikacji i systemów IT, aby cyberprzestępcy nie mogli wykorzystać znanych luk i podatności.
• Warto zadbać o uproszczenie systemu bezpieczeństwa przez zastosowanie zintegrowanej ochrony, a nie rozbudowanej infrastruktury zabezpieczeń wykorzystującej wiele różnych produktów.
• Zaangażowanie członków najwyższego kierownictwa firmy już we wczesnej fazie projektów związanych z wdrażaniem systemów bezpieczeństwa zapewnia pełne uświadomienie ryzyka, potencjalnych korzyści i ograniczeń budżetowych.
• Zdefiniowanie jasnych metod pomiaru poziomu zabezpieczeń umożliwia jego ocenę i usprawnienie praktyk związanych z bezpieczeństwem.
• Należy zweryfikować szkolenia z zakresu bezpieczeństwa pod kątem dostosowania ich treści do funkcji pełnionej przez poszczególnych pracowników, zamiast ogólnych szkoleń dla wszystkich.
• System bezpieczeństwa powinien być zrównoważony i wykorzystywać mechanizmy aktywnego przeciwdziałania zagrożeniom. Jego konfiguracja na zasadzie „ustaw i zapomnij” jest niedopuszczalna.

Do współpracy w przygotowaniu raportu 2017 MCR Cisco zaprosiło 10 technologicznych partnerów którzy dostarczyli znajdujące się w ich posiadaniu dane umożliwiając wyciągnięcie wniosków dotyczących obecnego krajobrazu zagrożeń. Wśród partnerów, którzy mieli wkład w powstanie raportu znalazły się takie firmy jak Anomali, Flashpoint, Lumeta, Qualys, Radware, Rapid7, RSA, SAINT Corporation, ThreatConnect oraz TrapX. Ekosystem partnerów jest kluczowym elementem podejścia Cisco, które zakłada oferowanie klientom prostych, otwartych i zautomatyzowanych systemów bezpieczeństwa.