Cisco przewiduje nowy typ zagrożeń

Bezpiecznie w sieci

Wtorek, 22 sierpnia 2017 (13:43)

Nowy typ zagrożeń - DeOS (Destruction Of Service) i częstsze ataki nowego typu, o większym stopniu wyrafinowania - takie są wnioski z najnowszego raportu Cisco 2017 Midyear Cybersecurity Report.

Obecna edycja Cisco 2017 Midyear Cybersecurity Report została przygotowana wspólnie z 10 partnerami technologicznymi: Anomali, Flashpoint, Lumeta, Qualys, Radware, Rapid7, RSA, SAINT Corporation, ThreatConnect oraz TrapX. Firmy te dostarczyły własne dane, co umożliwiło stworzenie nowej mapy zagrożeń w cyberprzestrzeni. W efekcie jednym z pierwszych wniosków stało się twierdzenie iż firmy powinny zasadniczo zmodyfikować swoje strategie bezpieczeństwa, zwłaszcza w obliczu konwergencji systemów IT i OT (Operational Technology).

Większa destrukcja

Istotną kwestią stała się także sprawa udanych sumie ataków malware - ransomware, znanych Jako Petya, WannaCry i Nyetya (NotPetya). Świadczą one bowiem o tym iż pojawił się nowy typ ataków, określany przez Cisco jako DeOS (Destruction Of Service). Tego typu ataki mogą być jeszcze bardziej destrukcyjne niż klasyczna odmiana ransomware, powodując, że firmy zostaną całkowicie pozbawione możliwości odtworzenia danych i przywrócenia systemu IT do normalnego działania. DeOS uniemożliwia odtworzenie systemu IT po udanym ataku na infrastrukturę, bowiem działaniu wykorzystuje mechanizmy pozwalające na uszkodzenie systemów do backupu i obsługujących je sieci.

Reklama

Ataki tego typu stają się przy tym możliwe, bowiem rośnie popularność Internetu Rzeczy (IoT) i coraz więcej realizowane jest przez firmy w trybie online. Tymczasem około 66 proc. firm śledzi i analizuje alerty dotyczące nowych zagrożeń. W niektórych branżach (np. służba zdrowia czy transport) wskaźnik ten oscyluje w granicach 50 proc. W tym ostatnim przypadku czyli firm krytycznych bądź newralgicznych sektorów eliminowane jest tylko mniej niż 50 proc. ataków, które zostały uznane za realne zagrożenie dla bezpieczeństwa. Dla sektora publicznego, ze wszystkich analizowanych zagrożeń, 32 proc. zostało uznane jako realnie zagrażające bezpieczeństwu, ale tylko 47 proc. z nich zostało ostatecznie wyeliminowanych.

Ważny moment wykrycia ataku

Z kolei obserwacja szybko ekspandujących botnetów wykorzystujących urządzenia IoT, pozwala na stwierdzenie iż przygotowywana jest przez cyberprzestępców rozbudowana infrastruktura, która potencjalnie będzie mogła zablokować działanie całej globalnej Sieci. Oznacza to, że krytycznego znaczenia nabiera sam moment wykrycia ataku; istotna jest redukcja czasu TTD (Time To Detection) upływającego od momentu kompromitacji systemu do momentu wykrycia zagrożenia.

Jego skrócenie pozwala na ograniczenie zasięgu propagacji szkodliwych kodów i zmniejszenie szkód powodowanych przez atak. We wszystkich rozwiązaniach bezpieczeństwa w ciągu ostatnich dwóch lat TTD uległ skokowemu skróceniu.

Wykrycie włamania jest bowiem sygnałem pobudzający do działań. W 90 proc. firm spowodowało wprowadzenie przynajmniej umiarkowanych usprawnień systemu bezpieczeństwa, choć niektóre branże (np. transport), są pod tym względem mniej responsywne, a ten parametr wynosi tylko ok. 80 proc.

W przypadku zagrożeń dla bezpieczeństwa typu klasycznego nie widać wielkich zmian - nadal cyberprzestępcy nakłaniają potencjalne ofiary do uruchamiania malware przez kliknięcie w link lub otwarcie zainfekowanego załącznika. Wyraźne są próby umieszczenia złośliwego kodu w pamięci RAM, co utrudniłoby znacznie jego wykrycie przez oprogramowanie zabezpieczające przed zagrożeniami, ale jak dotąd, na szczęście mało udane. Coraz częściej za to wykorzystywana jest zdecentralizowana, anonimowa infrastruktura, zwykle to usługi dostępne w sieci Tor, by ukryć serwery C&C (Command & Contol) kontrolujące aktywność szkodliwego oprogramowania.

Zastanawiające iż w wielu technikach cyberprzestępcy "powrócili do korzeni". I tak spadłą znacznie liczba exploitów, ale za to wzrosła ilość malspamu rozsyłającego malware. Prawdopodobnie ilość takiego spamu nadal będzie rosła, podczas gdy nowe exploity mogą pojawiać się rzadziej. Spyware i Adware rozpatrywane niegdyś kategorii ważnych zagrożeń, zaczynają się znowu pojawiać, zaś 4-miesięczne badania 300 firm wykazały, że 20 proc. z nich było infekowanych przez trzy główne rodziny szkodliwych kodów.

W systemach korporacyjnych spyware nadal może wykradać istotne firmowe i prywatne dane, jednocześnie nawet paraliżując mechanizmy ostrzegania o zagrożeniach, co ułatwia infekcję innymi rodzajami malware.

Szybkie zmiany

W przypadku ransomware rozwijają się usługi RaaS (Ransomware-as-a-Service), co znacznie ułatwia cyberprzestępcom przeprowadzanie ataków niezależnie od ich wiedzy i umiejętności technicznych. Jeśli brać pod uwagę informacje medialne, wówczas wartość wypłaconych okupów przekroczyła w 2016 roku 1 mld dol.

Przy czym należy zaznaczyć, że prawdopodobnie byłą ona wyższa, bowiem znamy tylko te wypadki, które dostały się do mediów, a firmy nie są nadmiernie zainteresowane rozpowszechnianiem informacji o płaceniu szantażystom i niedostatkach w systemach IT. Biznesem stała się także kompromitacja systemów firmowej poczty email (BEC -Business Email Compromise). Są to ataki wykorzystujące techniki inżynierii społecznej do przygotowania oszukańczych wiadomości email, skłaniających do przesłania pieniędzy na konta należące do cyberprzestępców. Według organizacji Internet Crime Complaint Center w okresie od października 2013 do grudnia 2016 roku globalne straty związane z atakami BEC osiągnęły wartość 5,3 mld dol.

Przy tych zagrożeniach, firmy zaczynają mieć problemy z nadążaniem za zmianami nawet w zakresie spełnienia podstawowych wymagań cyberbezpieczeństwa. Następuje bowiem widoczna integracja technologii IT (Information Technology) i OT (Operational Technology) w ramach systemów IoT. Rośnie stopień skomplikowania systemów zabezpieczeń, działom IT w przedsiębiorstwach trudno je wszystkie ogarnąć i zarazem zachować kontrolę nad wszystkimi pojawiającymi się zagrożeniami. Według badania Security Capabilities Benchmark Study, obejmującego 3000 specjalistów bezpieczeństwa z 13 krajów, zespoły bezpieczeństwa firmowych działów IT oraz samodzielne są coraz bardziej przeciążone rosnącą liczbą ataków, z którymi muszą się zmagać. W efekcie mają możliwość tylko skupienia się na reaktywnym usuwaniu skutków, a nie na proaktywnym przeciwdziałaniu zagrożeniom.

Zwiększeniecyberbezpieczeństwa według ekspertów Cisco: Pierwszym działaniem jest standardowe już zadbanie o bieżącą aktualizację aplikacji i systemów IT, aby nie było możliwe wykorzystanie znanych luk i podatności. Następnym - uproszczenie systemu bezpieczeństwa przez zastosowanie zintegrowanej ochrony, a nie rozbudowanej infrastruktury zabezpieczeń wykorzystującej wiele różnych produktów. System bezpieczeństwa powinien być nowy, zrównoważony i wykorzystywać mechanizmy aktywnego przeciwdziałania zagrożeniom. Jego konfiguracja na zasadzie "ustaw i zapomnij" jest niedopuszczalna, konieczne jest też jasne określenie metod pomiaru poziomu zabezpieczeń, co umożliwi jego ocenę. Z drugiej strony ważne będzie też zweryfikowanie szkolenia z zakresu bezpieczeństwa pod kątem dostosowania ich treści do funkcji pełnionej przez poszczególnych pracowników, zamiast ogólnych szkoleń dla wszystkich. Do tego wszystkiego potrzebne będą inwestycje, więc należy zaangażować członków najwyższego kierownictwa firmy już we wczesnej fazie projektów związanych z wdrażaniem systemów bezpieczeństwa. Im szybciej zrozumieją wagę ryzyka, potencjalne zagrożenia i możliwość ich oddalenia - tym lepiej.

Marek Meissner