Cisco przewiduje nowy typ zagrożeń
Nowy typ zagrożeń - DeOS (Destruction Of Service) i częstsze ataki nowego typu, o większym stopniu wyrafinowania - takie są wnioski z najnowszego raportu Cisco 2017 Midyear Cybersecurity Report.
Obecna edycja Cisco 2017 Midyear Cybersecurity Report została przygotowana wspólnie z 10 partnerami technologicznymi: Anomali, Flashpoint, Lumeta, Qualys, Radware, Rapid7, RSA, SAINT Corporation, ThreatConnect oraz TrapX. Firmy te dostarczyły własne dane, co umożliwiło stworzenie nowej mapy zagrożeń w cyberprzestrzeni. W efekcie jednym z pierwszych wniosków stało się twierdzenie iż firmy powinny zasadniczo zmodyfikować swoje strategie bezpieczeństwa, zwłaszcza w obliczu konwergencji systemów IT i OT (Operational Technology).
Istotną kwestią stała się także sprawa udanych sumie ataków malware - ransomware, znanych Jako Petya, WannaCry i Nyetya (NotPetya). Świadczą one bowiem o tym iż pojawił się nowy typ ataków, określany przez Cisco jako DeOS (Destruction Of Service). Tego typu ataki mogą być jeszcze bardziej destrukcyjne niż klasyczna odmiana ransomware, powodując, że firmy zostaną całkowicie pozbawione możliwości odtworzenia danych i przywrócenia systemu IT do normalnego działania. DeOS uniemożliwia odtworzenie systemu IT po udanym ataku na infrastrukturę, bowiem działaniu wykorzystuje mechanizmy pozwalające na uszkodzenie systemów do backupu i obsługujących je sieci.
Ataki tego typu stają się przy tym możliwe, bowiem rośnie popularność Internetu Rzeczy (IoT) i coraz więcej realizowane jest przez firmy w trybie online. Tymczasem około 66 proc. firm śledzi i analizuje alerty dotyczące nowych zagrożeń. W niektórych branżach (np. służba zdrowia czy transport) wskaźnik ten oscyluje w granicach 50 proc. W tym ostatnim przypadku czyli firm krytycznych bądź newralgicznych sektorów eliminowane jest tylko mniej niż 50 proc. ataków, które zostały uznane za realne zagrożenie dla bezpieczeństwa. Dla sektora publicznego, ze wszystkich analizowanych zagrożeń, 32 proc. zostało uznane jako realnie zagrażające bezpieczeństwu, ale tylko 47 proc. z nich zostało ostatecznie wyeliminowanych.
Z kolei obserwacja szybko ekspandujących botnetów wykorzystujących urządzenia IoT, pozwala na stwierdzenie iż przygotowywana jest przez cyberprzestępców rozbudowana infrastruktura, która potencjalnie będzie mogła zablokować działanie całej globalnej Sieci. Oznacza to, że krytycznego znaczenia nabiera sam moment wykrycia ataku; istotna jest redukcja czasu TTD (Time To Detection) upływającego od momentu kompromitacji systemu do momentu wykrycia zagrożenia.
Jego skrócenie pozwala na ograniczenie zasięgu propagacji szkodliwych kodów i zmniejszenie szkód powodowanych przez atak. We wszystkich rozwiązaniach bezpieczeństwa w ciągu ostatnich dwóch lat TTD uległ skokowemu skróceniu.
Wykrycie włamania jest bowiem sygnałem pobudzający do działań. W 90 proc. firm spowodowało wprowadzenie przynajmniej umiarkowanych usprawnień systemu bezpieczeństwa, choć niektóre branże (np. transport), są pod tym względem mniej responsywne, a ten parametr wynosi tylko ok. 80 proc.
W przypadku zagrożeń dla bezpieczeństwa typu klasycznego nie widać wielkich zmian - nadal cyberprzestępcy nakłaniają potencjalne ofiary do uruchamiania malware przez kliknięcie w link lub otwarcie zainfekowanego załącznika. Wyraźne są próby umieszczenia złośliwego kodu w pamięci RAM, co utrudniłoby znacznie jego wykrycie przez oprogramowanie zabezpieczające przed zagrożeniami, ale jak dotąd, na szczęście mało udane. Coraz częściej za to wykorzystywana jest zdecentralizowana, anonimowa infrastruktura, zwykle to usługi dostępne w sieci Tor, by ukryć serwery C&C (Command & Contol) kontrolujące aktywność szkodliwego oprogramowania.
Zastanawiające iż w wielu technikach cyberprzestępcy "powrócili do korzeni". I tak spadłą znacznie liczba exploitów, ale za to wzrosła ilość malspamu rozsyłającego malware. Prawdopodobnie ilość takiego spamu nadal będzie rosła, podczas gdy nowe exploity mogą pojawiać się rzadziej. Spyware i Adware rozpatrywane niegdyś kategorii ważnych zagrożeń, zaczynają się znowu pojawiać, zaś 4-miesięczne badania 300 firm wykazały, że 20 proc. z nich było infekowanych przez trzy główne rodziny szkodliwych kodów.
W systemach korporacyjnych spyware nadal może wykradać istotne firmowe i prywatne dane, jednocześnie nawet paraliżując mechanizmy ostrzegania o zagrożeniach, co ułatwia infekcję innymi rodzajami malware.
W przypadku ransomware rozwijają się usługi RaaS (Ransomware-as-a-Service), co znacznie ułatwia cyberprzestępcom przeprowadzanie ataków niezależnie od ich wiedzy i umiejętności technicznych. Jeśli brać pod uwagę informacje medialne, wówczas wartość wypłaconych okupów przekroczyła w 2016 roku 1 mld dol.
Przy czym należy zaznaczyć, że prawdopodobnie byłą ona wyższa, bowiem znamy tylko te wypadki, które dostały się do mediów, a firmy nie są nadmiernie zainteresowane rozpowszechnianiem informacji o płaceniu szantażystom i niedostatkach w systemach IT. Biznesem stała się także kompromitacja systemów firmowej poczty email (BEC -Business Email Compromise). Są to ataki wykorzystujące techniki inżynierii społecznej do przygotowania oszukańczych wiadomości email, skłaniających do przesłania pieniędzy na konta należące do cyberprzestępców. Według organizacji Internet Crime Complaint Center w okresie od października 2013 do grudnia 2016 roku globalne straty związane z atakami BEC osiągnęły wartość 5,3 mld dol.
Przy tych zagrożeniach, firmy zaczynają mieć problemy z nadążaniem za zmianami nawet w zakresie spełnienia podstawowych wymagań cyberbezpieczeństwa. Następuje bowiem widoczna integracja technologii IT (Information Technology) i OT (Operational Technology) w ramach systemów IoT. Rośnie stopień skomplikowania systemów zabezpieczeń, działom IT w przedsiębiorstwach trudno je wszystkie ogarnąć i zarazem zachować kontrolę nad wszystkimi pojawiającymi się zagrożeniami. Według badania Security Capabilities Benchmark Study, obejmującego 3000 specjalistów bezpieczeństwa z 13 krajów, zespoły bezpieczeństwa firmowych działów IT oraz samodzielne są coraz bardziej przeciążone rosnącą liczbą ataków, z którymi muszą się zmagać. W efekcie mają możliwość tylko skupienia się na reaktywnym usuwaniu skutków, a nie na proaktywnym przeciwdziałaniu zagrożeniom.
Marek Meissner