Ataki w obszarze IT coraz bardziej wyrafinowane, złożone i niebezpieczne

W skali świata widoczne jest rosnące zróżnicowanie zagrożeń związanych ze złośliwym oprogramowaniem. W roli nośnika złośliwego kodu wykorzystywane są usługi oferowane w modelu chmury obliczeniowej. Niebezpieczne aplikacje coraz częściej wykorzystują też mechanizmy szyfrowania ruchu sieciowego, co czyni je trudniejszymi do wykrycia. Równolegle, zmienia się charakter oraz skala ataków wymierzonych w infrastrukturę sieciową, jak również infrastrukturę Internetu Rzeczy.

To najważniejsze wnioski płynące z najnowszej edycji raportu Cisco Annual Cybersecurity Report. Tegoroczna publikacja uwzględnia m.in. wnioski z analiz przeprowadzonych przez partnerów technologicznych Cisco – firmy Anomali, Lumeta, Qualys, Radware, SAINT oraz TrapX. Zawiera też wyniki badania ankietowego przeprowadzonego na grupie 3600 osób odpowiedzialnych za bezpieczeństwo w firmach z 26 krajów, w tym z Polski.

Wyspecjalizowane, ściśle ukierunkowane ataki

Rosnącej skali zagrożeń związanych z wykorzystaniem złośliwego oprogramowania towarzyszy coraz większa ich różnorodność. Na świecie pojawiają się m.in. aplikacje malware wyspecjalizowane pod kątem prowadzenia ataków wymierzonych w duże organizacje biznesowe lub infrastrukturę wybranych krajów. „Jednym z bardziej bolesnych zjawisk jest to, że malware coraz częściej jest wykorzystywany nie tylko na potrzeby wyłudzeń, ale też jako narzędzie pozwalające zniszczyć atakowanego” – podkreśla Łukasz Bromirski, dyrektor ds. technologii w polskim oddziale Cisco. W niektórych firmach nie została jeszcze przywrócona pełna zdolność operacyjna po ubiegłorocznym ataku przeprowadzonego przy użyciu oprogramowania WannaCry. Jednocześnie, coraz trudniejsze staje się powiązanie ataków z konkretnymi grupami cyberprzestępców lub działalnością poszczególnych państw.

Na dobre w realiach świata IT zadomowiły się też zagrożenia typu ransomware. „Tego typu ataki stały się już codziennością. Będą już zawsze obecne, co oznacza konieczność zapewnienia odpowiedniej ochrony przed ransomware” – mówi Łukasz Bromirski. Zagrożenia tego rodzaju coraz częściej uniemożliwiają funkcjonowanie zaatakowanych przedsiębiorstw i przyczyniają się do długotrwałych przestojów, strat lub wręcz upadłości. Tym bardziej istotne staje się wczesne eliminowanie ryzyka związanego z atakami ransomware. „Nie należą do rzadkości sytuacje, w których ransomware paraliżuje działanie firmy lub organizacji. Niedawno ofiarą ataku typu ransomware padł Teatr Współczesny. To pokazuje, że w Polsce także jesteśmy narażeni na tego typu zagrożenia” – zauważa Łukasz Bromirski.

Programiści bez kontroli

Zdaniem przedstawicieli Cisco, w skali świata widoczne jest także nasilenie zagrożeń wymierzonych w testowe lub rozwojowe środowiska aplikacyjne. Według ekspertów Cisco, duży odsetek systemów DevOps, które są całkowicie pozbawione jakichkolwiek zabezpieczeń przekłada się na ogromne ryzyko ataku. Przykładowo, niechronione były niemal wszystkie, przeanalizowane w 2017 roku systemy bazodanowe oparte na silniku MongoDB, 80% instalacji Memcache, a także 75% systemów wykorzystujących platformy CouchDB i ElasticSearch. Pozbawione zabezpieczeń jest też 20% instalacji Dockera. „Widoczna jest pewnego rodzaju swoboda i beztroska w wykorzystywaniu środowisk deweloperskich. W efekcie środowiska takie padają ofiarą ataków, które mogą wpłynąć na bezpieczeństwo środowisk produkcyjnych lub wrażliwych danych” – mówi Łukasz Bromirski.

W praktyce, problematyczne okazuje się m.in. wykorzystywanie niezałatanych wersji oprogramowanie, niefrasobliwość w zakresie jakości i bezpieczeństwa kodu aplikacyjnego, a także brak kontroli nad nieużywanymi już maszynami i aplikacjami. Eksperci Cisco zwracają uwagę, że troska o bezpieczeństwo środowisk IT wymaga systematyczności w zakresie działań ochronnych, także na poziomie środowisk niewykorzystywanych produkcyjnie. Należy m.in. na bieżąco aktualizować rozwiązania używane na potrzeby rozwoju i testów, opracować standardy bezpiecznego postępowania w dynamicznie zmieniających się środowiskach aplikacyjnych, ale też kontrolować wykorzystywane usługi chmurowe.

Znane zagrożenia na nowo

Przeprowadzone w 2017 roku analizy zagrożeń pokazują, że cyberprzestępcy kilkukrotnie częściej niż w przyszłości korzystali z mechanizmów szyfrowania, aby ukryć aktywność w warstwie sieciowej. „Udział ruchu generowanego przez złośliwe oprogramowanie w ogólnym strumieniu szyfrowanego ruchu sieciowego jest coraz większy. Zapewne już niedługo ransomware nie będzie w ogóle wykorzystywał komunikacji otwartymi kanałami” – komentuje Łukasz Bromirski. Podkreśla przy tym, że wykrywanie złośliwego ruchu jest możliwe także w odniesieniu do kanałów szyfrowanych i to bez konieczności ich dekrypcji. Jest to realne za sprawą analizy specyfiki ruchu sieciowego.

Analizy Cisco pokazują też istotne zmiany w zakresie zagrożeń związanych z przesyłaniem plików za pośrednictwem poczty elektronicznej. Przykładowo, spada liczba infekcji dokonywanych przy użyciu spreparowanych plików pakietu Office. Przybywa natomiast zagrożeń rozprzestrzeniających się za pośrednictwem archiwów oraz plików PDF. Nowym chwytem jest uruchamianie malware w momencie zamykania pliku, a niekoniecznie przy jego otwarciu. Jest to sposób na obejście typowych zabezpieczeń i procesów analizy sandbox.

Rośnie tez skala ataków realizowanych poprzez zaufane usługi, w tym usługi realizowane za pośrednictwem chmury obliczeniowej. Popularnymi nośnikami zagrożeń stają się m.in. serwisy, takie jak: Twitter, GitHub, czy Yahoo Answers, usługi Dropbox, Gmail i Hotmail, a także Google Translate, Google Docs i OneDrive. W skali globalnej odczuwalne jest też nasilenie działań cyberprzestępców prowadzonych w warstwie aplikacyjnej. Widoczny jest też wzrost skali, złożoności i długotrwałości ataków. Spada natomiast ilość zagrożeń dotykających warstwy sieciowej. Prognozowany jest natomiast dalszy wzrost liczności i skali ataków wymierzonych w systemy IoT.

Większa świadomość problemu

Zdaniem przedstawicieli Cisco, większość firm, także polskich, w dojrzały sposób podchodzi do kwestii bezpieczeństwa IT. „Kosztowność dzisiejszych zagrożeń jest głównym powodem, dla którego kwestia cyberbezpieczeństwa trafiła do świadomości osób zarządzających” – mówi Michał Ceklarz, dyrektor ds. sprzedaży rozwiązań bezpieczeństwa w polskim oddziale Cisco. Aż 53% incydentów wykrywanych w skali świata generuje straty przekraczające 500 tys. USD. Koszty przekraczające 100 tys. USD generuje natomiast 45% ataków wymierzonych w polskie firmy i organizacje.

W wielu firmach problematyczne staje się natomiast zarządzanie coraz bardziej złożonymi zabezpieczeniami. W co drugiej (55%) analizowanej na potrzeby raportu Cisco 2018 Annual Cybersecurity Report firmie funkcjonują rozwiązania bezpieczeństwa oferowane przez więcej niż 50 dostawców! Wobec tak dużego zróżnicowania technologii bezpieczeństwa coraz trudniej o ich sprawne i efektywne współdziałanie. „Największym problemem nie jest dziś dostępność rozwiązań bezpieczeństwa, tylko skuteczne skorelowanie ich działania oraz analiza wniosków płynących z obserwowanych zdarzeń” – dodaje Michał Ceklarz. Analizy Cisco pokazują dodatkowo, że nadmierna złożoność systemów bezpieczeństwa prowadzi do poważnych zaniechań. Przykładowo, aż 44% wykrywanych incydentów nie jest poddawana żadnej analizie. Jednocześnie, tylko z połowy przeanalizowanych zdarzeń wyciągane są jakiekolwiek wnioski.