CyberbezpieczeństwoPolecane tematy
Raport: CSO ujawniają poziom strat związanych z włamaniami do systemów IT
Z 10. już edycji raportu Cisco Annual Cybersecurity Report o cyberbezpieczeństwie wynika, że odrodziły się klasyczne wektory ataków na systemy IT. Ponad 33% firm, których system bezpieczeństwa w 2016 roku został naruszony, odnotowała straty w istotnych obszarach działalności (możliwości biznesowe, klienci, obroty) sięgające powyżej 20%.
Aż 90% zaatakowanych w roku 2016 firm zdecydowało się na modernizację procesów biznesowych i wdrożenie nowych technologii bezpieczeństwa przez separację funkcji związanych z utrzymywaniem systemu IT i zapewnianiem jego bezpieczeństwa (38%), zwiększenie liczby szkoleń z zakresu bezpieczeństwa wśród pracowników firmy (38%) oraz wdrożenie narzędzi i technik ograniczających ryzyko zagrożeń (37%).
Spam i adware znowu główną bronią przestępców
Osoby odpowiedzialne za bezpieczeństwo wciąż podkreślają, że największymi barierami w zwiększeniu jego poziomu są: ograniczony budżet, problemy z kompatybilnością systemów, brak odpowiednio wykwalifikowanej kadry. Innym ważnym problemem jest rosnący poziom złożoności systemów bezpieczeństwa. 65% ankietowanych firm przyznaje, że wykorzystuje od 6 do ponad 50 różnych produktów zapewniających bezpieczeństwo, co zwiększa potencjalne ryzyko pojawienia się luk w efektywności systemów zabezpieczeń.
Aż 90% zaatakowanych w roku 2016 firm zdecydowało się na modernizację procesów biznesowych i wdrożenie nowych technologii bezpieczeństwa przez separację funkcji związanych z utrzymywaniem systemu IT i zapewnianiem jego bezpieczeństwa (38%), zwiększenie liczby szkoleń z zakresu bezpieczeństwa wśród pracowników firmy (38%) oraz wdrożenie narzędzi i technik ograniczających ryzyko zagrożeń (37%).
Jak wynika z danych przedstawionych w raporcie Cisco ACR, cyberprzestępcy powrócili do klasycznych metod ataków wykorzystujących takie mechanizmy jak adware lub spam – w tym ostatnim przypadku na poziomie niespotykanym od 2010 roku. Spam ma obecnie 65 proc. udział we wszystkich przesyłanych wiadomościach, z czego 8-10% to wiadomości zawierające złośliwe treści. Globalny poziom spamu często rozpowszechnianego przez duże sieci botnet wciąż rośnie. W obliczu tych masowych ataków, krytyczne znaczenie dla bezpieczeństwa ma możliwość pomiaru efektywności systemów zabezpieczeń.
Największe szkody cyberataków w systemach operacyjnych i finansowych
Cisco śledzi postępy w zmniejszeniu czasu wykrycia zagrożeń TTD (Time To Detection), czyli okresu od momentu włamania do systemu IT z wykorzystaniem nowego, nieznanego wcześniej zagrożenia, do jego detekcji. Skrócenie czasu wykrycia ma krytyczne znaczenie dla ograniczenia pola działania cyberprzestępców i zminimalizowania szkód poniesionych w wyniku udanego ataku. Jak zapewniają przedstawiciele Cisco, technologie tej firmy pozwoliły zmniejszyć czas wykrycia ze średnio 14 godzin na początku 2016 roku do 6 godzin w drugiej połowie 2016. Liczby te są oparte na danych telemetrycznych z systemów bezpieczeństwa Cisco zainstalowanych na całym świecie.
Raport Cisco ACR 2017 prezentuje potencjalne szkody finansowe na jakie narażone są firmy – od dużych korporacji po małe i średnie przedsiębiorstwa. Jak wynika z analiz, udane włamania do ponad 50% z nich zostały upublicznione. Największe szkody odnotowano w systemach operacyjnych i finansowych, a następnie dotyczyły one spadku reputacji marki oraz utraty klientów.
Dla firm, które padły ofiarą ataku, największe odnotowane szkody to:
- · 22% firm w roku 2016 utraciło klientów — 40% z nich straciło ponad 20% istniejącej bazy klientów.
- · 29% firm odnotowało spadek przychodów, z czego 38% na poziomie przekraczającym 20%.
- · 23% firm uważa, że udane włamania ograniczyły możliwości rozwoju biznesu, a 42% z nich szacuje stratę w potencjalnych dochodach na ponad 20%.
Ataki oparte na znajomości struktury zarządzania
W 2016 roku model działania cyberprzestępców stał się bardziej „korporacyjny”. Dynamiczne zmiany technologiczne i postępująca digitalizacja otworzyły przed atakującymi nowe możliwości. Choć cyberprzestępcy wciąż posługują się klasycznymi technikami ataku, jednocześnie zaczynają wykorzystywać nowe, oparte na znajomości korporacyjnej struktury zarządzania systemami IT.
Wg Cisco ACR, cyberprzestępcy powrócili do klasycznych metod ataków wykorzystujących takie mechanizmy jak adware lub spam – w tym ostatnim przypadku na poziomie niespotykanym od 2010 roku. Spam ma obecnie 65 proc. udział we wszystkich przesyłanych wiadomościach, z czego 8-10% to wiadomości zawierające złośliwe treści. Globalny poziom spamu często rozpowszechnianego przez duże sieci botnet wciąż rośnie.
Nowe metody ataków wykorzystują modele hierarchii występujące w firmach: w niektórych atakach wykorzystywani są tzw. brokerzy („bramki”), którzy służą jako element pośredni ułatwiający dostęp do systemu i maskujący szkodliwą aktywność. Po włamaniu do systemów wykorzystywanych przez niektórych pracowników, cyberprzestępcy mogą próbować rozszerzyć pole działania i atakować inne zasoby firmy unikając wykrycia ich aktywności.
Możliwości i ryzyko związane z wykorzystaniem chmury: 27% aplikacji chmurowych wykorzystywanych przez pracowników, które mają zwiększyć efektywność ich pracy i umożliwić wykorzystanie nowych możliwości rozwoju biznesu, uznawanych jest za narzędzia o wysokim poziomie ryzyka, stwarzające poważne zagrożenie dla bezpieczeństwa firmowego systemu IT.
Klasyczny adware – oprogramowanie, które bez pozwolenia użytkownika importuje treści reklamowe lub inne – wciąż jest efektywną metodą ataków, wykorzystaną do wprowadzenia szkodliwych kodów w 75% badanych przez Cisco przedsiębiorstw.
Pozytywną wiadomością wynikającą z raportu Cisco ACR jest spadek wykorzystania gotowych zestawów eksploitów, takich jak zneutralizowane w 2016 Angler, Nuclear i Neutrino, ale niestety wielu mniejszych graczy na rynku cyberprzestępczym pracuje nad wypełnieniem tej luki.
W 2016 roku model działania cyberprzestępców stał się bardziej „korporacyjny”. Dynamiczne zmiany technologiczne i postępująca digitalizacja otworzyły przed atakującymi nowe możliwości. Choć cyberprzestępcy wciąż posługują się klasycznymi technikami ataku, jednocześnie zaczynają wykorzystywać nowe, oparte na znajomości korporacyjnej struktury zarządzania systemami IT.
Z raportu Cisco ACR 2017 wynika, że jedynie 56% alarmów dotyczących zagrożeń bezpieczeństwa zostało przeanalizowanych, a mniej niż 50% z tych, które świadczyły o realnym zagrożeniu spowodowała reakcję i podjęcie działań naprawczych. Specjaliści odpowiedzialni za bezpieczeństwo, choć są przekonani o skuteczności swoich narzędzi, to muszą rozwiązywać skomplikowane problemy borykając się jednocześnie z brakiem dostatecznej liczby wykwalifikowanych pracowników, co opóźnia skuteczną reakcję. To powoduje, że cyberprzestępcy próbują wykorzystać pozostawiony im na działanie czas.
Ewolucja cyberataków w ciągu ostatnich 10 lat
Od czasu, gdy w 2007 roku opublikowany został pierwszy Cisco Annual Security Report, problemy związane z zapewnieniem bezpieczeństwa systemów IT zmieniły się radykalnie. Technologie wykorzystywane przez hakerów stały się bardziej efektywne, a systemy obronne bardziej zaawansowane, jednak podstawowe zasady zapewnienia bezpieczeństwa pozostają niezmiennie istotne.
W 2007 roku, raport ACR informował, że celem ataków są aplikacje webowe i biznesowe, często atakowane przy wykorzystaniu metod socjo-inżynieryjnych lub infekowania komputerów wykorzystywanych przez użytkowników mających dostęp do firmowych zasobów. W 2017 roku, zwiększyło się zainteresowanie hakerów aplikacjami działającymi w chmurze, a także próbami ataku za pomocą masowo rozsyłanego szkodliwego spamu.
10 lat temu odnotowano wzrost liczby ataków oraz zysków, jakie czerpią z nich cyberprzestępcy. Obecnie w szarej strefie ekonomicznej funkcjonuje cyberprzestępczy biznes, a dostęp do niego dla potencjalnych klientów jest względnie łatwy. Aby zostać hakerem nie trzeba być wysoko wykwalifikowanym specjalistą w zakresie zabezpieczeń, praktycznie każdy może łatwo kupić gotowe zestawy eksploitów umożliwiających przeprowadzenie skutecznych ataków w ramach usług typu Cybercrime-as-a-Service.
Przestępcy coraz powszechniej korzystają z usług Cybercrime-as-a-Service
W 2007 roku, liczba nowych luk zarejestrowanych przez Cisco IntelliShield Security Alerts wyniosła 4773, co było zgodne z danymi National Vulnerability Database. W 2017 roku liczba luk ujawnionych przez producentów oprogramowania w porównywalnym okresie czasu wzrosła o 33% (6380). Sądzimy, że wzrost ten jest związany z rosnącą powierzchnią ataków i większą aktywnością cyberprzestępców, ale też większą świadomością dotyczącą znaczenia bezpieczeństwa.
W 2007 roku Cisco doradzało specjalistom ds. bezpieczeństwa, by podeszli do problemów w sposób holistyczny i spróbowali zintegrować narzędzia, procesy i polityki, a także edukować użytkowników i partnerów by zadbali o ochronę wykorzystywanych systemów. Firmy już wtedy zaczęły poszukiwać dostawców, którzy mogliby zaoferować kompleksowe rozwiązania, najczęściej na próżno, bo z reguły oferowano im rozwiązania punktowe. W 2017 roku, CSO wciąż borykają się z problemami stwarzanymi przez skomplikowane systemy bezpieczeństwa składające się z wielu różnych produktów. Cisco chce to zmienić prezentując architektoniczne podejście do bezpieczeństwa, które umożliwia użytkownikom lepsze wykorzystanie dotychczasowych inwestycji w systemy zabezpieczeń, a jednocześnie zwiększenie ich efektywności i zmniejszenie poziomu ich skomplikowania.
Jak zapobiegać, wykrywać i minimalizować skutki i ryzyko cyberataków
Zgodnie z wnioskami opublikowanymi w raporcie Cisco ACR:
- · kadra kierownicza firm musi uznać, że bezpieczeństwo ma znaczenie krytyczne,
- · należy zadbać o popularyzację wiedzy w tym zakresie wśród pracowników oraz zapewnić finansowanie bezpieczeństwa na priorytetowym poziomie,
- · niezbędny jest też regularny przegląd stosowanych praktyk bezpieczeństwa, aktualizowanie oprogramowania oraz mechanizmów kontroli dostępu do sieci, aplikacji, funkcji systemu i danych,
- · należy również zdefiniować metody pomiaru parametrów związanych z bezpieczeństwem, aby uzyskać jasne wyniki dające możliwość oceny poziomu bezpieczeństwa i ulepszenia stosowanych praktyk,
- · integracja i automatyzacja powinny być na czele listy kryteriów modernizacji systemu zabezpieczeń pod kątem zwiększenia widoczności zagrożeń, ułatwienia współpracy między różnymi jego elementami oraz zmniejszenia czasu niezbędnego do detekcji i przeciwdziałania atakom; jedynie wtedy zespoły specjalistów odpowiedzialnych za bezpieczeństwo będą mogły skoncentrować się na analizie i przeciwdziałaniu skutkom rzeczywistych zagrożeń.
Raport Cisco został opracowany m.in. na podstawie ankiet przeprowadzonych wśród 3000 dyrektorów ds. bezpieczeństwa (Chief Security Officer) oraz innych osób odpowiedzialnych za bezpieczeństwo procesów biznesowych w firmach z 13 krajów, które zostały ujęte w publikacji Security Capabilities Benchmark Study, będącej elementem raportu Cisco ACR.