Cisco: bezpieczeństwo w Internecie I poł. 2016

Przeczytaj także: Cisco: bezpieczeństwo w Internecie I poł. 2017

Lektura najnowszego raportu Cisco 2016 MCR zawiera również szereg innych wniosków - wskazuje m.in. na coraz większe zainteresowanie cyberprzestępców atakami na serwery, a także coraz to częstsze wykorzystywanie szyfrowania, co służyć ma ukryciu ich rzeczywistej aktywności. Istotną kwestią jest również ewolucja w zakresie używanych sposobów atakowania ofiar.

Największe zagrożenie: ransomware, czyli cyfrowy okup

Ransomware zyskuje miano jednego z najbardziej dochodowych rodzajów złośliwego oprogramowania w historii. Zdaniem Cisco, jego popularność będzie się utrzymywać. Co więcej, siła jego rażenia będzie jeszcze bardziej destrukcyjny, rozprzestrzeniając się samoistnie i „porywając” całe sieci, a de facto firmy.

Na przykład, przyszłe ataki wykorzystujące ransomware będą unikały wykrycia poprzez ograniczanie wykorzystania procesora i wstrzymanie wykonywanych przez niego poleceń. Nowe odmiany ransomware’u będą rozprzestrzeniać się szybciej i samodzielnie replikować w ramach organizacji, poprzedzając skoordynowane działania wymuszające okup.

Swoboda działania atakujących

Średni czas od pojawiania się nowego, nieznanego zagrożenia w firmowej sieci do momentu jego wykrycia wynosi nawet 200 dni. Cisco potrafi skrócić ten czas do około 13 godzin, co jest najlepszym wynikiem w branży. Skrócenie czasu wykrycia zagrożeń jest kluczowe dla ograniczenia swobody operacyjnej cyberprzestępców i minimalizowania skutków ich ataków.
Raport wskazuje ponadto, że coraz bardziej innowacyjne metody ataków spotykają się z coraz większymi problemami po stronie obrońców. Przestarzałe systemy, którymi często dysponują, otwierają przed atakującymi dodatkowe możlwości aby w łatwy sposób uzyskać do nich dostęp, pozostać niezauważonym oraz maksymalizowować szkody firm i swoje zyski – tym bardziej, im dłużej ich działania pozostają niewykryte.

Według Cisco, zyski cyberprzestępców gwałtownie wzrosły w pierwszej połowie 2016 roku, głównie z powodu:

• Poszerzania pola ataku – atakujący nie skupiają się już tylko na urządzeniach klienckich, coraz częściej wykorzystując serwery do rozprzestrzeniania złośliwego kodu.
• Ewolucji metod ataku – cyberprzestępcy nieustannie zmienieniają metody ataku, dzięki czemu długo pozostają niezauważeni przez obrońców.
• Zacieranie śladów ataku – atakujący zwiększają wykorzystanie szyfrowania jako metody maskowania swojej rzeczywistej działalności.

Problemy obrońców

W obliczu coraz bardziej zaawansowanych ataków, ograniczone zasoby i przestarzała infrastruktura w wielu firmach utrudniają obrońcom walkę z cyberprzestępcami. Dane w raporcie sugerują, że im bardziej krytyczne znaczenie dla działania biznesu ma jakaś technologia, tym większe prawdopodobieństwo, że nie jest ona odpowiednio utrzymywana, np. przez instalowanie najnowszych aktualizacji czy łatek systemowych. Na przykład:

• W obszarze przeglądarek, Google Chrome, aktualizująca się automatycznie, ma 75-80 proc. użytkowników, którzy korzystają z najnowszej wersji.
• Wolniejszą migrację do najnowszej wersji widać w przypadku innego oprogramowania. Np. ponad 30 proc. badanych przez Cisco systemów korzystało z Javy w wersji SE 6, wycofywanej przez Oracle (aktualna wersja to SE 10).
• Zaledwie 10 proc. użytkowników Microsoft Office 2013 korzysta z najnowszej wersji service packów.

Warto dodać, że aktualizacja przeglądarki w urządzeniu końcowym jest bardzo łatwa. Aktualizacja infrastruktury czy aplikacji biznesowych jest dużo trudniejsza i może powodować problemy z zapewnieniem ciągłości biznesu. Z drugiej strony, im dłużej taka infrastruktura pozostaje niezaktualizowana, tym łatwiej będzie cyberprzestępcom wykorzystać podatności w niej obecne do ataku na firmowy system IT.

Cisco radzi jak w kilku prostych krokach zwiększyć bezpieczeństwo środowisk biznesowych

Badacze z grupy Cisco Talos zaobserwowali, że organizacje, które wykonają kilka prostych, ale bardzo ważnych kroków, mogą w istotnym stopniu zwiększyć bezpieczeństwo swojego biznesu.

• Poprawa „higieny” sieci – monitoring stanu sieci, najnowsze aktualizacje, instalowanie łatek systemowych, segmentacja sieci, ochrona brzegu sieci, Firewall nowej generacji – wszystko to prowadzi do zwiększenia bezpieczeństwa.
• Integracja systemów ochrony – odejście od wdrażania pojedynczych produktów i rozwiązań na rzecz podejścia systemowego i kompleksowych architektur bezpieczeństwa.
• Mierzenie czasu do wykrycia ataku – dążenie do tego, aby czas wykrycia nowych zagrożeń był jak najkrótszy a minimalizacja ich skutków natychmiastowa; metryki czasu wykrycia powinny stać się elementem polityki bezpieczeństwa każdej organizacji.
• Chroń użytkowników wszędzie, gdzie są i pracują – ochrona użytkowników tylko wtedy, gdy pracują w ramach sieci korporacyjnej, już nie wystarczy.
• Twórz kopie zapasowe krytycznych danych.

„Cyberbezpieczeństwo stanowi podstawę dla tworzenia nowych modeli biznesowych w obecnej erze cyfrowej transformacji. Tymczasem jak wynika z Cisco 2016 Midyear Cybersecurity Report, cyberprzestępcy wykorzystują szybko ewoluujące metody ataku, pozostając niezauważonymi na długo po naruszeniu firmowych systemów bezpieczeństwa, co daje im czas na maksymalizację zysków kosztem zaatakowanych organizacji. Aby zmniejszyć tę swobodę działania atakujących, firmy powinny zabiegać o większą widoczność tego, co dzieje się w ich sieci. Wskazane jest także podjęcie kroków zmierzających do aktualizacji przestarzałej infrastruktury czy instalacji najnowszych łatek systemowych” - mówi Gaweł Mikołajczyk, Dyrektor Cisco Security Operations Center w Krakowie:
„W miarę jak cyberprzestępcy kontynuują czerpanie zysków ze swojej aktywności, tworząc niezwykle dochodowe "modele biznesowe", Cisco pracuje z klientami nad tym aby osiągnąć wyższy poziom zaawansowania, widoczności i kontroli niż atakujący”.

O raporcie
Cisco 2016 Midyear Cybersecurity Report przedstawia wyniki analizy najnowszych danych (z pierwszej połowy tego roku) zgromadzonych przez Cisco Collective Security Intelligence. Raport prezentuje aktualny krajobraz cyberzagrożeń, trendy, wnioski i rekomendacje w obszarze cyberbezpieczeństwa. Nawet 40 miliardów punktów pomiarowych dziennie jest źródłem danych do raportu. Pracownicy Cisco analizują te dane, przekładając je na konkretne działania chroniące w czasie rzeczywistym klientów na całym świecie.