Ewolucja cyberataków i cyberbezpieczeństwa. Jak atakujący i obrońcy uczą się od siebie nawzajem?

Przeczytaj także: Cyberataki DDoS: Polska celem nr 1

Barracuda Networks obchodzi w tym roku 20-lecie swojej działalności w obszarze bezpieczeństwa IT. Z tej okazji nasi eksperci przyjrzeli się temu, jak ewoluowały ataki i cyberbezpieczeństwo od czasu powstania firmy w 2003 roku. Pokusiliśmy się też o spojrzenie w przyszłość – mówi Mateusz Ossowski, CEE Channel Manager w Barracuda Networks.

Od początku do 2003 roku

Historia cyberzagrożeń i cyberbezpieczeństwa zaczyna się w połowie lat 80. XX wieku. Zapoczątkowały ją między innymi wirus Cascade (aktywny w latach 1987/1988), robak Morrisa (1988 rok) czy wirus Melissa (1999 rok).

Do roku 2003 zagrożenia cybernetyczne zaczęły się różnicować i mnożyć, ale ataki wciąż były głównie rozproszone i często przypadkowe. Aktywności cyberprzestępców służył wzrost wykorzystania Internetu w biznesie, jednak wirusy, robaki i inne rodzaje złośliwego oprogramowania nie były jeszcze częścią zorganizowanych kampanii przestępczych. Ataki uderzały w komputery przenośne i stacjonarne, a atakujący poszukiwali luk w dostępie do sieci.

Działania z zakresu cyberbezpieczeństwa skupiały się na skanowaniu i wykrywaniu znanego złośliwego oprogramowania na podstawie jego sygnatur oraz blokowaniu spamu, wirusów i podstawowych ataków internetowych. Statyczny system wykrywania sygnatur wkrótce został uzupełniony o wykrywanie heurystyczne (wykrywanie wirusów poprzez analizę kodu pod kątem podejrzanych właściwości), mające na celu identyfikowanie rosnącej liczby wcześniej nieznanych wariantów malware’u.

Jednak w kuluarach czekał już pierwszy smartfon BlackBerry z obsługą push, wydany w 2002 roku. Ten model uwolnił pracowników i dane spod tradycyjnych ograniczeń miejsca pracy. Niedługo potem tą samą ścieżką poszli producenci innych urządzeń, technologii i aplikacji, zmieniając wszystko na zawsze.

Do 2009 roku

Do roku 2009 urządzenia mobilne, usługi i oprogramowanie stopniowo przejmowały biznesowy krajobraz. Granica bezpieczeństwa przesuwała się, a atakujący stawali się coraz bardziej zorganizowani. Oszustwa finansowe, phishing, ransomware, spyware, botnety oraz ataki typu Denial of Service (DoS i DDoS) dołączyły do ekosystemu zagrożeń cybernetycznych i nie zniknęły. Niektóre z taktyk ataków powstałych w tym czasie, takich jak wstrzykiwanie SQL, są używane do dziś.

Wirtualne maszyny (VM) i wirtualizacja stały się integralnymi składnikami sieci IT. W takim środowisku trudniej jest śledzić aplikacje, monitorować polityki i konfiguracje bezpieczeństwa. Niedostatecznie chronione maszyny wirtualne mogą być celem cyberataków i raz zainfekowane – rozprzestrzeniać złośliwe oprogramowanie w całej infrastrukturze wirtualnej.

Ta sytuacja oferowała jednak również pewne korzyści z punktu widzenia bezpieczeństwa. Odizolowanej od sieci maszyny wirtualnej można używać do analizy złośliwego oprogramowania, testów penetracyjnych czy innych scenariuszy testowych.

Do 2012 roku

Nastała era nowoczesnego ransomware'u. Ataki oparte na sieci i inżynierii społecznej stały się powszechne, a skala działania haktywistów i grup wspieranych przez państwa wciąż rosła.

Jednocześnie pojawiła się potrzeba skalowalnych, łatwo dostępnych rozwiązań zabezpieczających, aktualizowanych w czasie rzeczywistym i nieobciążających zasobów IT. To sprawiło, że systemy z obszaru bezpieczeństwa zostały przeniesione do chmury i zaczęły być oferowane w modelu SaaS (Software as a Service). Organizacje poszukiwały też rozwiązań bezpieczeństwa, które mogłoby przechowywać i chronić ich rosnący wolumen zasobów hostowanych w chmurze, oraz zaawansowanego bezpieczeństwa poczty elektronicznej, aby zwalczać coraz bardziej wyrafinowane ataki oparte na e-mailach.

Do 2016 roku

Cyberataki stały się coraz powszechniejsze i bardziej destrukcyjne. Połączone systemy Internetu rzeczy (IoT) oraz hybrydowych środowisk IT dały hakerom szerszą powierzchnię ataku i nowe słabe punkty do wykorzystania. Cyberprzestępcy używali złośliwego oprogramowania bezplikowego oraz dostępnych narzędzi i rozwiązań IT, aby omijać zabezpieczenia i unikać wykrycia.

Zabezpieczenie tak złożonego środowiska cyfrowego przed zagrożeniami przekroczyło siły wielu organizacji. Zaczęły się one coraz liczniej zwracać po pomoc i zewnętrzne wsparcie do dostawców usług zarządzanych (MSP). Dostęp do rozwiązań z obszaru bezpieczeństwa stał się bardziej elastyczny dzięki platform online, na których można je było kupić i uruchomić w ciągu kilku minut.

Rok 2017 okazał się decydujący dla dalszego rozwoju cyberbezpieczeństwa. To wtedy pojawił się opracowany przez NSA (amerykańską agencję bezpieczeństwa) exploit EternalBlue, który został wykradziony przez hakerów i wykorzystany w atakach o ogromnej sile rażenia – WannaCry i NotPetya.

Do 2023 roku

Jak dziś wygląda krajobraz cyberbezpieczeństwa? Internet rzeczy rozwija się w kierunku Internetu wszystkiego (IoE). Świat zabezpieczeń nie nadąża za tym trendem, co prowadzi do luk i podatności szybko wychwytywanych i wykorzystywanych przez atakujących.

Cyberprzestępcy i zespoły ds. bezpieczeństwa wykorzystują sztuczną inteligencję i uczenie maszynowe. Pierwsi do tworzenia coraz bardziej przekonujących ataków opartych na inżynierii społecznej i złośliwym oprogramowaniu; drudzy do rozwijania coraz bardziej inteligentnych narzędzi bezpieczeństwa, które wykrywają i blokują te ataki.

Narzędzia do przeprowadzania cyberataków są dostępne w modelu SaaS, co sprawia, że znajdują się w zasięgu wielu przestępców, napędzając rozprzestrzenianie się ransomware'u, wymuszeń i innych zagrożeń. Atakujący koncentrują się na przedsiębiorstwach, które posiadają wielu użytkowników, urządzeń, aplikacji i danych poza swoją wewnętrzną siecią.

Eksperci ds. cyberbezpieczeństwa przystosowali się, wprowadzając jednolite platformy bezpieczeństwa sieciowego – zwane Secure Access Service Edge (SASE). Zapewniają one kontrolę dostępu opartą na zasadzie Zero Trust (czyli domyślnego braku zaufania do użytkowników i urządzeń pojawiających się w sieci), śledzenie i analizę zagrożeń, reagowanie na incydenty oraz zespoły SOC działające w trybie 24/7.

Wojna Rosji z Ukrainą, która rozpoczęła się w 2022 roku, przypomniała również światu, że w okresach napięć geopolitycznych cyberataki mogą być stosowane jako cyberbroń.

Co przyniesie przyszłość?

Dziś wiemy już, że bezpieczeństwo nie ma granic, a ataki mogą wywoływać katastrofalne skutki, ponieważ świat jest coraz bardziej zależny od połączonych ze sobą systemów cyfrowych i infrastruktury IT. Bezpieczeństwo musi stać się ich integralną częścią.

Wiele wskazuje na to, że sztuczna inteligencja będzie stosowana coraz powszechniej, co przełoży się na biznes, społeczeństwo i stabilność geopolityczną. Technologia ta sprawi jednak, że centra operacji bezpieczeństwa (SOC) będą bardziej intuicyjne i responsywne, a wykrywanie, zrozumienie i łagodzenie skomplikowanych incydentów – szybsze.

Można się też spodziewać, że do końca tej dekady korzystanie z komputerów kwantowych stanie się opłacalne komercyjnie. To zmieni wszystko, począwszy od rozwoju leków i rynków finansowych, aż po zmiany klimatyczne i prognozowanie pogody. Komputery kwantowe będą miały również znaczący wpływ na cyberbezpieczeństwo, w tym zdolność do złamania tradycyjnego szyfrowania.

Cyberbezpieczeństwo to podróż. Minione lata pokazały, że atakujący i zespoły ds. bezpieczeństwa ciągle się dostosowują do zmieniającego się krajobrazu i do siebie nawzajem. W nadchodzących latach tempo zmian będzie jeszcze szybsze. Pojawią się nowe podatności i zagrożenia, a mimo to dotychczas wykorzystywane taktyki będą nadal w użyciu. Bezpieczeństwo musi być na to wszystko gotowe – podsumowuje Mateusz Ossowski z Barracuda Networks.