W czasach rozwoju cyfrowej gospodarki i Internetu Wszechrzeczy, złośliwe oprogramowanie i inne zagrożenia stają się coraz powszechniejsze. Cisco 2015 Midyear Security Report wskazuje współczesnym organizacjom na konieczność skrócenia czasu wykrywania naruszeń ich cyfrowego bezpieczeństwa, który obecnie wynosi średnio od 100 do 200 dni. Dla porównania, średni czas wykrywania naruszeń przez rozwiązanie Cisco Advanced Malware Protection, wraz z retrospektywną analiza ataków, którym udaje się pokonać istniejące zabezpieczenia, wynosi 46 godzin.
Raport jako najważniejsze zagrożenia obserwowane w pierwszej połowie 2015 roku wymienia:
– rekordowo liczne podatności w oprogramowaniu Flash;
– rozwój ransomware’u (programów wymuszających cyfrowy okup);
– kampanie spamerskie wykorzystujące mutującego trojana o nazwie Dridex;
– najbardziej zaawansowany i najskuteczniejszy w roku 2015 zestaw eksploitów – Angler – dwukrotnie częściej infekujący urządzenia użytkowników niż inne tego typu zagrożenia, odnotowane w roku 2014.
Raport wskazuje ponadto na krytyczną potrzebę redukcji – z miesięcy do godzin – czasu wykrywania naruszeń bezpieczeństwa i usuwania skutków coraz bardziej zaawansowanych cyberataków. Raport podkreśla także potrzebę wdrażania przez firmy zintegrowanych rozwiązań bezpieczeństwa i odchodzenie od rozwiązań punktowych oraz współpracę z zaufanymi dostawcami rozwiązań i usług bezpieczeństwa.
Najważniejsze wnioski zawarte w Cisco 2015 Midyear Security Report:
Angler: niezwykle skuteczny zestaw eksploitów. Angler to obecnie jeden z najbardziej zaawansowanych i najczęściej wykorzystywanych zestawów eksploitów. W innowacyjny sposób wykorzystuje podatności w oprogramowaniu Flash, Java, Internet Explorer czy Silverlight. Jego ofiarami pada 40 procent użytkowników, którzy natkną się na zainfekowaną jego złośliwym kodem stronę internetową. Angler identyfikuje i wykorzystuje znane podatności w oprogramowaniu Flash (i innym), a następnie instaluje złośliwy kod na urządzeniu użytkownika. Dla porównania, zestawy eksploitów popularne wśród cyberprzestępców w poprzednich latach, były skuteczne średnio w 20 proc. przypadków. Angler jest też trudniejszy do wykrycia niż starsze zestawy eksploitów, często wykorzystuje bowiem tzw. domeny – cienie.
Rekordowo niebezpieczny Flash. Raport Cisco wskazuje na wzrost wykorzystania przez zestawy eksploitów takie jak Angler czy Nuclear podatności w oprogramowaniu Adobe Flash. Wynika to głównie z braku automatyzacji w instalowaniu aktualizacji oraz zwlekania przez użytkowników z ich instalowaniem. W pierwszej połowie 2015 r. odnotowano o 66 proc. więcej podatności w Adobe Flash Player niż w całym roku 2014. Jeśli to tempo się utrzyma, rok 2015 ustanowi niechlubny rekord jeśli chodzi o ilość zarejestrowanych podatności we Flashu.
Ewolucja technik „cyfrowego okupu”. Tzw. ransomware (ang. ransom – okup) pozostaje dla hakerów wysoce lukratywnym narzędziem. Nieustannie tworzą oni jego nowe warianty, a ich celem są w tym przypadku dane użytkowników, od plików z danymi finansowymi po zdjęcia rodzinne. Dane te są szyfrowane, a klucze do ich rozszyfrowania udostępniane są dopiero gdy użytkownik zapłaci „okup”. Działalność tego typu została dopracowana do tego stopnia, że obecnie jest w pełni zautomatyzowana i prowadzona w tzw. sieci głębokiej, zwanej też siecią ukrytą bądź ciemną (the dark web). Aby dodatkowo ukryć ją przed wykryciem przez organa ścigania, okupy są płacone w kryptowalucie, np. bitcoinach. Użytkownicy mogą zapobiegać tego typu atakom wykonując kopie zapasowe plików i przechowując je w odizolowaniu.
Błyskawiczne kampanie spamerskie wykorzystujące trojana o nazwie Dridex. Popularność wśród cyberprzestępców w pierwszej połowie 2015 roku zyskało podejście łączące trojana Dridex ze spamem oraz makrami pakietu Microsoft Office. Makra były popularnym przed laty narzędziem wykorzystywanym przez cyberprzestępców, jednak z czasem stały się mniej użyteczne, zostały bowiem wyłączone w ustawieniach domyślnych. Obecnie, wykorzystując techniki inżynierii społecznej, cyberprzestępcy mogą przekonywać użytkowników do włączania makr. Ataki spamerskie rozsyłające zainfekowane treści z wykorzystaniem trojana Dridex są krótkotrwałe, czasami cała taka kampania może trwać kilka godzin, co w połączeniu z częstymi mutacjami czyni je trudnymi do wykrycia. Rozwiązania antywirusowe, choć spełniają swoją rolę w wielu sytuacjach, nie są jednak przystosowane do radzenia sobie z takimi krótkimi kampaniami spamerskimi.
Jak widać, pojedynek na innowacyjność pomiędzy cyberprzestępcami a dostawcami rozwiązań bezpieczeństwa nabiera intensywności. Dostawcy muszą dotrzymywać kroku cyberprzestępcom, rozwijając zintegrowane rozwiązania, które pomogą organizacjom w proaktywnym podejściu do ochrony przed cyberzagrożeniami i dopasowaniu do tego właściwych ludzi, procesów i technologii. Coraz większym wyzwaniem dla firm jest zapewnienie właściwego poziomu bezpieczeństwa w dynamicznie zmieniającym się krajobrazie cyberzagrożeń. Konieczne staje się odejście od rozwiązań punktowych i wdrożenie zintegrowanej architektury, chroniącej wszystkie elementy firmowej infrastruktury, zapewniającej kontrolę w każdym jej punkcie i chroniącej ją przed, w trakcie i po ataku.
Pełna wersja Cisco 2015 Midyear Security Report dostępna jest tutaj.