Przez lata mali przedsiębiorcy nauczyli się bronić przed prostymi atakami, dokonywanymi przy pomocy internetowych wirusów i robaków. Cyberprzestępcy koncentrowali się w tym czasie na największych firmach, głównie finansowych, które dysponują dużym majątkiem i cennymi danymi. To, siłą rzeczy, uśpiło czujność wielu małych podmiotów, co zaczęło się na nich mścić. Oczywiście nie grozi im zwykle utrata ogromnej bazy danych klientów, ich kart kredytowych ani supertajnych projektów przełomowych dla gospodarki. Internetowi bandyci wykorzystują luki w strategii ochronnej drobnych przedsiębiorców do innych działań przestępczych, jak wysyłanie spamu czy prowadzenie ataków DDoS po podłączeniu komputera ofiary do sieci botnet. Kolejne zagrożenie stanowi złośliwe oprogramowanie szyfrujące ransomware, stosowane w celu uzyskania okupu za odzyskanie danych.

Ponadto mniejszych przedsiębiorców, podobnie jak tych dużych, dotyczy kwestia ochrony wizerunku. Co prawda, o ich kłopotach raczej nie wspomną media, ale dla małych firm każdy lojalny klient jest na wagę złota. Utrata zaufania może w tym przypadku negatywnie wpłynąć na roczny bilans przychodów. Do tego dochodzi ryzyko pozwu sądowego ze strony klienta, którego poufne informacje lub własność intelektualna trafiła w niepowołane ręce w wyniku cyberwłamania. Może okazać się zatem, że inwestycja w profesjonalne rozwiązanie ochronne zwróci się już pierwszego dnia.

 

W poszukiwaniu właściwej strategii

Przy stosowanych obecnie formach ataku przestały wystarczać zwykłe antywirusy czy firewalle wbudowane w routery wykorzystywane w małych firmach. Oprogramowanie antymalware wciąż jest skuteczne głównie przy wykrywaniu już znanych mu zagrożeń, zaś metoda działania firewalli polega na filtrowaniu ruchu internetowego zgodnie ze zdefiniowanymi regułami. Ich konfiguracja najczęściej odbywa się w taki sposób, że administrator blokuje cały ruch, a następnie ostrożnie otwiera porty i protokoły, przez które przesyłane są strony internetowe, poczta elektroniczna, obrazy z systemu monitoringu itd. Dlatego cyberprzestępcy nie ustają w wysiłkach, aby swój złośliwy kod przesyłać korzystając właśnie z zaufanych kanałów transmisji danych, dla których firewall jest zawsze otwarty. Konieczna stała się zatem zmiana strategii wykrywania anomalii w firmowej sieci.

Jednym z przyjętych sposobów jest analiza behawioralna. Jeżeli przez firmowy router dziennie średnio przesyłanych jest kilka gigabajtów danych i nagle ta ilość rośnie kilkukrotnie, to z pewnością mamy do czynienia z nietypowym zjawiskiem, któremu należy się przyjrzeć. Trzeba jednak dysponować narzędziem, które umożliwi taką obserwację. Po wykryciu zaatakowanego komputera należy go błyskawicznie odizolować od sieci i uporać się z problemem.

Niektórzy producenci rozwiązań ochronnych proponują też model postępowania, w którego centrum znajdują się cyberzagrożenia. Składa się on z trzech faz: przed atakiem, podczas oraz po. Przed wykryciem ataku należy nieustannie szukać luk w strategii ochronnej i wprowadzać dodatkowe zabezpieczenia. Podczas ataku trzeba jak najszybciej wykryć jego źródło, zablokować je i wprowadzić procedury ochronne. Po ataku konieczna jest jego analiza, wykrycie przyczyny jego powodzenia oraz wdrożenie nowych zabezpieczeń. Niestety, do tej pory większość klientów biznesowych skupia się na fazie „przed”, zapominając, że pozostałe dwie są równie ważne.