W ostatnich latach mogliśmy obserwować bardzo szybką ewolucję zagrożeń. Ataki przestały być domeną hakerów, którzy tylko dla rozgłosu planowali spowodować szkody w czyimś systemie informatycznym. Teraz cyberprzestępstwami zajmują się profesjonaliści pragnący z tego procederu mieć jak największe profity. Dlatego powstaje złośliwe oprogramowanie, które nie ma na celu destrukcji, ale dokonywanie przemyślanych ataków zarówno na masową, jak i lokalną skalę.

 

Jest się czego bać

W efekcie malware stał się bardziej wyrafinowany i trudny do wykrycia, bo bez trudu omija tradycyjne zabezpieczenia. Jest tworzony w taki sposób, by radził sobie także z nowymi metodami ochrony – potrafi pozostawać w uśpieniu długi czas i wykrywać obecność w systemie nowych rozwiązań zabezpieczających. Powstają wręcz gotowe zestawy narzędzi do dokonywania ataków, z których mogą korzystać napastnicy mniej obeznani z kodowaniem. Plon zbiera także ransomware, czyli oprogramowanie wymuszające okup. Wśród odmian tego typu złośliwych algorytmów największą „sławą” cieszył się w ostatnim czasie cryptolocker, szyfrujący pliki w komputerach i domagający się opłaty za zdjęcie blokady.

Na celowniku cyberprzestępców są nie tylko największe firmy i instytucje rządowe. Celem nowego rodzaju zagrożeń, czyli ataków ukierunkowanych – Advanced Persistent Threat – może być każde przedsiębiorstwo dysponujące zasobami informatycznymi, które przestępcy zdołają wykorzystać. Użyte do APT złośliwe oprogramowanie przeprowadza rekonesans systemu, by poznać reakcję na poprzednio przeprowadzony atak. Malware może sprawdzać, czy jest uruchomiony na maszynie wirtualnej, i szukać oznak użycia narzędzi wskazujących, że zastosowano technikę obrony zwaną sandboxingiem (to wydzielony wirtualny system, uruchomiony na sprzęcie o bardzo dużej mocy obliczeniowej, którego zadaniem jest wykrywanie zagrożeń niezidentyfikowanych przez pozostałe warstwy ochronne). Aby przeciwdziałać takim wyrafinowanym zabezpieczeniom, malware może być nieaktywny przez wiele miesięcy, by po tym czasie skontaktować się ze zdalnym serwerem typu Command and Control, uruchomionym przez atakujących.

 

Szybko rosnącym problemem stają się zmasowane ataki typu DDoS, nastawione na sparaliżowanie internetowego biznesu i systemu łączności firmy, która ma się stać ich ofiarą. Co gorsza, tego typu atak można na przestępczych serwisach internetowych zamówić już za kilkadziesiąt dolarów. Ta niewielka kwota wystarczy na wykupienie „usługi” wygenerowania ruchu o wolumenie kilku gigabitów na sekundę, który przez 24 godziny skutecznie zablokuje działalność konkurencyjnej firmy. Ponieważ większość polskich przedsiębiorstw nie dysponuje łączem większym niż 1 Gb/s, atak oznacza całkowite odcięcie od kluczowych zasobów (takich jak ERP i CRM) oraz uniemożliwienie składania zamówień i wszelkiej komunikacji przez Internet. W 2000 r. najbardziej zmasowane ataki osiągały obciążenie na poziomie 400 Mb/s, obecnie ich skala dochodzi nawet do 300 Gb/s. Coraz częściej w postępowaniu atakujących ważniejsze od bezpośredniego efektu staje się dążenie do odwrócenia uwagi personelu IT od innych, równocześnie prowadzonych działań, w szczególności ataków APT.

Wkrótce to nie komputery PC będą głównym celem cyberprzestępców, lecz smartfony, tablety i inne urządzenia mobilne. Zdaniem ekspertów pod względem podatności na masowe ataki Android staje się „nowym Windows” – przede wszystkim z powodu popularności i podobnego modelu instalowania aplikacji (które nie są kontrolowane przez żaden centralny, zaufany podmiot).

 

Akcja musi wywołać reakcję

Obronę przed nowymi rodzajami ataków mają zapewniać nowe narzędzia. Chronią one przed APT, wyciekiem danych (Data Loss Prevention), umożliwiają kontrolę ruchu sieciowego na poziomie aplikacji i wykrywają luki w systemie zabezpieczeń, które mogą stanowić potencjalne zagrożenie. Takie produkty napędzają obecnie sprzedaż systemów ochrony w dużych przedsiębiorstwach, ale interesują się nimi także mniejsze firmy.

Wśród klientów świadomość zagrożeń rośnie, a wraz z nim przekonanie, że posiadane zabezpieczenia starszego typu nie zapewniają już wystarczającej ochrony. Zwiększa się także zainteresowanie „inteligentnymi” platformami, analizującymi niewykryte wcześniej zagrożenia (m.in. ataki typu „zero-day”). Coraz więcej firm zamierza wykorzystywać techniki aktywnej ochrony (honeypot, sandboxing), mogące wprowadzać w błąd napastnika, który będzie przekonany, że udało mu się zaatakować firmowe środowisko.

Ważną warstwą ochronną są zabezpieczenia przed atakami na strony internetowe, bo to najczęściej wykorzystywany przez cyberprzestępców kierunek. Obrona polega na filtrowaniu witryn i treści internetowych oraz wprowadzaniu reguł dostępu do nich w całej firmie lub instytucji. Rynek rozwiązań tego typu rośnie i interesują się nimi także klienci z mniejszych przedsiębiorstw.

Krzysztof Hałgas

prezes zarządu, Bakotech

O skuteczności resellerów na rynku zabezpieczeń decyduje to, na ile nowoczesne rozwiązania zaoferują klientom. Drugim czynnikiem są warunki handlowe, czyli rejestracja projektów, wysokie marże, zapewnienie długoterminowej ochrony inwestycji. Ważna jest przy tym pomoc techniczna na wysokim poziomie – zarówno ze strony producenta, jak i dystrybutora – oraz wsparcie w działaniach marketingowych.

 
Nadzieja w SIEM, DLP i MDM

Pełny obraz stanu bezpieczeństwa systemu informatycznego zapewniają narzędzia klasy Security Information and Events Management. Zbierają dane w postaci logów z najróżniejszych komponentów systemu informatycznego, a następnie poddają je korelacji. W rezultacie administrator otrzymuje wiarygodne
i kompletne informacje na temat wykrytych w sieci incydentów. Trzeba jednak zdawać sobie sprawę, że wartość rozwiązania SIEM zależy od jakości uzyskiwanej informacji. Ponieważ rośnie rola analityki w uzyskiwaniu lepszego wglądu w środowisko informatyczne przedsiębiorstwa, wykrywaniu luk w systemie zabezpieczeń i ataków, dostawcy SIEM starają się tworzyć produkty coraz bardziej inteligentne.

Kolejne raporty analityków mówią o coraz większym znaczeniu systemów, które potrafią zabezpieczyć firmy przez utratą danych. Rozwiązania Data Loss Prevention skupiają się na zagrożeniach wewnętrznych, by przeciwdziałać złośliwym poczynaniom (takim jak wykradanie danych), ale także szkodom wynikającym z błędów popełnianych przez pracowników (bo to właśnie one, a nie celowe posunięcia, są główną przyczyną wycieku danych). DLP to systemy, które identyfikują, monitorują i chronią wykorzystywane dane (zabezpieczenie punktów końcowych), nadzorują ich przemieszczanie (ochrona sieci i kanałów komunikacji, takich jak e-mail czy WWW) a także zapisywanie na nośnikach pamięci masowej. Dokonują szczegółowej inspekcji treści i egzekwują reguły ochrony ustalane poprzez centralną konsolę zarządzania. Dzięki nim mogą zapobiec nagminnym błędom, takim jak kopiowanie poufnych informacji na przenośne pamięci. Strzegą też przed niezgodnymi z prawem działaniami, mogącymi narazić firmy na poważne problemy.

Od kilku lat przedsiębiorstwa mają problem z bezpieczeństwem i zarządzaniem wieloma najróżniejszymi urządzeniami mobilnymi łączącymi się z firmową siecią. Sytuację skomplikowała powszechna konsumeryzacja IT i trend BYOD. By wykorzystać zalety mobilności i uniknąć związanych z nią zagrożeń, trzeba stosować środki zarówno techniczne, jak i organizacyjne, które pozwolą skutecznie zapobiegać zdarzeniom naruszającym bezpieczeństwo. Pomagają w tym systemy Mobile Device Management, które umożliwiają zarządzanie mobilnym sprzętem, bazując na rolach, jakie pełnią ich użytkownicy w strukturze firmy. MDM mogą dokonywać inwentaryzacji sprzętowej oraz oprogramowania urządzeń mobilnych, zdalnej konfiguracji, dystrybucji aplikacji, integracji np. z systemami infrastruktury klucza publicznego czy też innymi narzędziami do ochrony informacji.

Agnieszka Szarek

Channel Manager, Fortinet

Dla resellerów rynek rozwiązań ochronnych jest nadal bardzo perspektywiczny. Wiele firm IT przekonało się, że w dzisiejszych czasach po prostu trzeba mieć rozwiązania zapewniające bezpieczeństwo sieciowe w ofercie. Wyzwaniem jest z pewnością zdobycie odpowiedniej wiedzy, gwarantującej resellerowi skuteczne wprowadzanie rozwiązań ochronnych u klientów. Zdobyte kompetencje szybko jednak procentują, zwiększając zyski z usług i umacniając pozycję rynkową każdej firmy IT.

 
Co dalej z antywirusami i UTM?

Od pewnego czasu skuteczność, a nawet sens stosowania programów antywirusowych bywają kwestionowane. Tradycyjne zabezpieczenia, bazujące na sygnaturach, są nieskuteczne w przypadku złośliwego oprogramowania wykorzystującego luki „dnia zerowego” i złośliwych kodów, które same się modyfikują. Nie oznacza to jednak, że antywirusy stały się bezużyteczne. Nadal są potrzebne, bo cyberprzestępcy nie przestali wykorzystywać znanych luk w zabezpieczeniach. Chociaż metody ich ataków są coraz bardziej wyrafinowane, nie porzucili najłatwiejszej i wciąż najbardziej efektywnej drogi przełamania zabezpieczeń systemów. Antywirusy wciąż odsiewają większą część malware’u. W dodatku ich sposoby działania się zmieniają. Nowe antywirusy coraz częściej wykorzystują np. wielką moc obliczeniową chmury i oferują ochronę za pomocą techniki sandboxingu.

Już od lat wśród mniejszych firm niezmiennym powodzeniem cieszą się urządzenia UTM. Te zintegrowane rozwiązania łączą funkcje firewalla, antywirusa i filtru antyspamowego, narzędzia wykrywania ataków i ochrony przed nimi (IDS i IPS), filtrowania WWW itp. Atrakcyjność UTM, czyli urządzenia „wszystko w jednym”, polega na tym, że ogranicza ono złożoność systemu zabezpieczeń i umożliwia uniknięcie wielu czynności związanych z instalowaniem oprogramowania czy utrzymaniem odrębnych rozwiązań. Taki system pochodzi od jednego dostawcy, więc zarządzanie nim jest proste i odbywa się przez uruchamiany w przeglądarce interfejs, a jego architektura w dużym stopniu umożliwia użycie rozwiązania w trybie plug and play. Ponieważ producenci starają się dodawać do swych produktów kolejne funkcje, można się spodziewać, że zainteresowanie urządzeniami UTM ze strony małych i średnich firm nie będzie maleć.

 

Usługi zarządzane i chmura

Nawet te firmy, które zainwestują w najlepsze rozwiązania zabezpieczające, mogą być zainteresowane powierzeniem zarządzania nimi podmiotom zewnętrznym. Nie jest rzadkością, że nie chcą zatrudniać własnych profesjonalistów i wolą, by za zarządzanie bezpieczeństwem urządzeń końcowych, zmianami w sieci, monitorowanie logów i wiele innych aspektów ochrony systemu informatycznego odpowiadał specjalizujący się w takich usługach partner. Do zadań dostawcy Managed Security Service Provider może należeć nie tylko zarządzanie infrastrukturą bezpieczeństwa i reagowanie na zagrożenia, ale także przeprowadzanie testów penetracyjnych, audytów itp.

Oczywiście obawy właścicieli firm, zwłaszcza tych mniejszych, przed powierzaniem tak ważnych dla biznesu zadań komuś spoza przedsiębiorstwa, nie dziwią. Jeśli jednak dostawca usług zarządzanych oferuje klarowny plan SLA, zgodny z normami, np. ISO 27001 czy programem zarządzania bezpieczeństwem informacji, to opór klienta powinien zmaleć.