Temat koronawirusa przez miesiące nie schodził z pierwszych stron gazet, a w przypadku branży IT kluczowe były dwie związane z tym kwestie. Po pierwsze pandemia, z punktu widzenia przedsiębiorców, skutkowała problemami organizacyjnymi i koniecznością zapewnienia cyfrowych narzędzi do zdalnej pracy i zarządzania nimi. Z drugiej strony unaoczniła mnogość luk związanych z bezpieczeństwem – technicznych i proceduralnych. Co gorsza, trudno oczekiwać, że zostaną szybko wyeliminowane, gdyż wiąże się to z kosztami, a obecnie każda złotówka jest przed wydaniem oglądana z wielu stron. Tym bardziej, że wola inwestowania w coś, co nigdy nie przyniesie zysku, jest zwykle dość słaba. Wydaje się jednak, że przedsiębiorcy tym razem nie mają wyjścia, bo jeśli nie zniszczy ich zagrożenie fizyczne, to prędzej czy później doświadczą cyfrowego ataku.

Głównym narzędziem do infiltracji zasobów IT użytkowników, stosowanym przez cyberprzestępców, jest inżynieria społeczna. Manipulacyjne działania podejmowane są przede wszystkim za pomocą poczty elektronicznej. Analitycy z należącego do Fortinetu laboratorium FortiGuard Labs zaobserwowali znaczący wzrost cyberataków wykorzystujących nawiązania do pandemii – specjaliści wykrywali nawet 600 nowych kampanii phishingowych każdego dnia, zaś liczba wirusów wzrosła o 17 proc. w styczniu, 52 proc. w lutym i 131 proc. w marcu (wzrosty rok do roku).

W treści phishingowych e-maili przekazywane były fałszywe informacje na temat pandemii, zaś styl komunikacji to żerowanie na ludzkim strachu i empatii. Często w złośliwych wiadomościach pojawiał się temat dostępu do trudno osiągalnych środków medycznych lub wsparcia technicznego dla pracowników zdalnych. Organizacja Trolling the Dark Webujawniła natomiast takie cyberoszustwa związane z pandemią, jak oferta dostarczenia chlorochiny i innych leków oraz urządzeń medycznych.

Większość ataków phishingowych dystrybuuje jako złośliwy „ładunek” narzędzia typu ransomware, trojany zdanego dostępu (Remote Access Trojan) i inne złośliwe oprogramowanie, za pomocą którego można uzyskać zdalny dostęp do urządzeń podłączonych do sieci. Znacznie wzrosła także liczba oszustw finansowych powiązanych z tematem pandemii, nawet z użyciem narzędzi w modelu usługowym Malware as a Service (MaaS), przeznaczonych dla początkujących cyberprzestępców, tzw. script kiddies.

Co ciekawe, równocześnie analitycy FortiGuard Labs zaobserwowali spadek liczby botnetów (w styczniu o 66 proc., w lutym o 65 proc., w marcu o 44 proc., w porównaniu z zanotowaną w analogicznym okresie ubiegłego roku). Podobnie liczba ataków wykrywanych przez systemy ochrony przed włamaniami IPS spadła w marcu o 58 proc., w porównaniu z marcem roku 2019. Widać więc wyraźnie, że cyberprzestępcy reagują na kryzys, dostosowując do niego strategie ataków.

 

Najważniejsza jest współpraca

Niestety, 29 proc. dyrektorów ds. IT i bezpieczeństwa, zapytanych przez specjalistów Forrestera (na zlecenie VMware’a) przyznało, że nie zamierza w najbliższym czasie stworzyć dla swoich firm kompleksowych strategii ochrony połączonej z zarządzaniem infrastrukturą sieciową. Jednocześnie 45 proc. z nich uważa, że taka wspólna strategia pozwoliłaby znacząco ograniczyć liczbę incydentów oraz wycieków i przyspieszyłaby identyfikację nowych zagrożeń.

Sami ankietowani przyznali jednak, że jest to zadanie trudne w realizacji. Aż 84 proc. z nich mówi wprost, że ich zespoły IT odpowiedzialne za bezpieczeństwo i sieci nie mają ze sobą dobrych relacji. Menedżerowie ponad połowy przedsiębiorstw chcą więc przymusić szeroko rozumiane działy technologiczne do współpracy, wdrażając w ciągu najbliższych 3–5 lat model wspólnej odpowiedzialności. Dla 58 proc. z nich kluczowa jest współpraca w zakresie ochrony infrastruktury IT, dla 51 proc. przy wykrywaniu zagrożeń, a dla 43 proc. bezpieczeństwo w chmurze.

Konieczne jest też, aby administratorzy IT w przedsiębiorstwach nie zapominali o podejmowaniu działań mających na celu ochronę pracowników zdalnych i pomocy im w zabezpieczeniu domowych urządzeń oraz sieci. Zacząć powinni od edukacji, aby użytkownicy firmowych zasobów pracujący w domu (a także ich rodziny) byli świadomi zagrożeń. W tym przypadku pomocni mogą być integratorzy i firmy szkoleniowe, które mają doświadczenie w akcjach edukacyjnych. Następnie należy zapewnić szyfrowaną łączność z firmą z wykorzystaniem sieci VPN. Warto też rozważyć dostarczenie pracownikowi licencji stosowanego w firmie oprogramowania do zwalczania złośliwego kodu, aby mógł je zainstalować na prywatnym sprzęcie. Być może osoby te będą także zainteresowane konsultacjami na temat tego, w jaki sposób upewnić się, że ich domowe routery i punkty dostępowe Wi-Fi są odpowiednio zabezpieczone.

Oczywiście konieczne jest także zapewnienie ochrony firmowej infrastruktury. Szczególnie zalecane jest skorzystanie z wieloskładnikowego uwierzytelniania i systemów jednokrotnego logowania (Single-Sign On), jak też nieustanna weryfikacja, czy z siecią łączą się wyłącznie uprawnione do tego urządzenia. Natomiast ochronę przed phishingiem oraz ransomware’em umożliwiają dodatkowe narzędzia zabezpieczające bramy poczty elektronicznej.

 

Kontynuujemy walkę

Pandemia koronawirusa to oczywiście tylko jednorazowe (miejmy nadzieję) wydarzenie, ale cyberprzestępcy nie przestaną działać po jego zakończeniu. Wpłynie ono oczywiście na to, jak swoje akcje planują hakerzy oraz w jaki sposób bronią się potencjalne ofiary. Ale pozwoli też rozprawić się z niektórymi mitami. Temu tematowi został poświęcony raport „Big Security in a Small Business World” z maja br., w którym eksperci Cisco podjęli próbę odpowiedzi na pytanie: jak cyberbezpieczeństwo wpływa na działalność małych i średnich firm z całego świata.

Z dokumentu wynika, że mitem jest to, iż MŚP borykają się z innymi zagrożeniami niż większe podmioty. W tym celu porównano rodzaje cyberataków, których doświadczały wszystkie przedsiębiorstwa i sprawdzono, jakie czasy przerwy w pracy one spowodowały. Okazuje się, że w ubiegłym roku blisko 25 proc. małych i średnich firm musiało stawić czoła przestojom trwającym ponad osiem godzin z powodu najpoważniejszego zanotowanego naruszenia bezpieczeństwa, zaś w przypadku większych firm było to 31 proc. Co ciekawe, aż 75 proc. MŚP doświadczyło przestojów krótszych niż 8 godzin (68 proc. w przypadku większych firm). Obie grupy respondentów zgodnie przyznały, że najwięcej szkody, czyli przestojów dłuższych niż 24 godziny, powodują ataki z wykorzystaniem ransomware’u.

W przypadku mniejszych firm dość nisko uplasowały się ataki typu DDoS (miejsce 9. na liście 10 najbardziej destrukcyjnych typów ataków), ale zajmują one wysokie 3. miejsce w przypadku przedsiębiorstw zatrudniających ponad 10 tys. pracowników. Natomiast małe firmy padają ofiarą phishingu częściej niż duże. Jednym z głównych problemów, z którymi borykały się MŚP, było wykradanie danych dostępowych, co tylko w ciągu ostatniego roku skutkowało przestojami o długości średnio od 17 do 24 godzin.

Główny nacisk w strategii obronnej powinien być położony na walkę z phishingiem. Ale nawet jeżeli w przedsiębiorstwie wdrożone zostanie rozwiązanie chroniące pocztę elektroniczną przed złośliwymi wiadomościami, część phishingowych e-maili wciąż może się przez nie przedostać. Według specjalistów Fortinetu jedna na 3 tys. wiadomości zawiera złośliwe oprogramowanie (w tym ransomware), zaś jedna na 4 tys. ma załącznik z takim kodem, który nie był wcześniej znany. Z tego powodu firmy muszą mierzyć się z zaawansowanymi i niespotykanymi dotąd zagrożeniami, zaś pracownicy – jeszcze uważniej niż kiedykolwiek – powinni sprawdzać otrzymywane e-maile i być wyczuleni na wszelkie podejrzane elementy, które zawierają.

Eksperci Fortinetu zbadali również, że jedna na 6 tys. wiadomości zawiera podejrzany adres URL. Nie każdy taki link prowadzi bezpośrednio do złośliwej zawartości, wiele z nich może być pomostem do przyszłej kampanii ransomware lub próbą działania phishingowego, które ma na celu zdobycie cennych i poufnych danych. Oczywiście liczba otrzymywanych e-maili zależy w dużym stopniu od branży i wykonywanej pracy, ale szacuje się, że przeciętny pracownik otrzymuje ich dziennie 121. Według statystyk oznacza to, że do firmy zatrudniającej sto osób przychodzi dziennie średnio dziewięć zainfekowanych wiadomości, w tym: cztery ze złośliwym oprogramowaniem, trzy z nieznanym wcześniej złośliwym kodem i dwie zawierające podejrzane łącza URL. Problem jest o tyle znaczący, że blokowanie wszystkich podejrzanych lub nieznanych adresów może negatywnie wpłynąć na działanie firmy. Ważne jest zatem, aby przedsiębiorstwa korzystały z rozwiązań ochronnych nowej generacji w celu wyeliminowania tych zagrożeń.

 

 

 

Ransomware wciąż najbardziej uciążliwy

Przeprowadzone na zlecenie Sophosa badanie „The State of Ransomware 2020” wykazało, że ataki typu ransomware wciąż są bardzo groźne. Jego wyniki wykazują, że w ciągu ostatniego roku 51 proc. firm na świecie doświadczyło ataku ransomware. W 2017 r., w którym liczba tego typu zagrożeń gwałtownie rosła, takich firm było 54 proc. W Polsce odsetek ten jest poniżej średniej i wynosi 28 proc. Z badania wynika, że zdecydowana większość ataków ransomware jest skuteczna – aż trzy na cztery próby, które naruszą system ochronny przedsiębiorstwa, kończą się zaszyfrowaniem danych.

Średni koszt usunięcia skutków ataku ransomware, obejmujący przestoje w działalności, utracone zamówienia i koszty operacyjne, wynosi w skali globalnej ponad 730 tys. dol., zaś w Polsce ok. 500 tys. zł (w firmach powyżej 100 pracowników). Warto przy tym podkreślić, że większość ankietowanych przedsiębiorstw ma wykupione ubezpieczenie od skutków cyberzagrożeń – w Polsce aż 71 proc. z nich. Jednak jedynie w 44 proc. przypadków obejmuje ono koszty ponoszone w związku ze szkodami spowodowanymi przez ransomware (na świecie to odpowiednio 84 proc. i 64 proc.).
Jak zwraca uwagę Kamil Sadkowski, Senior Detection Engineer w firmie ESET, cyberprzestępcy zaczęli stosować nową technikę, która polega na żądaniu dwóch okupów: jednego za możliwość odszyfrowania plików, a drugiego za usunięcie danych przez nich skradzionych. Kwoty tego dodatkowego okupu sięgają od 100 tys. do nawet 2 mln dol., natomiast ofiara sama może wybrać, czy chce zapłacić wyłącznie za możliwość odszyfrowania plików, za gwarancję ich nieupubliczniania, czy za jedno i drugie.

Chociaż ujawnienie skradzionych danych może wyrządzić olbrzymie szkody wizerunkowe, przestrzegam przed płaceniem przestępcom okupu. Nigdy nie ma gwarancji, że wykradzione dane zostaną usunięte. Może się okazać, że zamiast uchronić się przed ich publikacją w sieci, udowodnimy jedynie przestępcom, że stosowane przez nich metody są skuteczne, zachęcając ich do kolejnych ataków – ostrzega Kamil Sadkowski.

Prognozowane trendy związane z cyberbezpieczeństwem w 2020 r.

  • Wzrośnie liczba ataków ransomware, w ramach których przestępcy nie tylko szyfrują dane, ale także grożą ich upublicznieniem w przypadku niezapłacenia okupu.
     
  • Wzrośnie liczba ataków wykorzystujących luki w protokole RDP.
     
  • Wykorzystywane będą techniki deep-fake do przeprowadzania oszustw i wyłudzeń na masową skalę (mogą też pojawić się próby użycia spreparowanych filmów i plików dźwiękowych do kierunkowych ataków socjotechnicznych na przedsiębiorstwa).
     
  • Debiut sieci 5G spowoduje zwiększenie liczby ataków przeprowadzanych na urządzenia brzegowe.
     
  • Wzrośnie liczba identyfikowanych i wykorzystywanych podatności w środowiskach kontenerowych.
     
  • Celem ataków staną się nowe usługi i rozwiązania bazujące na tzw. otwartej bankowości.
     
  • Aplikacje webowe w chmurze będą coraz częściej wykorzystywane jako wektor ataków phishingowych, a także do dystrybucji złośliwego oprogramowania.
     
  • Rosnąca popularność smishingu sprawi, że SMS-y o zmanipulowanej treści staną się (obok malspamu) bardzo częstym sposobem ataku na użytkowników indywidualnych.
     
  • Dalszy ciąg anonimizacji sieci (VPN-y w przeglądarkach, rozpowszechnienie DNS over HTTPS) przyczyni się do wzrostu ataków typu Man In The Middle.
     
  • Sztuczna inteligencja będzie wykorzystywana nie tylko w narzędziach cyberochronnych, ale też przez grupy przestępcze do prowadzenia ataków.

 

 

Nowy oręż: sztuczna inteligencja

Równolegle do tradycyjnych cyberzagrożeń znacznie rośnie liczba zaawansowanych ataków, które coraz częściej wykorzystują sztuczną inteligencję i uczenie maszynowe. Wiele współczesnych narzędzi wykorzystywanych przez cyberprzestępców zawiera już w sobie funkcje, które umożliwiają inteligentne „omijanie” oprogramowania antywirusowego lub innych rozwiązań do wykrywania zagrożeń.
Twórcy malware’u nowej generacji zastępują tradycyjną logikę kodu bardziej skomplikowanymi drzewami decyzyjnymi. Swoje narzędzia wyposażają w moduł analizy zachowania oprogramowania wykorzystywanego przez użytkowników. Na bazie jej wyników taki złośliwy kod podejmuje autonomiczne decyzje dotyczące kolejnych podejmowanych kroków. Wykorzystuje szereg informacji dotyczących: rodzaju urządzeń podłączonych do danego segmentu sieci, przepływu ruchu wewnątrz niej, używanych aplikacji czy też przeprowadzanych transakcji online. Im dłużej taki złośliwy program jest obecny w zainfekowanej sieci, tym skuteczniej będzie mógł działać niezależnie, wtapiając się w to środowisko i dobierając najbardziej skuteczne metody ataku.
Natomiast uczenie maszynowe zdecydowanie jest też sprzymierzeńcem w walce z cyberzagrożeniami. Pozwala uporządkować ogromną ilość danych i szybciej wykrywać nowe zagrożenia czy kolejne warianty złośliwego oprogramowania. Już teraz jest używane w wielu rozwiązaniach ochronnych. Pomaga chociażby w wychwytywaniu zjawisk w sieci, które odbiegają od normy i analizowaniu ich. Używane jest również w statycznej i dynamicznej analizie zagrożeń typu zero-day, automatycznej ochronie urządzeń końcowych, aplikacji webowych i wielu innych narzędziach.

Zdaniem specjalisty

Mateusz Piątek, Product Manager, Dagma

Chociaż w przypadku incydentu bezpieczeństwa istnieje możliwość pociągnięcia pracownika do odpowiedzialności, to jednak długofalowe konsekwencje  tego typu zdarzenia będzie ponosił pracodawca. Mowa tu o stratach wizerunkowych firmy, utracie pozycji rynkowej czy groźbie dotkliwych kar finansowych. Zatem w interesie zarządów firm jest, aby zminimalizować ryzyko, jeśli nie do zera – co w przypadku pracy zdalnej jest w zasadzie niewykonalne – to przynajmniej tak bardzo, jak to tylko możliwe.

Mariusz Rzepka, Senior Manager, Eastern Europe, Sophos

Wiele ofiar ataku ransomware czuje presję do zapłacenia okupu, bo chcą szybko odzyskać dane i ograniczyć przestój firmy. Jednak, według naszych badań, taka decyzja nie wpływa znacząco na powrót do normalnej działalności, zarówno pod względem kosztów, jak i czasu. Często konieczne jest uzyskanie kilku kluczy, aby odszyfrować zablokowane przez przestępców informacje, a sam proces jest skomplikowany i czasochłonny. Większość przedsiębiorstw nie ulega jednak żądaniom cyberprzestępców i na zapłacenie decyduje się mniej niż jedna trzecia. Szczególnie istotne jest korzystanie z wielowarstwowych rozwiązań ochronnych, które synchronizują między sobą informacje o potencjalnych zagrożeniach. Zapewniają one odparcie ataku zanim przestępca dostanie się do systemu IT i będzie miał szansę zaszyfrować dane.