Cyberataki stały się z chlebem powszednim współczesnej gospodarki. O tym, że nie jest to puste hasło, świadczy chociażby dziennik cyberataków i wycieków danych dostępny na portalu Cybersecurity Ventures. Możemy się z niego dowiedzieć, że 30 marca 2019 r. przestępcy weszli w posiadanie danych 800 tys. honorowych krwiodawców z Singapuru. Dzień wcześniej intruzi włamali się do sieci komputerowych Toyoty, zyskując dostęp do danych 3,1 mln klientów japońskiego koncernu. Natomiast 26 marca pojawiła się informacja o zainfekowaniu malware’em tysięcy komputerów Asusa. A to przecież tylko wybrane przypadki z kilku zaledwie dni jednego miesiąca, a cała lista poważnych incydentów odnotowanych w marcu jest dużo dłuższa. Warto też zaznaczyć, że nie był to okres, który odbiegał od pozostałych pod względem liczby przeprowadzonych ataków.

Zdecydowanie szerszy obraz rozprzestrzeniania się zagrożeń pokazuje raport „2019 State of Malware” opracowany przez Malwarebytes Labs. Jego autorzy pokazują najważniejsze ubiegłoroczne zjawiska zachodzące w segmencie bezpieczeństwa. W pierwszych miesiącach 2018 r. jednym z największych zagrożeń był cryptojacking, aczkolwiek w II kwartale tego typu ataki zaczęły wygasać. Ich miejsce zajęło złośliwe oprogramowanie przeznaczone do kradzieży informacji. Szczególnie niebezpiecznie były trojany Emotet i TrickBot. Wprawdzie nie są nowe, niemniej jednak cały czas ewoluują, stwarzając poważne zagrożenie. W ubiegłym roku Emotet był powszechnie wykorzystywany jako dropper, czyli trojan służący do przenoszenia na komputer innych złośliwych programów. Z kolei TrickBot zyskał nowy moduł wykradania haseł i blokowania ekranu.

Cyberprzestepcy skoncentrowali uwagę przede wszystkim na wrażliwych danych przechowywanych na firmowych serwerach, które potem sprzedawali na czarnym rynku. Liczba wykrytego w 2018 r. malware’u skierowanego przeciwko użytkownikom biznesowym wzrosła o 79 proc. Najwyższy progres miał miejsce w przypadku ataków backdoor (172 proc.), aplikacji szpiegowskich (142 proc.) i trojanów (132 proc.). Dla odmiany liczba złośliwych programów atakujących gospodarstwa domowe spadła w tym samym okresie o 3 proc. Ale należy odnotować, że liczba ataków backdoor infekujących sprzęt domowy wzrosła o 34 proc., spyware’u zaś o 27 proc.

Co ciekawe, w przeciwieństwie do plagi ransomware’u, która dwa lata temu siała zamęt w firmach, w ubiegłym roku nie było poważnych epidemii tego rodzaju. Nie udało się natomiast zatrzymać wycieków danych. Zjawisko dotknęło nawet tak wielkie koncerny, takie jak Facebook, Marriott, Exactis, MyHeritage i Quora. Ogółem liczba wykradzionych rekordów w 2018 r. wzrosła o 113 proc. w ujęciu rocznym.

Powrót starych demonów

Pierwsze miesiące bieżącego roku przyniosły kilka niespodziewanych ataków. Pewnego rodzaju zaskoczeniem jest powrót ransomware’u. Jego ofiarą padł na początku roku Norsk Hydro, jeden z największych na świecie producentów aluminium. Szacuje się, że przedsiębiorstwo straciło ok. 30 mln dol. Napastnicy biorą na cel nie tylko wielkie koncerny. Karol Labe, właściciel Miecz Net, niedawno obsługiwał klienta zaatakowanego przez ransomware. Okazało się, że cyberprzestępcy wykorzystali gotowy tester zawierający bazę około dziesięciu rodzajów ataków szyfrujących pliki.

Czy to oznacza, że przestępcy znowu będą pobierać haracze za odszyfrowanie dokumentów? Według Cybersecurity Ventures ransomware w 2021 r. spowoduje straty w wysokości ok. 20 mld dol. Dla porównania na koniec 2015 r. sięgnęły 325 mln dol. Szczególnie niepokoić powinny prognozy dotyczące inwazji ransomware’u na placówki medyczne. W przyszłym roku liczba infekcji ma się zwiększyć czterokrotnie w porównaniu z notowaną w 2017 r.

Szpitale i przychodnie zdrowia są bardziej skłonne niż przedsiębiorcy, żeby zapłacić cyberprzestępcy, ponieważ bezpieczeństwo jest najważniejsze. Uważam, że w takiej sytuacji okup powinien zostać wypłacony. Dzięki temu placówka nie straci zaufania pacjentów, a poza tym chroni ich zdrowie i życie – przyznaje Dariusz Woźniak, inżynier techniczny Bitdefender w Marken Systemy Antywirusowe.

Analitycy odnotowali również wzrost liczby ataków na urządzenia IoT. Z badań Fortinetu wynika, że w ostatnim czasie sześć z dwunastu największych odkrytych exploitów było powiązanych z IoT, a cztery dotyczyły kamer internetowych. Dostęp do tych urządzeń pozwoliłby przestępcom nie tylko na podglądanie prywatnych interakcji, ale też na włamanie się do systemów informatycznych w celu przeprowadzenia ataków ransomware lub DoS. Do kuriozalnej sytuacji doszło na początku roku, kiedy intruz przejął kontrolę nad zainstalowaną w mieszkaniu inteligentną kamerą, a następnie wyemitował komunikat ostrzegawczy o ataku rakietowym na miasto.

Atakujący systemy IT wykazują też duże zainteresowanie motoryzacją. Kamil Sadkowski, starszy analityk zagrożeń w Eset, zwraca uwagę na marcowe badanie tego producenta pokazujące luki w systemach alarmowych ponad 3 tys. aut. Odkryte podatności umożliwiały atakującym m.in. określenie lokalizacji pojazdu, wyłączenie alarmu, a nawet podsłuchiwanie rozmów prowadzonych w samochodzie za pośrednictwem wbudowanego zestawu głośnomówiącego.

 

MDM na fali wznoszącej

Cyberprzestępcy uderzają z wielu stron, zatruwają życie osobom odpowiedzialnym za ochronę cyfrowych zasobów. Działy IT zaczynają zastanawiać się na ile przedefiniować strategię bezpieczeństwa, a tym samym wdrożyć innowacyjne rozwiązania. Na razie dystrybutorzy, a także producenci systemów bezpieczeństwa IT nie dostrzegają zasadniczych zmian w strukturze zakupów dokonywanych przez klientów biznesowych. Jedyny wyjątek stanowi oprogramowanie służące do zabezpieczenia mobilnych terminali. W tej grupie rozwiązań brylują systemy MDM (Mobile Device Management), które dość nieoczekiwanie stają się nieodzownym elementem ochrony sieci i danych.

Popyt na rozwiązania do ochrony stacji roboczych i serwerów określiłbym jako stały. Natomiast duża dynamika sprzedaży występuje w segmencie urządzeń mobilnych, gdzie triumfy święcą systemy MDM. Mobilne terminale zaczynają pełnić rolę przenośnych biur zapewniających korzystanie z oprogramowania CRM, ERP i codziennej poczty. Ochrona tych właśnie aplikacji, a co za tym idzie poufnych danych, powinna być priorytetem każdej firmy –  przyznaje Piotr Kawa, Business Unit Manger w Bakotechu.

W Dagmie także zaczynają dostrzegać skutki smartfonowej rewolucji. Jeszcze do niedawna administratorzy dbali wyłącznie o ochronę stacji roboczych PC i kompletnie pomijali kwestie zabezpieczenia smartfonów.

– Teraz to przeszłość. Klienci wykorzystują rozwiązania MDM od dostawców rozwiązań antywirusowych lub, jeśli mają większe wymagania w zakresie kontroli pracowników, sięgają po specjalistyczne narzędzia do zarządzania sieciami mobilnymi – twierdzi Paweł Jurek, wicedyrektor ds. rozwoju w Dagmie.

Nieco inaczej przedstawia się sytuacja w grupie produktów do zabezpieczania stacji roboczych i serwerów. Z doświadczeń Miecz Net wynika, że największy udział w przychodach ze sprzedaży systemów bezpieczeństwa mają produkty do ochrony stacji roboczych, co ma być efektem skali. Jednocześnie integrator z Sosnowca notuje już bardzo wyraźny wzrost popytu na aplikacje dla użytkowników mobilnych.

Niemniej jednak pojawiają się symptomy pozwalające z nieco większym optymizmem patrzeć w przyszłość zabezpieczeń dla urządzeń stacjonarnych. Specjaliści Tech Daty zwracają uwagę na rosnące zainteresowanie produktami Next Generation Firewall wśród małych i średnich firm. Zapory sieciowe tej klasy oprócz tradycyjnych funkcji, takich jak kontrola ruchu, translacja adresów sieciowych i tunelowanie, wykonują dogłębną analizę pakietów w celu wykrycia i uniemożliwienia ataków na urządzenia znajdujące się w sieci.

Mimo krytyki z różnych stron, nieustającą popularnością cieszy się oprogramowanie antywirusowe. Słabość tych aplikacji obnażyły cryptolockery. Złośliwy kod bez większego trudu przeszedł przez zabezpieczenia antywirusów i wyrządził ogromne szkody w przedsiębiorstwach. Dlatego branża cyberbezpieczeństwa z nadzieją obserwuje zmiany techniczne zachodzące w antywirusach, a także sprzedaż systemów klasy EDR (Endpoint Detecion and Response), bazujących na behawiorystyce.

Warto podkreślić, że ciekawe perspektywy rysują się przed systemami chroniącymi serwery DNS, które badają i określają reputację adresów internetowych. Na tej podstawie tworzą listę niebezpiecznych witryn – mówi Adam Bandura, Business Development Manager w Tech Dacie.

Zdaniem integratora

Tomasz Król, Manager Laboratorium, Perceptus

W segmencie oprogramowania antywirusowego zauważamy trend przenoszenia funkcji analitycznych, służących do badania plików pod kątem zagrożenia, do środowiska chmurowego. To sprawia, że producent ma ogromną ilość danych w jednym miejscu i może dokonać rzetelnej analizy za pomocą mechanizmów uczenia maszynowego. Poza tym wielu producentów zaczęło stosować rozwiązania oparte na heurystyce, a nie wyłącznie na bazie sygnatur, co pozwala znacząco poprawić szybkość wykrywania ataków.

 

Sieć pod specjalnym nadzorem

Inżynier sieciowy w średniej wielkości firmie ma pod kontrolą setki urządzeń. Wszystko wskazuje, że z roku na rok ich liczba będzie rosnąć, a ochrona sieci stanie się dużo trudniejsza niż dotychczas. Nowe rozwiązania, pozwalające lepiej ją prowadzić, oferują nie tylko dostawcy systemów bezpieczeństwa, ale również producenci sprzętu sieciowego, wśród których na szczególną uwagę zasługują działania Cisco. Koncern z San Jose od niespełna dwóch lat promuje idee sieci intuicyjnej, która ma się nieustannie uczyć i dostosowywać do otoczenia, a jednocześnie chronić przed ciągle zmieniającym się krajobrazem
zagrożeń.

Chronimy klientów w tzw. rozszerzonej sieci, m.in. w centrach danych, środowiskach wirtualnych, chmurze, urządzeniach mobilnych i punktach końcowych, a także przed, w trakcie i po ataku. Uważamy, że takie kompleksowe podejście do bezpieczeństwa jest obecnie najskuteczniejsze – zapewnia Łukasz Bromirski, dyrektor ds. technologii w Cisco.

W zbliżonym kierunku zmierzają działania Juniper Networks. Firma opracowała koncepcję Software Defined Secure Network, uwzględniającą zastosowanie wielu rozwiązań, które zapewniają zautomatyzowane zabezpieczanie infrastruktury IT i wymuszanie ochrony wszystkich elementów architektury sieciowej. Newralgicznym elementem rozwiązania jest oprogramowanie umożliwiające scentralizowane zarządzanie regułami firmowej polityki bezpieczeństwa. Jednak wielu rodzimych administratorów sieci podchodzi do kwestii bezpieczeństwa inaczej niż Cisco oraz Juniper Networks, mianowicie punktowo, i koncentruje się na ochronie pojedynczych urządzeń pracujących w sieci.

Oprogramowanie antywirusowe, chroniące jedynie urządzenia końcowe, to za mało. Producenci dwoją się i troją, żeby modernizować swoje produkty, ale nie nadążają za nowymi zagrożeniami. Mało skuteczne oprogramowanie, zużywające do 50 proc. czasu jednego rdzenia, fałszywe ostrzeżenia, poczta przetrzymywana w kwarantannie godzinami, to przecież historie, które przypominają nam lata 90. Tymczasem mamy już rok 2019… – przypomina Łukasz Bromirski.

Producenci urządzeń sieciowych, oprócz tego, że opracowują własne koncepcje, starają się wchodzić w alianse z dostawcami aplikacji zabezpieczających. Przykładowo Zyxel współpracuje z LastLine, Bitdefenderem, Cyrenem i Trend Micro. Z kolei TP-Link oferuje użytkownikom routery z wbudowanym systemem antywirusowym Home Care, stworzonym razem z Trend Micro. Zadaniem systemu jest skanowanie zasobów oraz wyłapywanie zagrożeń. Producenci uważają, że kooperacja stanowi ułatwienie dla klientów końcowych, którzy otrzymują sprawdzone rozwiązanie i nie muszą poszukiwać na własną rękę dodatkowych produktów. Nieco inaczej patrzą na to dystrybutorzy.

Rozwiązania specjalistyczne zapewniają lepsze funkcje ochrony i zarządzania. Łatwo się też integrują z istniejącą infrastrukturą. Wybór architektury zależy od wielu czynników. Funkcje zabezpieczające w urządzeniach sieciowych mogą być przydatne, ale nie powinny stanowić wymówki, jeżeli nie zapewniają należytego poziomu ochrony – podsumowuje Piotr Borkowski, Senior System Engineer w Veracompie.

Joanna Wziątek-Ładosz, Sales Engineer, Sophos

Wzrost sprzedaży rozwiązań ochronnych w Polsce w 2018 r. był niższy od prognoz. Trudno jednoznacznie wskazać główną przyczynę. Na pewno znaczenie miał fakt, że w ubiegłym roku nie odnotowaliśmy spektakularnych globalnych incydentów, takich jak eksplozja ransomware’u WannaCry z 2017 r. Tego typu wydarzenia zwykle zwiększają popyt na rozwiązania i systemy zabezpieczające. Wiele mówią też ubiegłoroczne trendy. O ile w zakresie klasycznych produktów, takich jak UTM i oprogramowanie antywirusowe, widoczna jest stagnacja, a nawet regres, o tyle wzrost sprzedaży nowoczesnych rozwiązań, wykorzystujących sztuczną inteligencję oraz technologie głębokiego uczenia był dwucyfrowy. Tendencja ta umocniła się w pierwszych miesiącach bieżącego roku.

 

Ochrona nowej generacji

Przestępcy wytaczają coraz cięższe działa w walce z dostawcami systemów bezpieczeństwa. Obecnie mamy do czynienia z piątą generacją ataków cybernetycznych, charakteryzujących się dużą skalą i płynnym przemieszczaniem z jednych sektorów gospodarki do innych. Jednak specjaliści zaczynają już wspominać o szóstej generacji zabezpieczeń.

Mechanizmy ochronne będą umieszczone niemal w każdym typie urządzenia lub platformy chmurowej, połączone w czasie rzeczywistym z całościowym, inteligentnym systemem sterowania zabezpieczeniami. To pozwoli nam zabezpieczyć zarówno pojedyncze urządzenia IoT, jak i sieci hiperskalowalne – tłumaczy Wojciech Głażewski, Country Manager Check Point Software Technologies.

Firmy produkujące rozwiązania antywirusowe oraz antymalware starają się iść z duchem czasu i wzbogacają aplikacje o nowe funkcje. Część z nich wprowadziła mechanizmy służące do wykrywania i blokowania wszystkich procesów przypominających ataki ransomware. Wszyscy liczący się producenci aplikacji ochronnych korzystają z chmur obliczeniowych, gdzie odbywa się analiza behawioralna. Na urządzeniach końcowych najczęściej działa tzw. agent bazujący na pakietach zagrożeń oraz heurystyce. Baza danych jednego z najważniejszych graczy na rynku cyberbezpieczeństwa zawiera ponad 250 mln adresów analizowanych pod kątem wykrywania botów, 11 mln sygnatur złośliwego oprogramowania i 5,5 mln zainfekowanych stron internetowych.

Inną nowością stosowaną w aplikacjach ochronnych są skanery UEFI (Unified Extensible Firmware Interface), chroniące przed malware’em aktywującym się jeszcze przed uruchomieniem systemu. Ten ruch stanowi reakcję na pojawienie się LoJax – wykrytego we wrześniu ubiegłego roku złośliwego oprogramowania zagnieżdżającego się w firmware. Poza tym antywirusy zaczęły wykorzystywać mechanizmy sandbox umożliwiające analizowanie plików w środowisku testowym.

Strachy na lachy?

O konieczności zabezpieczania sieci oraz urządzeń w nich pracujących mówi się na każdym kroku. Jednak rodzimi przedsiębiorcy wychodzą z założenia, że cyberprzestępcy ominą ich firmy. Takie myślenie jest charakterystyczne dla wielu MŚP. Tymczasem z obserwacji Fortinetu wynika, że właśnie ta grupa staje się ulubionym celem cyberprzestępców. Dlaczego?

Cyberprzestępcy koncentrują się na skutecznych, przystępnych cenowo i gwarantujących wysoką „stopę zwrotu” atakach. MŚP przechowują bowiem takie same dane osobowe i finansowe jak wielkie firmy, a zazwyczaj mają słabsze zabezpieczenia –  wyjaśnia Jolanta Malak, dyrektor polskiego oddziału Fortinetu.

Europejskie firmy oraz instytucje dostrzegają problem i wydają coraz więcej na cyberbezpieczeństwo. Według Contextu w ubiegłym roku Brytyjczycy zwiększyli wydatki na ten cel o 20 proc., Czesi zaś o 14 proc. W Polsce odnotowano zaledwie jednoprocentowy wzrost.

W przedsiębiorstwach nie zdają sobie sprawy z czyhających na każdym kroku zagrożeń cybernetycznych. Poza tym obawiają się dodatkowych kosztów związanych z wymianą rozwiązań. Wielu menedżerów uważa, że nie ma sensu zmieniać czegoś, co teoretycznie działa – tłumaczy Dariusz Woźniak.

Trudno przewidzieć, czy bieżący rok i kolejne informacje o cyberatakach ożywią lokalny rynek, tym bardziej że zbliżają się wybory parlamentarne. Niepokojące mogą być też prognozy o mającym nadejść spowolnieniu gospodarczym. Jednak nie wszyscy widzą przyszłość w ciemnych barwach. Karol Labe zauważa wśród swoich klientów duży wzrost zainteresowania systemami MDM oraz DLP (Data Loss Prevention). Wejście na obszary mniej spenetrowane przez konkurentów umożliwia zwiększenie sprzedaży i wzmocnienie pozycji na rynku.