Zwroty akcji w cyberprzestępczym światku zaskakują nawet najlepszych specjalistów z branży IT. Nie inaczej było w ubiegłym roku. Obok poważnych epidemii pojawiły się nowe rodzaje infekcji, a jednocześnie rozkwitał przestępczy proceder powiązany z kryptowalutami (cryptojacking). Wprawdzie w ostatnim czasie najczęściej dyskutowano o atakach ransomware, niemniej jednak cyberprzestępcy działali na wiele sposobów. 

Według badań Malwarebytes Labs w ubiegłym roku liczba wykrytych porywaczy przeglądarek (hijacker) wzrosła o 40 proc., a programów szpiegujących o 30 proc. W drugiej połowie 2017 r. analitycy zaobserwowali niepokojące zjawisko wysypu trojanów bankowych. Liczba wirusów z tej grupy w porównaniu z notowaną w analogicznym okresie 2016 r. wzrosła o 102 proc. 

Warto zaznaczyć, że na liście największych szkodników zagrażających użytkownikom biznesowym znalazły się adware i tzw. riskware tools, czyli programy z natury nieszkodliwe, których nieumiejętne stosowanie może być bardzo niebezpieczne. 

Co czeka nas w tym roku? Przewidywanie nawet niezbyt odległej przyszłości w segmencie zabezpieczeń infrastruktury IT jest wyjątkowo niewdzięcznym zadaniem. Czy ktokolwiek spodziewał się wybuchu afery związanej z lukami w procesorach Intela i AMD? Część specjalistów uważa, że ta historia będzie miała dalszy ciąg. Jednak jej wydźwięk może mieć pozytywny wpływ na właścicieli firm oraz szefów działów IT. Niewykluczone, że strach przed skutkami poważnych ataków zmobilizuje ich do częstszej aktualizacji systemów.

W ubiegłym roku rzadko wspominano o incydentach związanych z Internetem rzeczy. Eksperci podejrzewają, że to cisza przed burzą, a kolejni następcy Mirai mogą pojawić się w każdej chwili. Nie jest żadną tajemnicą, że bieżący rok w branży zabezpieczeń IT stać będzie pod znakiem RODO. Rozporządzenie stanie się jednym z motorów napędowych rynku systemów ochronnych. Na nową dyrektywę należy spojrzeć też z perspektywy przestępców. Hakerzy zauważają, że wielu przedsiębiorców ma mgliste pojęcie o RODO, nie można zatem wykluczyć, że wykorzystają ich niewiedzę – będą szukać uchybień związanych z niewłaściwym zarządzaniem danymi, aby je wykraść i szantażować właścicieli firm.

Mobilny front

Według obliczeń Ponemon Institute wyciek pojedynczego rekordu z firmowych danych wiąże się ze stratą 141 dol. To kwota, wobec której trudno przejść obojętnie. Tymczasem hakerzy uderzają z coraz to nowych stron. Obecnie jednym z największych wyzwań staje się ochrona smartfonów. Choć jeszcze trzy lata temu amerykańska firma Damballa, monitorująca połowę ruchu mobilnego w Stanach Zjednoczonych, wykazała, że jedynie 10 tys. telefonów z ogólnej liczby 151 mln tych urządzeń wykazało oznaki infekcji malware’em. Mając takie dane, specjaliści szybko porównali ewentualność zarażenia smartfonu złośliwym oprogramowaniem z prawdopodobieństwem uderzenia pioruna. Okazało się, że druga opcja jest… bardziej prawdopodobna. 

Jednak ubiegłoroczne analizy Gartnera pokazują, że żarty się skończyły, a użytkownicy smartfonów muszą stawić czoła zmasowanej ofensywie hakerów. Analitycy przewidują, że w ciągu najbliższych dwóch lat ilość malware’u atakującego te urządzenia wzrośnie o 440 proc. O ile w 2017 r. złośliwe aplikacje opracowane z myślą o smartfonach stanowiły zaledwie 7,5 proc. wszystkich wirusów, o tyle w 2019 r. będzie ich ponad 30 proc. Według dostawców systemów bezpieczeństwa rynek rozwiązań do ochrony sprzętu mobilnego jest najbardziej perspektywicznym obszarem, o dużym potencjale wzrostu.

– Rodzimi administratorzy mają większą kontrolę nad danymi przechowywanymi na firmowych komputerach niż na smartfonach. W Polsce BYOD polega przede wszystkim na wykorzystywaniu prywatnych terminali do obsługi poczty firmowej. Z kolei Twitter, Facebook i programy pocztowe stały się aplikacjami zawodowymi. Skala kontaktów powoduje, że ich użytkownicy mogą przenosić złośliwy malware lub bezwiednie dostarczać hakerom informacje o topologii systemu IT – mówi Mariusz Kochański, wiceprezes Veracompu.

 

Zdaniem integratora

Przemysław Sobczyk, IT Manager, Perceptus
Popyt na oprogramowanie antywirusowe nieustannie się zwiększa. Jednym z najważniejszych czynników jest wzrost liczby urządzeń. Niemal każdy posiadacz chroni swój komputer, do tego dochodzą jeszcze smartfony i tablety. Sprzedaż napędza także RODO, które znacznie zwiększa wymagania w zakresie bezpieczeństwa, podobnie jak ataki typu ransomware. Mimo że skuteczność programów antywirusowych jest bardzo duża, musimy pamiętać o tym, że nie zapewniają stuprocentowego bezpieczeństwa, ponieważ stanowią tylko jeden z elementów cyfrowej ochrony. 

 

Z upływem czasu firmy i instytucje zaczną dostrzegać narastające zagrożenia. Na listy klientów zaopatrujących się w systemy chroniące flotę mobilnych terminali trafią nie tylko przedsiębiorstwa przemysłowe i banki, ale również organizacje rządowe, placówki opieki zdrowotnej i służby mundurowe. Według prognoz MarketsandMarkets globalny rynek oprogramowania antymalware przeznaczonego dla mobilnych terminali na koniec 2020 r. osiągnie wartość 5,7 mld dol., czyli ponad dwa razy większą niż w 2015 r. Rodzimi resellerzy dostrzegają wzrost zainteresowania aplikacjami ochronnymi do smartfonów.

– W grupie rozwiązań do ochrony danych najszybciej rośnie sprzedaż produktów przeznaczonych dla użytkowników telefonów komórkowych oraz tabletów. Właściciele terminali z Androidem bardzo często decydują się na zakup antywirusów, ze względu na liczbę zagrożeń. Inni klienci chętnie wdrażają systemy MDM umożliwiające centralnie zarządzanie mobilnym sprzętem – wyjaśnia Karol Labe, właściciel Miecz Net.

(Nie)nasycony rynek

Rynek klasycznych rozwiązań zabezpieczających przed złośliwym oprogramowaniem wydaje się być nasycony. Teoretycznie każdy użytkownik biznesowy powinien mieć pakiet ochronny na komputerze. Jednak rzeczywistość nie wygląda aż tak różowo, czego dowodzą chociażby wyniki badania niedawno przeprowadzonego przez UKE wśród małych polskich przedsiębiorstw. Prawie 9 proc. respondentów nie zatrudnia osoby odpowiedzialnej za bezpieczeństwo, a 60 proc. pracowników nie ma pojęcia, jak sprawdzić, czy połączenie z Internetem jest bezpieczne. Natomiast 70 proc. firm przyznało, że korzysta z antywirusów oraz aplikacji antyspyware. Przytoczone dane pokazują, że w tym segmencie rynku wciąż tkwią rezerwy. Poza tym oprócz przedsiębiorców niefrasobliwie podchodzących do ochrony cyfrowych zasobów, istnieją też tacy, którzy poszukują nowych, bardziej skutecznych aplikacji zabezpieczających.

– Tradycyjne podejście do ochrony danych na stacjach roboczych nie zawsze się sprawdza. Dlatego pojawia się miejsce dla rozwiązań nowej generacji, które coraz lepiej chronią przed takimi zagrożeniami jak ransomware – twierdzi Marek Krauze, Sales Engineer w Trend Micro.

Pewne zmiany widać też w segmencie aplikacji przeznaczonych do ochrony serwerów. Rozrastająca się w serwerowniach liczba wirtualnych maszyn wymaga zastosowania specjalnych środków. Tym należy tłumaczyć rosnący popyt na pakiety antywirusowe oferujące bezagentową obsługę tych systemów. Innym problemem spędzającym administratorom sen z oczu są ataki dnia zerowego. Dlatego m.in. firmy wykazują zainteresowanie tzw. wirtualną poprawką (virtualpatch). To mechanizm umieszczany w warstwie zabezpieczeń, wykrywający i blokujący złośliwy kod.

– Przedsiębiorcy dostrzegają, że bardzo istotną kwestią jest zabezpieczanie wszelkiego rodzaju serwerów, bowiem na nich znajdują się najcenniejsze dane. Popyt na narzędzia do ich ochrony będzie się zwiększał bardzo dynamicznie – przewiduje Marek Krauze.

Jednak niewykluczone, że dalekosiężne plany producentów aplikacji zabezpieczających zburzy rewolucyjna koncepcja Cisco. Koncern z San Jose od pewnego czasu lansuje sieć intuicyjną, która zdaniem producenta przewiduje działanie złośliwego kodu, zatrzymuje zagrożenia i sama się uczy.

– Chronimy klientów w tzw. rozszerzonej sieci – w centrach danych, środowiskach wirtualnych, chmurze, urządzeniach mobilnych i punktach końcowych. Uważamy, że takie kompleksowe podejście do bezpieczeństwa jest obecnie najskuteczniejsze i zaczynają to dostrzegać również klienci –  przekonuje Łukasz Bromirski, dyrektor ds. technologii w polskim oddziale Cisco. Czy zatem już wkrótce zniknie podział na aplikacje chroniące smartfony, desktopy i serwery? Rodzimi resellerzy nie wierzą w taki rozwój wypadków.

– Coraz częściej słyszymy o rozwiązaniach antywirusowych typu „next generation”, ale klienci najbardziej ufają klasycznym systemom –  twierdzi Karol Labe.

 

Wojciech Kotkiewicz, menedżer technicznego wsparcia sprzedaży, ABC Data 
Porównanie liczby stacji roboczych i serwerów w typowej firmie zdecydowanie wypada na korzyść tych pierwszych. Zatem popyt na aplikacje typu antymalware, przeznaczone do ochrony komputerów PC, jest zdecydowanie większy. Nie możemy jednak zapominać o farmach serwerów, gdzie wirtualizacja mocno się zakorzeniła, a każdy fizyczny serwer może udostępniać zasoby setkom maszyn wirtualnych. Ochrona urządzeń mobilnych to temat związany z trendem BYOD. W zasadzie każdy ma urządzenie mobilne i niezależnie, czy jest ono prywatne czy służbowe, powinno być należycie chronione. Niestety, wydaje mi się, że ochrona sprzętu przenośnego jest lekceważona, zabezpieczane są przede wszystkim stacje robocze i serwery.

 

Konsolidacja rynku

Według badań przeprowadzonych przez Cisco niektóre firmy korzystają z systemów bezpieczeństwa pochodzących od 50 dostawców. Taki stan rzeczy nie ułatwia pracy administratorom sieci, a w pewnych sytuacjach wręcz naraża przedsiębiorstwo na cyberataki.

– Nazywamy ten paradoks luką w efektywności ochrony. Każdy nowy punkt, który dodaje firma, tylko w niewielkim stopniu poprawia skuteczność systemu, a jednocześnie zwiększa jego złożoność. Przedsiębiorstwa wcale nie stają się bardziej bezpieczne dzięki wdrożeniu dziesiątek rozwiązań od różnych dostawców, gdyż narzędzia zabezpieczające działają niezależnie i nie zapewniają efektu skali – mówi Łukasz Bromirski. 

Jednak nie wszystkim podoba się tego typu koncepcja. Zwolennicy wolnego rynku uważają, że klienci powinni mieć do wyboru różne opcje: zakup zintegrowanego rozwiązania bądź kompletowanie systemu ochrony składającego się z wielu elementów, niekoniecznie pochodzących od jednego dostawcy. Dyktat kilku silnych koncernów mógłby być niekorzystny zarówno dla klientów, jak i dla resellerów. Natomiast wyraźnie widać, że producenci coraz częściej starają się dostarczać nabywcom rozwiązania gwarantujące pełną funkcjonalność w zakresie ochrony.

– W wersji utopijnej najlepszym rozwiązaniem byłoby posiadanie wszystkich rozwiązań od jednego dostawcy. Uwzględniając procesy integracji i zarządzania, to model prawie idealny, oczywiście pomijając kwestie monopolu i wynikających z tego wad. My preferujemy koncepcję ochrony wielowarstwowej, w której ważna jest ochrona nie tylko punktów końcowych i urządzeń mobilnych, ale także serwerów poczty, plików i proxy – tłumaczy Robert Dziemianko, Marketing Manager w polskim oddziale G Data Software.

Konsolidacja na rynku bezpieczeństwa jest nieunikniona, ale chyba tylko nieliczni wierzą, że w grze pozostanie zaledwie kilku najważniejszych dostawców. Bardziej realnym scenariuszem jest zacieśnianie współpracy między producentami. Dyskusje na ten temat toczą się od dawna. W kwietniu firmy uczyniły ważny krok w kierunku zjednoczenia sił. Grupa 34 koncernów z branży IT podpisała porozumienie Cybersecurity Tech Accord, które ma na celu koordynację działań w zakresie wykrywania podatności na ataki oraz opracowywania rozwiązań ochronnych. Na razie trudno wyrokować, czy projekt przyniesie sukces. Wygląda natomiast na to, że producenci z branży zabezpieczeń zdają sobie sprawę, że w pojedynkę nie wygrają wojny z cyberprzestępcami. Jednak sam fakt, że koncerny łączą siły, nie gwarantuje sukcesu.

– Nawet nowoczesne procesory ARM i Intel, choć wyposażone w zaawansowane mechanizmy ochrony pamięci, rejestrów, okazują się podatne na ataki Meltdown i Spectre, i to mimo kupienia przez Intela firmy McAfee. A ta transakcja miała przecież zapewnić transfer know how w zakresie bezpieczeństwa – mówi Mariusz Kochański. 

Łowienie naiwniaków

Walka producentów rozwiązań ochronnych z hakerami przypomina wyścig zbrojeń. Czasami jedni i drudzy wyciągają z arsenału nową ciężką broń, ale nie rezygnują też ze starych, sprawdzonych metod. Ulubioną bronią cyberprzestępców są sztuczki socjotechniczne, mające na celu wydobycie od pracowników poufnych informacji. W jaki sposób z nimi walczyć? Dostawcy aplikacji zabezpieczających nie są w tym przypadku jednomyślni. Cisco stawia na analitykę behawioralną, umożliwiającą opracowanie polityki bezpieczeństwa uwzględniającej niepożądane działania użytkowników.

– Aż 92 proc. uczestników naszego ostatniego badania docenia wartość tego typu rozwiązań –  przyznaje Łukasz Bromirski. 

Zwolennikiem tego typu rozwiązań jest też Trend Micro. Producent podkreśla, że najnowsze zdobycze technologiczne, takie jak uczenie maszynowe i sztuczna inteligencja, znacznie ułatwiają wykrywanie cyberataków bazujących na socjotechnice. Ale nie wszyscy ufają cudownej mocy sztucznej inteligencji. Kluczem do zatrzymania phishingu i innych podobnych ataków jest ciągła edukacja personelu, gdyż nawet najbardziej dopracowany software nie uchroni naiwnych użytkowników przed kliknięciem w fałszywy link.

Paweł Jurek, wicedyrektor ds. rozwoju, Dagma Bezpieczeństwo IT 
W segmencie aplikacji ochronnych największą zmianę zauważamy w grupie rozwiązań przeznaczonych do urządzeń mobilnych. Stacje robocze i serwery są od lat solidnie zabezpieczone rozwiązaniami antywirusowymi. Do niedawna urządzenia mobilne traktowano w firmach po macoszemu. To zmieniło się już w ubiegłym roku i widzimy coraz większe zainteresowanie należytym zabezpieczeniem tego typu sprzętu. Symptomem tej zmiany jest znacznie większe zainteresowanie aplikacjami typu MDM.

 

– Należycie przeszkolony pracownik to 90 proc. sukcesu. Jeżeli normą są obowiązkowe szkolenia BHP czy przeciwpożarowe, podobne wytyczne trzeba zastosować w kwestii cyberbezpieczeństwa. Ważne jest też zachowanie równowagi między bezpieczeństwem a wygodną pracą. Dlatego lepiej uczyć personel, niż wprowadzać restrykcje – tłumaczy Magdalena Baraniewska, Country Channel Manager w F-Secure.

Znalezienie złotego środka jest niezwykle trudne, o czym świadczą m.in. wyniki badań przeprowadzonych przez firmę Positive Technologies wśród amerykańskich i brytyjskich przedsiębiorstw. Na ataki typu phishing dało się nabrać 9 proc. pracowników działów informatycznych oraz 3 proc. specjalistów ds. bezpieczeństwa.

Jak się odnaleźć?

Rynek aplikacji ochronnych cechuje pewien dualizm. Z jednej strony rozwój zagrożeń, a także niedobór fachowców pozwala sądzić, że to prawdziwe eldorado dla resellerów oraz integratorów. Z drugiej strony pojawiają się problemy związane ze zbyt skromnymi budżetami IT oraz niskim poziomem wiedzy na temat cyberzagrożeń. Według Cisco połowa polskich przedsiębiorców wskazuje ograniczenia budżetowe jako największą przeszkodę we wdrażaniu rozwiązań ochronnych. Większość firm nie potrafi oszacować skuteczności i kosztów działań w zakresie bezpieczeństwa informacji. Co gorsza, tego typu inwestycje traktuje się z reguły jak dodatkowy koszt, a nie jak sposób na minimalizację ryzyka utraty danych lub paraliżu infrastruktury. 

Wiele rozbieżności budzą też kwestie podziału środków. Z badań przeprowadzonych przez Centrify oraz Dow Jones Customer Intelligence wynika, że 62 proc. dyrektorów generalnych uważa złośliwe oprogramowanie za największe zagrożenie, a ich opinię podziela zaledwie 35 proc. pracowników działów IT.

– Współpraca w niezwykle ważnym dla klienta zakresie cyberochrony może pomóc nawiązać bliższe relacje i otworzyć nowe perspektywy biznesowe w postaci zamówienia kolejnych usług i produktów IT – podsumowuje Magdalena Baraniewska.

Jak widać, poruszanie się w świecie cyberbezpieczeństwa przypomina stąpanie po cienkim lodzie. Integratorzy poważnie myślący o tym segmencie rynku muszą stawiać na podnoszenie kwalifikacji i zatrudnianie fachowców, bowiem prędzej czy później otrzymają swoją szansę.

Wolfgang May, Channel Manager na region Europy Środkowej i Wschodniej, Barracuda Networks 
Rozwiązania ochronne szybko ewoluują, aby sprostać wyzwaniom związanym z nowymi zagrożeniami i wektorami ataku. Obecnie największymi problemami dla firm są złożoność i nieustanna ewolucja sposobów ataku. Z jednej strony obserwujemy szybki rozwój przedsiębiorstw, z drugiej wzrost liczby naruszeń bezpieczeństwa i zwiększenie zapotrzebowania na rozwiązania ochronne, również te wykorzystujące chmurę obliczeniową. Rosnąca popularność zaawansowanych ataków dnia zerowego i ransomware, które mają na celu ominięcie tradycyjnych mechanizmów obronnych wykorzystujących sygnatury, wymagają zaawansowanych, wielowarstwowych rozwiązań zabezpieczających.