W toczącym się konflikcie agresja zwykle nie jest jawna, a zdecydowana większość ataków pozostaje niewykryta. Wyniki ankiety „The Global State of Information Security Survey 2015”, przeprowadzonej przez PwC wśród 10 tys. respondentów ze 160 krajów, pokazują, że o ile w 2009 r. na świecie wykryto 3,4 mln naruszeń bezpieczeństwa w firmach, o tyle w 2014 r. było ich już 42,8 mln. Trzeba przy tym zdawać sobie sprawę, że przypadków nieujawnionych jest znacznie więcej i dotyczą zarówno dużych przedsiębiorstw, jak i małych firm.

Spektakularne ataki, których ofiarą w ostatnim czasie padły największe światowe korporacje, polskie banki oraz instytucje publiczne, mogą świadczyć o tym, że nikt nie powinien czuć się w pełni bezpieczny. Mimo to jest jeszcze sporo firm, które uważają, że nic szczególnego im nie zagraża. Wielu specjalistów ds. bezpieczeństwa w polskich przedsiębiorstwach i administracji państwowej potwierdza, że miały miejsce próby włamania się do ich sieci, jednak niewiele mniej jest przekonanych, że na nich żadnych ataków nie dokonano.

Czy to znaczy, że są tak świetnie zabezpieczeni? Prawdopodobnie w zdecydowanej większości – nie. Dowodzą tego badania firmy RSA, z których jasno wynika, że przedsiębiorstwa w dalszym ciągu mają trudności z wdrażaniem technologii i najlepszych procedur. Co więcej, w dokumencie stwierdza się, że przestępcy z powodzeniem wykorzystują powszechnie znane, lecz najzwyczajniej nieusunięte luki w zabezpieczeniach.

– Na szczęście wiele dzieje się w sferze edukacji i sytuacja zaczyna się zmieniać. Olbrzymią rolę odgrywają nie tylko eksperci bezpieczeństwa sieciowego oraz media, ale także integratorzy, którzy tłumaczą klientom, jak olbrzymia jest waga problemu – twierdzi Mariusz Rzepka, dyrektor Fortinetu na Polskę, Białoruś i Ukrainę.

Podkreśla przy tym, że polskie firmy są na celowniku cyberprzestępców ze względu na zapóźnienie we wdrażaniu najnowszych rozwiązań ochronnych.

 
Rosną zagrożenia, a z nimi rynek zabezpieczeń

Największe niebezpieczeństwo dla firmowych sieci niosą działania hakerów, złośliwe oprogramowanie, ataki DDoS oraz wycieki danych powodowane (świadomie bądź nie) przez pracowników. O tym, które ataki są groźniejsze dla klienta, decyduje to, w jakiej branży działa. Trzeba się liczyć chociażby z coraz częstszymi naruszeniami bezpieczeństwa w przemyśle. Dla cyberprzestępców zakłady produkcyjne stają się atrakcyjnym celem np. ze względu na stosowanie w nich nowych technologii, których tajniki można sprzedać z dużym zyskiem. Ryzyko ataku na wszystkie przedsiębiorstwa zwiększa coraz częstsze łączenie infrastruktury IT z platformami chmurowymi i mobilnymi (zwłaszcza zgodne z trendem BYOD).

Tak czy inaczej, wzrost liczby zagrożeń powinien skutkować poprawą koniunktury na rynku systemów bezpieczeństwa w najbliższych latach. Podobnie jak fakt, że firmowe dane coraz częściej znajdują się w niejednolitym środowisku, na które składają się zasoby lokalne oraz chmura obliczeniowa. Można się więc spodziewać, że przedsiębiorstwa będą wymieniać starsze i mało skuteczne urządzenia na nowe, zintegrowane rozwiązania. Takie, które przeciwdziałają zaawansowanym atakom i dają pełną kontrolę nad aplikacjami w sieci.

Narastający problem kradzieży danych uwierzytelniających powinien owocować zwiększonym popytem na rozwiązania typu IAM (Identity and Access Management). Odpowiednio wdrożone systemy zarządzania tożsamością i dostępem powinny dać klientom kontrolę nad tym, kto i jak korzysta z ich systemów informatycznych. Należy także identyfikować i usuwać luki w zabezpieczeniach, zanim skorzystają z nich cyberprzestępcy. Służą do tego narzędzia Vulnerability Assessment. Eliminują ryzyko związane ze złą konfiguracją zabezpieczeń, brakiem wymaganych poprawek, słabymi hasłami itp. W tym celu wykrywają miejsca szczególnie wrażliwe na ataki oraz luki w urządzeniach i usługach sieciowych.

Czy Internet rzeczy będzie bezpieczny?

Według najnowszych prognoz, zawartych w dziesiątym badaniu „Cisco Visual Networking Index” (VNI), Internet rzeczy wykazuje wyraźny wzrost – liczba połączeń M2M zwiększy się w ciągu najbliższych pięciu lat ponadtrzykrotnie i w roku 2019 wyniesie 10,5 mld. W najbliższej przyszłości niemal połowa ruchu IP będzie pochodziła z urządzeń niebędących komputerami PC, notebookami czy smartfonami. Rozwiązania z zakresu Internetu rzeczy będą implementowane w wielu branżach, np. rolnictwie, służbie zdrowia, produkcji przemysłowej, handlu, transporcie, a także w inteligentnych domach. Choć cyberprzestępcy nie znaleźli jeszcze dobrych sposobów na monetyzację ataków na IoT, należy się spodziewać, że – wraz ze wzrostem liczby rozmaitych zastosowań dla połączonych „rzeczy” – pojawią się coraz lepsze ku temu okazje.

Smart metering, branża medyczna, wszelkiego rodzaju automaty w handlu detalicznym itp. wymagają rozwiązań skutecznie zabezpieczających przesyłane dane. Aby być w zgodzie z przepisami prawnymi, firmy wykorzystujące M2M i przymierzające się do IoT będą
zmuszone do wdrożeń związanych z ochroną informacji. Otwiera to nowe możliwości przed integratorami, choć początkowo ich klientami będą tylko największe firmy – dystrybutorzy energii, a także duże sieci handlowe i usługowe.

 

Z punktu widzenia integratorów ważnym trendem jest rosnący popyt na usługi w zakresie bezpieczeństwa. Sprzyja temu konieczność zachowania zgodności z regulacjami prawnymi, z czym wiele firm nie potrafi sobie samodzielnie poradzić. Zwłaszcza w małych przedsiębiorstwach brakuje wykwalifikowanego personelu ds. bezpieczeństwa. Sposobem na rozwiązanie tych problemów jest podpisanie umowy z Managed Security Services Providerem. Oprócz zwykłego monitorowania i wsparcia systemów ochrony, firmy MSSP oferują także zaawansowane usługi dotyczące uwierzytelniania i ochrony przy użyciu wydzielonego środowiska uruchamiania aplikacji (sandbox) oraz przeciwdziałania atakom typu APT i DDoS.

 

DDoS wychodzi na pierwszy plan

Ataki te można podzielić na dwa rodzaje: wolumetryczne, polegające na wysyceniu pasma łącza dostępowego, oraz takie, które bezpośrednio atakują konkretne aplikacje. W tym drugim przypadku klasyczne systemy zabezpieczeń mogą mieć trudności z odróżnieniem agresji od legalnego ruchu generowanego przez zwykłych użytkowników serwisu internetowego. Tego typu ataków, wymierzonych w aplikacje, doświadczyło w 2014 r. aż 90 proc. uczestników badania „Worldwide Infrastructure Security Report”, przeprowadzonego przez Arbor Networks i obejmującego dostawców usług internetowych z całego świata. Równo dekadę temu taki sam był procent respondentów, którzy twierdzili, że podstawowym sposobem ataku jest zalewanie pakietami typu „bruteforce”. Jednocześnie rośnie wielkość ataków wolumetrycznych. Przy czym największy DDoS tego rodzaju dziesięć lat temu miał nie więcej niż 8 Gb/s, a rekordowy, zanotowany w roku ubiegłym, osiągnął rozmiar 400 Gb/s…

W naszym kraju, tylko w 2014 r., CERT Orange Polska zidentyfikował 106?768 alertów DDoS (ostrzeżeń o ruchu noszącym znamiona ataku) dotyczących sieci usługowej Orange Polska, co daje średnio około 9 tys. alertów miesięcznie. To blisko 40 proc. więcej niż w 2013 r. Najbardziej narażone na ataki są banki, instytucje publiczne, firmy usługowe, e-commercei serwisy aukcyjne. Im bardziej biznes jest uzależniony od Internetu, tym większe ryzyko ataku.

W raporcie CERT Orange Polska stwierdzono, że ataki DDoS, które mogłyby zablokować usługi największych korporacji, są coraz liczniejsze (choćby z racji dużej podaży botnetów, które można w tym celu wykorzystać). Dzięki temu usługi typu CaaS (Crime as a Service) są na czarnym rynku oferowane za niewielkie pieniądze. Bywa, że nawet z gwarancją zwrotu w razie niepowodzenia (sic!).

Obecnie DDoS są często elementem złożonych, długotrwałych kampanii. Ich celem jest zablokowanie określonej usługi, aby wprowadzić do systemu informatycznego złośliwy kod. Staje się to możliwe, gdy przeciążone napływającym ruchem urządzenia zabezpieczające (np. IPS) nie są w stanie dostatecznie ochronić sieć. DDoS może mieć również na celu ukrycie wśród milionów pakietów śladów włamania i nieautoryzowanego dostępu do serwerów przedsiębiorstwa.

Ireneusz Wiśniewski

Country Manager, F5 Networks

Ataki DDoS mogą być skutecznie odpierane nie tylko przez operatorów telekomunikacyjnych czy firmy zarządzające dużymi centrami danych, ale także przez mniejsze podmioty. Dziś da się ochronić przed atakiem DDoS praktycznie każdą sieć, przez którą dostarczane są aplikacje. Najważniejsze jest jednak, aby przygotować się do tego zawczasu, bo w czasie ataku będzie już za późno. Poza tym wtedy urządzenia sieciowe mogą działać w sposób nieprzewidywalny. Rekomendujemy dwuskładnikowe rozwiązanie ochronne, zawierające firewall warstwy 3. i 4. połączony z load-balancerem, a także dodatkowy system zawierający firewall aplikacyjny i moduł terminacji ruchu SSL.

 

Najczęściej ofiara DDoS nie jest przygotowana do obrony. W reakcji na atak nerwowo restartuje kolejne elementy swojej infrastruktury – aplikacje, serwery, urządzenia, co zwykle nie prowadzi do przywrócenia możliwości świadczenia usługi. Zupełne odcięcie atakowanego serwisu od sieci też nie jest środkiem zaradczym, bo oznacza przyznanie się do kapitulacji (przecież właśnie o wyłączenie usługi chodziło atakującemu).

Dlatego w walce z tego rodzaju atakami kluczowe staje się ich rozpoznanie i neutralizacja. Najczęściej dokonuje się tego przez połączenie lokalnych narzędzi zastosowanych u klienta, które chronią poszczególne programy za pomocą firewalla aplikacyjnego. Pomocna jest także zewnętrzna usługa oczyszczania ruchu (scrubbing), świadczona przez dostawcę Internetu w modelu chmury obliczeniowej.

Wobec narastającego zagrożenia DDoS inwestycja w rozwiązanie neutralizujące tego typu ataki i stworzenie Scrubbing Center, świadczącego usługi czyszczenia ruchu, może być doskonałym sposobem na biznes. Ważne jednak, by ochrona w chmurze była w pełni zarządzana przez wyznaczony zespół specjalistów oraz zapewniała pełne raporty dotyczące sposobów przeciwdziałania atakom, a nie była jedynie dodatkiem do wykupionego łącza internetowego.

 

Czy to się opłaca?

Mimo dynamicznego wzrostu liczby zagrożeń oraz faktycznych ataków na polskie firmy, wydatki na zapewnienie bezpieczeństwa IT rosną umiarkowanie. Według analityków IDC stanowią, w zależności od wielkości i rodzaju przedsiębiorstwa, od 2 do 15 proc. całkowitych kosztów IT. Co istotne, firmy często nie wiedzą, czy wydatki związane z zabezpieczaniem systemu informatycznego są rzeczywiście uzasadnione. Sprawę utrudnia fakt, że wciąż szwankuje rzetelny pomiar efektywności inwestycji w zakresie bezpieczeństwa IT. W zasadzie sprawdzane są zwykle jedynie kompetencje pracowników, którzy mają zajmować się tym obszarem w firmie. Tylko nieliczni obliczają zwrot z inwestycji – ROI (a w zasadzie, w przypadku bezpieczeństwa – ROSI). IDC przewiduje jednak, że proporcje te odwrócą się w najbliższej przyszłości, ponieważ coraz częściej dyrektorzy finansowi wymagają, żeby wszystkie wydatki na IT (a więc i na bezpieczeństwo) były uzasadnione ekonomicznie.

Prawo napędza wzrost

Oczekiwany wzrost w segmencie systemów bezpieczeństwa potwierdzają analitycy. IDC informuje, że w roku ubiegłym rynek rozwiązań dla bezpieczeństwa w Polsce rozwijał się dzięki różnego rodzaju regulacjom: zmianom w polskim prawie lub wewnętrznych procedurach międzynarodowych korporacji. Istotne znaczenie miał także wzrost liczby oraz złożoności zagrożeń. W 2015 r. rynek rozwiązań ochronnych IT w naszym kraju ma wzrosnąć o ponad 7 proc. Popyt będzie napędzany w znacznej mierze przez inwestycje z sektorów publicznego, finansowego oraz energetyki i gazu. Potencjał wzrostu tkwi również w sektorze ochrony zdrowia, gdyż działające w nim podmioty muszą dostosować swoje środowisko IT do nowych wymogów prawa.

 

Integratorom w rozmowach z klientami powinny pomóc przykłady z życia. Z doświadczeń Tomasza Chlebowskiego, prezesa ComCERTu, wynika, że dla serwisu aukcyjnego, o rocznych obrotach 1 mld zł, 3-godzinny przestój spowodowany atakiem DDoS oznacza stratę 1 mln zł. Nie mówiąc o naruszeniu wizerunku, które wiąże się z utratą części klientów. Zrażeni kłopotami e-sklepu nabywcy już nie wrócą.

– Kolejnym przykładem może być firma zatrudniająca tysiąc osób, która dziennie dostaje niefiltrowany spam w liczbie dziesięciu e-maili. Pracownicy zajmują się każdą taką „śmieciową” przesyłką przez 10 sekund. Przekłada się to na roczny koszt zmarnowanego czasu pracy wynoszący 610 tys. zł – twierdzi Tomasz Chlebowski.

Specjalista przytacza też historię firmy zatrudniającej 100 pracowników, z których jeden nieświadomie (z komputera zombie) rozsyłał pornografię dziecięcą. W efekcie agenci Centralnego Biura Śledczego wkroczyli do biura i zarekwirowali trzy komputery pracowników oraz serwer. Łączne straty związane z utraconym czasem pracy i koniecznością kupienia nowego sprzętu sięgnęły 150 tys. zł.

Opisane przykłady dają wyobrażenie o grożących stratach i problemach. Jednak samo straszenie nie wystarczy. Trzeba nieustannie tłumaczyć klientom, że lepsze zabezpieczenia nie będą ograniczać ich biznesu. Muszą sobie zdać sprawę, że jest wręcz przeciwnie – technologie zabezpieczające umożliwiają bezproblemowe wprowadzanie nowych technik sprzedaży, obsługi firmy itp. Tym samym mogą decydować o przewadze konkurencyjnej na rynku.

PwC Polska potwierdza, że prawdziwa korzyść płynąca z zabezpieczeń cyfrowych nie polega tylko na ochronie. Chodzi o tworzenie nowej wartości przez budowanie zaufania, które jest dziś tak ważne w biznesie.

– W tej sytuacji należy uznać za dobry znak, że niezbędna zmiana w myśleniu chyba już się dokonuje, a 72 proc. ankietowanych prezesów uznaje technologie cyfrowe za narzędzie kreowania wartości w obszarze zaufania – mówi Rafał Jaczyński, dyrektor w zespole Cyber Security PwC.

Tym wszystkim, którzy tej wartości nie widzą, a przede wszystkim są nieświadomi skali zagrożeń, powinien otworzyć oczy audyt przeprowadzony z pomocą integratora oraz pokaz możliwości określonego rozwiązania na żywo, w środowisku klienta. Uzmysłowienie przedsiębiorcy, co tak naprawdę dzieje się w jego sieci, jest zwykle bardzo skuteczne.

Mariusz Rzepka

dyrektor Fortinetu na Polskę, Białoruś i Ukrainę

Największym popytem cieszą się w przypadku dużych firm rozwiązania typu all in one, czyli firewalle następnej generacji oraz urządzenia UTM w sektorze MŚP. Osoby odpowiedzialne za bezpieczeństwo sięgajątakże po urządzenia do zarządzania regułami, platformy do analizowania logów, specjalistyczne rozwiązania przeznaczone do ochrony poczty e-mail lub aplikacji webowych. Także narzędzia antyDDoS zaczynają znajdować zastosowanie w polskich firmach, zwłaszcza w sektorze telekomunikacyjnym. Na liście życzeń pojawiają się sandboxy, które we współpracy z firewallem i bramą poczty elektronicznej tworzą dodatkową warstwę ochrony.