Sprzedaż nie tak dawno odsyłanych do lamusa antywirusów systematycznie rośnie, bo mechanizm sygnaturowy dobrze chroni przed uruchomieniem rozpoznanego wcześniej ransomware’u. A gdy działanie oprogramowania antywirusowego jest wsparte przez producenckie centra wywiadowcze typu Threat Intelligence, które gromadzą i analizują informacje z milionów stacji roboczych na całym świecie i tworzą w chmurze system reputacyjny, to ryzyko zagrożenia atakiem znacząco maleje. Aby platformy AV zabezpieczały także przed stale ewoluującym kodem, nierozpoznawanym przez silniki antywirusowe, ich producenci oferują rozbudowaną ochronę behawioralną.

Cyberprzestępcy korzystają z tego, że sporo firm wciąż używa starszych, mniej bezpiecznych systemów operacyjnych i przeglądarek internetowych. Dlatego informacje o ostatnich atakach za pomocą ransomware’u, przeprowadzanych na masową skalę, to mocny argument za upgrade’em. Przedsiębiorstwa, które przez ostatnie lata nie inwestowały w nowe systemy, są coraz bardziej skłonne do przejścia na Windows 10 (jest mniej narażony na ataki). Resellerzy mogą więc spodziewać się większych zysków ze sprzedaży „dziesiątki” lub komputerów z preinstalowanym tym systemem.

 

Sprawca całego zamieszania

Ransomware, czyli złośliwe oprogramowanie wymuszające okup, ma już dość długą historię (pierwszy tego typu atak został przeprowadzony, przy użyciu dyskietek, prawie 30 lat temu), ale masowe ataki zaczęły się z początkiem obecnej dekady. Wtedy były oparte na złośliwym kodzie scareware, który w komputerze nie czynił szkód, ale miał za zadanie przestraszyć użytkownika. W wyskakującym na ekranie oknie z „policyjnym” komunikatem, którego nie można było natychmiast zamknąć, najczęściej była mowa o karze pieniężnej wymierzonej za odwiedzanie „zabronionych stron”. Ponieważ łatwo było sobie poradzić z tego typu atakiem, cyberprzestępcy wymyślili coś znacznie bardziej groźnego i nauczyli się zmuszać użytkowników do płacenia okupu. Od mniej więcej trzech lat obserwujemy więc wysyp złośliwego oprogramowania, które można nazwać cryptoransomware’em. Jest ono o wiele bardziej niebezpieczne, bo szyfruje dane na zaatakowanych komputerach bądź macierzach dyskowych. Bez znajomości klucza szyfrującego ofiara nie może odzyskać dostępu do swoich zasobów. Przestępca informuje ją, że wyda klucz po otrzymaniu okupu (najczęściej w wirtualnej walucie, czyli bitcoinach).

Widać wyraźnie, że nie mamy do czynienia z przejściową przestępczą modą, bo cryptoransomware rozwija się niezwykle szybko. Rośnie też skala ataków z wykorzystaniem tej metody. Niedawno ich ofiarą padły terminale biletowe operatora transportu miejskiego w San Francisco. Miała też miejsce fala cyberataków za pomocą oprogramowania WannaCry.

Zdaniem integratora

Przemysław Leśniak, Product Manager, Arkanet

Ataki, o których było głośno, zwróciły uwagę na problem zagrożeń niesionych przez oprogramowanie szyfrujące. Osoby odpowiedzialne za infrastrukturę IT w firmach, w których ransomware nigdy nie był tematem rozmów, zgłaszają się do nas z zapytaniem o rozwiązania, które zapewniają obronę przed tego typu oprogramowaniem. To efekt newsów, którymi zostali zbombardowani prezesi i kadra zarządzająca, co pobudziło do rozważań nad ewentualnymi kosztami i stratami, gdyby ich przedsiębiorstwa stały się celem ataku.

Adam Majewski, dyrektor działu technicznego, Koma Nord

Ataki, takie jak WannaCry czy Petya, choć wyrządziły wiele szkód, miały także swój pozytywny aspekt. Obserwujemy wyraźne zwiększenie wiedzy naszych klientów w zakresie zabezpieczenia systemów informatycznych. W efekcie rośnie ich zainteresowanie systemami ochrony, w tym oprogramowaniem antywirusowym. Co więcej, dokonują bardziej przemyślanych wyborów, analizując funkcje i skuteczność rozwiązań, a nie tylko porównując ceny.

 

Skala zjawiska wynika z prostego mechanizmu ataku i skutków bardzo dotkliwych dla ofiary. Cyberprzestępcy nie muszą zastanawiać się, czy dane na zaatakowanych komputerach są dla nich cenne, bo jest oczywiste, że mają konkretną wartość dla użytkowników. Atakowany najczęściej nie posiada kopii zapasowych i jest gotów zapłacić okup, by je odzyskać. A ponieważ klasyczne narzędzia zabezpieczające często nie dają sobie rady ze złośliwym kodem, ta metoda ataku oznacza dla przestępców łatwy zarobek.

– Przed złośliwym oprogramowaniem często nie ochronią nawet chmurowe udziały dyskowe – twierdzi Marek Krauze, Sales Engineer w Trend Micro. – Cyberprzestępcy potrafią znaleźć sposób na zaszyfrowanie danych kopiowanych do chmury. Dostawcy rozwiązań typu SaaS i generalnie usług chmurowych zwykle dostarczają tylko fragment systemu IT, a wtedy jego właściwe zabezpieczenie spada na barki użytkownika.

W atakach masowych napastnicy, by zwiększyć swoje dochody, ustalają okup na niewygórowanym poziomie. Co ciekawe, organizując ataki, dostosowują wysokość okupu do lokalnego rynku i możliwości finansowych ofiar. W Polsce najczęściej jego wartość wynosi od kilkuset złotych do kilkunastu tysięcy. Natomiast gdy cyberprzestępcy za cel stawiają sobie sparaliżowanie działalności biznesowej, za jej przywrócenie żądają odpowiednio dużych pieniędzy. Nic dziwnego, że rośnie liczba ataków na wybrane przedsiębiorstwa.

 

Sposób na atak i obronę

Wśród metod rozprzestrzeniania ransomware’u, a także innych rodzajów złośliwego oprogramowania, dominują te, które wykorzystują naiwność i nieostrożność użytkowników. Prym wiedzie phishing polegający na wysyłaniu e-maili przygotowanych tak, by udawały legalną korespondencję, której może spodziewać się ofiara (mają formę wiadomości od znanego banku, firmy kurierskiej itp.). Tego typu ataki są coraz sprawniej przeprowadzane i niemal nie spotyka się już komunikatów, w których tekst byłby niezdarnie przetłumaczony na lokalny język za pomocą translatorów internetowych, a elementy graficzne różniły się wyraźnie od podrabianego oryginału. Do e-maili dołączone są pliki (najczęściej w formatach ZIP, .PDF, DOC, EXE, JS), które zawierają złośliwy kod. Kliknięcie w załącznik uruchamia proces szyfrowania zasobów.

W bardziej wyrafinowanych atakach ransomware napastnicy nie liczą na nieuwagę użytkowników. Ich celem mogą się więc stać także ci, którzy postępują zgodnie z zasadami bezpieczeństwa. Wrogie działania w tym przypadku polegają na użyciu exploitów, czyli złośliwego kodu wykorzystującego luki w zabezpieczeniach systemów operacyjnych i aplikacji. W ten sposób można zainfekować komputery także innym złośliwym oprogramowaniem.

Klient nie wie, co wybrać

Nawet jeśli przedsiębiorca poznał skalę zagrożeń i skłania się do zakupu rozwiązań zabezpieczających, sprzedawcy nie jest łatwo przekonać go do wyboru tej, a nie innej platformy. Klienci mają bowiem problem z dostrzeżeniem różnic między narzędziami do ochrony, a tym samym ze świadomym wyborem (opartym na porównaniu funkcji i skuteczności działania, a nie wyłącznie kosztów zakupu). Decyzja jest tym trudniejsza, że przekazy marketingowe producentów różnych rozwiązań są bardzo podobne. Dlatego reseller powinien starać się edukować użytkowników, wskazując te szczegóły, na które powinni przede wszystkim zwrócić uwagę.

Najbardziej przekonujące jest zaprezentowanie działania oferowanego rozwiązania w środowisku klienta. Dlatego tak ważne jest posiadanie wersji demonstracyjnych produktów, by pokazać, jak w konkretnym przypadku łatwo nimi zarządzać, jak w praktyce chronią przed zagrożeniami, jak wpływają na wydajność systemu IT itp. Ponieważ wybór rozwiązania nie zależy wyłącznie od działu IT, integrator powinien ułatwić firmowym informatykom dostarczenie zarządowi raportów z monitoringu systemu. Takich, które w prosty sposób wyjaśniałyby, jakie warianty ochrony będą dla przedsiębiorstwa najbardziej korzystne, a jednocześnie najbardziej efektywne kosztowo.

 

Andrzej Choiński, ekspert do spraw bezpieczeństwa w G Data, zauważa, że wykorzystanie exploita i atak znany jako WannaCry może być przeprowadzony wcale nie za pomocą ransomware’u, tylko innego złośliwego kodu, który po cichu działałby w systemach operacyjnych milionów komputerów oraz serwerów i na przykład wykradał dane.

– Przez samo ujawnienie się, kod WannaCry pokazał skalę problemu niedostatecznych zabezpieczeń – wyjaśnia specjalista z G Data.

Ponieważ ransomware cały czas ewoluuje, trudniej walczyć z nim, stosując zabezpieczenia oparte na sygnaturach złośliwego oprogramowania. Skuteczniejsza okazuje się ochrona behawioralna, która polega na identyfikowaniu działań wywoływanych przez uruchomione się w systemie oprogramowanie. Wykrycie procesu, w wyniku którego zaczynają się np. szybko modyfikować dane na dysku, wyzwala reakcję narzędzia zabezpieczającego.

Rośnie też znaczenie sandboxingu w obronie przed ransomware’em i innym złośliwym oprogramowaniem. Rozwiązania bazujące na „piaskownicy” mają za zadanie wykonanie nieznanego kodu w odseparowanym systemie, co umożliwia określenie, czy jest on złośliwy, czy niegroźny. Metoda nie jest jednak w 100 proc. skuteczna, ponieważ cyberprzestępcy potrafią przygotować oprogramowanie, które przez długi czas nie ujawnia swoich szkodliwych mechanizmów albo nawet rozpoznaje sandbox.

 

Wszystko zmierza do automatyzacji

Środowiska IT stają się coraz bardziej złożone, zagrożenia coraz bardziej wyrafinowane, a cyberprzestępcy wykorzystują coraz liczniejsze sposoby ataku. Tymczasem osoby odpowiedzialne za bezpieczeństwo w firmach zmagają się na co dzień z poważnymi problemami: ograniczonym budżetem, brakiem kompatybilności systemów, a przede wszystkim niedoborem wykwalifikowanej kadry. W rezultacie nie poradzą sobie bez ochrony w dużym stopniu zautomatyzowanej. Dlatego starają się wykorzystywać samouczące się platformy zabezpieczające, które reagują automatycznie.

Takie systemy zapewnią szybką reakcję na zagrożenia i sprostają wielkiej ilości danych związanej z rozwojem tzw. Internetu rzeczy. Sama automatyzacja jednak nie wystarczy. Dopiero połączenie jej z automatycznym uczeniem się pozwoli skutecznie neutralizować ataki i umożliwi systemowi bezpieczeństwa wczesne wykrywanie zagrożeń. Przykładem są rozwiązania, które wykorzystują sieć jako sensor wykrywający podejrzane działania i uczą się na nie reagować. Niezwykle ważne staje się także korzystanie z narzędzi analitycznych, dzięki którym można wyciągać wnioski z incydentów i optymalizować na bieżąco systemy ochronne.

IT/OT i IoT – nowe obszary to nowe problemy

Od jakiegoś czasu słyszy się o integracji IT z OT (Operational Technology), czyli automatyką przemysłową. Ten obszar staje się kolejnym polem działania integratorów i wymaga zupełnie nowego podejścia. W infrastrukturze najważniejszej dla funkcjonowania państwa także stosowana jest automatyka przemysłowa, więc i tu występują bardzo poważne zagrożenia, takie jak wyłączenie dostaw energii, wody czy gazu, utrata ciągłości pracy fabryk bądź katastrofy ekologiczne. Do tej pory systemy automatyki przemysłowej najczęściej przez całe lata nie podlegały nadzorowi IT i w zakresie ich zabezpieczania jest wiele do zrobienia. Aby rozszerzyć swoje kompetencje, integratorzy muszą więc nauczyć się sposobów skutecznego łączenia środowisk IT i OT.

W szerszym kontekście dotyczy to także szybko rosnącego Internetu rzeczy. W wyniku ataku na podłączone do niego urządzenia może nastąpić kradzież wrażliwych danych, zakłócenie procesów biznesowych, szkody i awarie w infrastrukturze lub blokowanie dostępu do sieci przez ataki DDoS o wielkiej skali. Ochronę utrudnia obecnie brak standardów IoT i wynikający z niego deficyt wbudowywanych zabezpieczeń ułatwiających integrację urządzeń. Producenci dostarczają na rynek rozwiązania, które najczęściej nie są projektowane w sposób zapewniający choćby łatwą i szybką aktualizację oprogramowania.

 

Wiedza pod rękę z praktyką

Mniejsze ?rmy, które są częstym celem ataków cyberprzestępców, potrzebują kompleksowej ochrony obejmującej sieć, punkty końcowe i serwery. Może się ona opierać nie tylko na platformach AV, o wielu funkcjach wykraczających poza ochronę sygnaturową, ale także na rozwiązaniach UTM, łączących różne zabezpieczenia – przed włamaniami do systemu IT, przed infekcją złośliwym kodem, zagrożeniami dnia zerowego, działaniem botnetów itp.

Więksi klienci, oprócz głównej bariery ochronnej przed zagrożeniami nowego typu, jaką może być wydajna zapora sieciowa nowej generacji (NGFW), szukają także narzędzi przeznaczonych do zabezpieczenia konkretnych warstw i obszarów sieci. Integrator musi umieć połączyć je z funkcjonującymi w firmie rozwiązaniami.

Ponieważ przedsiębiorstwa mają coraz bardziej skomplikowane systemy IT, potrzebne są również narzędzia, które umożliwią skuteczne zarządzanie infrastrukturą i zwiększą bezpieczeństwo, dając wgląd w to, co dzieje się w ich sieciach. Są to stosowane już od blisko dekady rozwiązania
klasy SIEM (Security Information and Event Management), zapewniające zbieranie i analizowanie logów z systemów sieciowych i zabezpieczających. Powstały po to, by zagwarantować zgodność z prawnymi i korporacyjnymi regulacjami, ale dziś są używane także do ochrony przed zaawansowanymi atakami ukierunkowanymi (ATP) i złośliwym kodem.

Klienci mają bardzo różne potrzeby, więc integrator powinien nie tylko zdobyć wiedzę o produktach, ale także znać najlepsze praktyki w zakresie ochrony, by w rozmowach z klientami móc powoływać się na realizację podobnych, już funkcjonujących wdrożeń.