Nowe sposoby na hakerów
Cyberprzestępcy tworzą nowe linie frontu. Jednak dostawcy aplikacji ochronnych dzielnie przeciwstawiają się atakom, wzmacniając fortyfikacje.
Kreatywność cyberprzestępców nie zna granic. Wprawdzie ich ofiary nabierają się na najprostsze szwindle, takie jak „nigeryjski spadek”, ale hakerzy wciąż powiększają swój arsenał. Jedną najskuteczniejszych broni stał się ransomware. Cybersecurity Ventures prognozuje, że firmy i instytucje zapłacą w tym roku okupy o łącznej wartości 8 mld dol. Cyberprzestępcy staną się też bardziej natarczywi. Dwa lata temu wyprowadzali ataki ransomware średnio co 40 sek., a w przyszłym roku będą uderzać co 14 sek. Jednak wiele wskazuje, że już niebawem Petya, WannaCry i ich następcy przestaną być największym postrachem działów IT. Od niedawna na liście najagresywniejszych sieciowych zagrożeń króluje tzw. cryptojacking.
– Nasze analizy dowodzą, że koparki walut wychodzą na prowadzenie w niechlubnym rankingu cyberataków. Dzieje się tak ze względu na łatwość tworzenia kolejnych wersji wirusów, szybki i znaczący zysk wynikający ze skali infekcji – mówi Grzegorz Michałek, prezes spółek Arcabit i mks_vir.
Według informacji McAffe w I kwartale 2018 r. wykryto aż 2,9 mln próbek złośliwego oprogramowania wydobywającego kryptowaluty, co oznacza 629-proc. wzrost w ujęciu rocznym. Napastnicy po zainfekowaniu komputera lub serwera przejmują procesor, który generuje kryptowaluty. Eksperci ostrzegają, że przestępcy już wkrótce opracują technikę umożliwiającą im generowanie Bitcoina i jego licznych kuzynów na urządzeniach mobilnych.
Innym niebezpiecznym zjawiskiem jest rozprzestrzenianie się tzw. ataków bezplikowych (fileless). Według McAfee w II kwartale 2018 ich liczba wzrosła o 432 proc. w porównaniu z notowaną w analogicznym okresie ubiegłego roku. Malware bezplikowy trudno wykryć, bowiem ukrywa się w pamięci komputera, nie pozostawiając po sobie żadnych śladów. Specjaliści z Ponemon Institute obliczyli, że skuteczność ataków fileless jest dziesięciokrotnie większa aniżeli tradycyjnych sposobów, kiedy ofiara pobiera zainfekowany plik. Nie bez przyczyny właśnie po tę metodę chętniej sięgają hakerzy przeprowadzający ataki typu cryptojacking lub ransomware.
O ile ransomware i crypotojacking to zagrożenia od pewnego czasu nieobce specjalistom od bezpieczeństwa, o tyle ujawnione na początku roku informacje o lukach w zabezpieczeniach procesorów były dla nich niemałym zaskoczeniem. Twierdzi się, że Meltdown i Spectre wręcz przewróciły do góry nogami podejście do bezpieczeństwa przechowywanych informacji.
– Producenci oprogramowania byli przekonani, że procesy realizowane przez jądro systemu i użytkownika są odseparowane na poziomie warstwy sprzętowej. W związku z tym ich nie izolowali, co umożliwiało przejęcie kontroli na dowolnym systemem, niezależnie od stosowanych zabezpieczeń – tłumaczy Bogdan Botezatu, Senior E-Threat Analyst Bitdefender.
Wkrótce po ujawnieniu informacji o lukach producenci procesorów i systemów operacyjnych, a także w niektórych przypadkach antywirusów, opublikowali niezbędne aktualizacje. Załatanie luk odbyło się kosztem spadku wydajności, w przypadku serwerów nawet o 60 proc. Kolejne łatki nie powodowały już tak drastycznych spadków, aczkolwiek nie rozwiązały do końca problemu. Jakby tego było mało, w sierpniu media poinformowały o kolejnym poważnym błędzie występującym w procesorach Intela wprowadzonych na rynek po 2015 r. Nowa luka, ochrzczona Forehand, może być wykorzystana m.in. do ataków na maszyny wirtualne.
– Kwestia luk zostanie definitywnie rozwiązana dopiero w przyszłej generacji procesorów. Obecnie żaden system informatyczny nie jest całkowicie bezpieczny. Problem dotyczy zarówno procesorów ARM, jak i x86–64 wszystkich producentów, a separacja na poziomie programowym może zostać złamana – ostrzega Bogdan Botezatu.
Wymiana procesorów jest skomplikowaną i kosztowną operacją. Nie brakuje opinii, że zamieszanie wokół chipów zwiększy zainteresowanie przedsiębiorców systemami bezpieczeństwa, a także zachęci do częstszych aktualizacji oprogramowania i systemów operacyjnych. Ale nie wszyscy dostawcy produktów służących do ochrony sieci i punktów końcowych liczą na boom wywołany aferą procesorową.
– Po szumie medialnym, a nawet lekkiej panice, wszystko wróciło do normy. Niewiele osób zrozumiało, na czym polega problem związany z lukami w procesorach. Z perspektywy czasu możemy stwierdzić, że Spectre i Meltdown nie wpłynęły w zauważalny sposób na rozwój narzędzi związanych z bezpieczeństwem oraz zachowanie użytkowników – twierdzi Grzegorz Michałek.
Zdaniem integratora
Karol Labe, właściciel Miecz Net
Producenci aplikacji ochronnych cały czas wprowadzają nowości w swoich rozwiązaniach. W przypadku zabezpieczeń komputerów skoncentrowali się na szyfrowaniu danych, rozwijając służące do niego mechanizmy bądź narzędzia umożliwiające zarządzanie BitLockerem. Tego typu działania były związane z RODO. W najbliższym czasie największych innowacji spodziewamy się w zakresie zabezpieczania smartfonów. Nie chodzi wyłącznie o ochronę antywirusową, ale o dodatkowe funkcje związane z geolokalizacją, kopiami zapasowymi oraz kontrolą aplikacji. Niestety, wiele przedsiębiorstw przesuwa w nieskończoność wprowadzenie polityki bezpieczeństwa, ale na szczęście za sprawą RODO pojawiły się pozytywne zmiany. Niepokoi jednak podejście pracowników do wytycznych dotyczących przestrzegania bezpieczeństwa. Często, zupełnie nieświadomie, łamią podstawowe zasady, np. pozostawiają komputer niezabezpieczony przed użyciem przez niepowołane osoby.
EDR – nowa linia obrony
Spośród produktów bezpieczeństwa już od dłuższego czasu największe kontrowersje wzbudzają antywirusy. Do ich krytyków należą zarówno wielkie koncerny, np. Cisco, IBM, jak i reprezentanci tzw. nowej fali. Przedstawiciele FireEye jakiś czas temu stwierdzili, że funkcje oprogramowania antywirusowego bazujące na sygnaturach bardziej przydadzą się do polowania na duchy niż do wykrywania cyberataków i zapobiegania im. Pretendenci zapowiadają nadejście kolejnej ery w tym segmencie rynku, którą nazywają next generation antivirus. Rodzimi resellerzy z ostrożnością przyglądają się tego typu rozwiązaniom. Zresztą podobna jest postawa klientów, zazwyczaj darzących ograniczonym zaufaniem mniej znane w Polsce marki i rozwiązania.
Ciekawe, że również analitycy Gartnera są dość powściągliwi w ocenach, co pokazuje tegoroczny kwadrant dotyczący rozwiązań zabezpieczających stacje robocze. Na pozycjach liderów znaleźli się: Symantec, Sophos i Trend Micro. Natomiast przedstawicieli „nowej fali”, m.in. FireEye, Carbon Black, uznano za graczy niszowych. Jednak należy dodać, że Gartner zauważa dynamiczny rozwój rozwiązań Endpoint Detection & Response, których działanie polega na aktywnym szukaniu w czasie rzeczywistym śladów włamań oraz ataków w każdym urządzeniu końcowym. Skumulowany wskaźnik wzrostu sprzedaży systemów EDR między rokiem 2015 a 2020 ma wynieść 45 proc. Przewiduje się, że w 2020 r. producenci uzyskają z ich sprzedaży 1,5 mld dol.
– EDR jest dobrą propozycją dla dużych firm. Korzystanie z niego wymaga zespołu ludzi, którzy potrafią analizować udostępniane informacje, a następnie podejmować odpowiednie decyzje. W mniejszych firmach na ogół nie ma fachowców od bezpieczeństwa, więc tego typu rozwiązania się nie sprawdzą – sądzi Paweł Jurek, wicedyrektor ds. rozwoju w Dagmie.
Wiele wskazuje, że oprogramowanie antywirusowe jeszcze długo pozostanie rozwiązaniem zabezpieczającym urządzenia końcowe. Przetrwają jednak tylko ci producenci, którzy będą umieli iść z duchem czasu, umiejętnie wykorzystując technologiczne nowości.
– Nowe produkty zapewniają nie tylko typową ochronę antywirusową, ale także możliwość kontroli aplikacji, nośników danych (np. USB) oraz filtrowanie zapytań stron internetowych. Wielu producentów w ramach ochrony antywirusowej proponuje klientom rozwiązania wykorzystujące mechanizmy nauczania maszynowego lub sztucznej inteligencji – wyjaśnia Maciej Kotowicz, Channel Account Executive, Sophos.
Zdaniem specjalisty
Damian Przygodzki, inżynier wsparcia technicznego, ABC Data
Wyzwań związanych z ochroną infrastruktury sieciowej jest co niemiara. Najważniejsze z nich to: duża i zmienna liczba użytkowników, polityka bezpieczeństwa sieci LAN/WLAN, odpowiednia segmentacja sieci, kontrola dostępu do danych i odpowiednia konfiguracja urządzeń bezpieczeństwa. W rozwiązaniach do ochrony sieci coraz częściej wykorzystywane są mechanizmy uczenia maszynowego. Dlatego powstają inteligentne i zautomatyzowane sieci, które są skorelowane z systemami zabezpieczeń. Dzięki temu można szybciej wykryć atak i zmniejszyć liczbę błędnych alarmów.
Jolanta Malak, dyrektor regionalna, Fortinet
Według przeprowadzonego przez Fortinet badania aż 65 proc. firm w Polsce zadeklarowało inwestycje w programy edukacyjne dla pracowników z zakresu cyberbezpieczeństwa w 2018 r. Ten wynik dowodzi rosnącej świadomości przedsiębiorców, że znaczna część naruszeń bezpieczeństwa jest efektem nieostrożności, niewiedzy lub ignorancji pracowników. Z drugiej strony zdaniem respondentów, którymi byli decydenci z obszaru IT, zarządy firm wciąż nie traktują cyberbezpieczeństwa wystarczająco poważnie. W tym kontekście ciekawe, że w 58 proc. przypadków za naruszenia bezpieczeństwa zarząd w pierwszej kolejności obwiniał dział IT – albo cały zespół (46 proc.), albo konkretną osobę (12 proc.), natomiast pracowników spoza działu IT – w 23 proc.
Piotr Szymański, Presales Engineer, Connect Distribution
Jednym z największych wyzwań dla administratorów sieci jest ochrona kluczowych urządzeń, których przestój naraża przedsiębiorstwo na straty finansowe. Dlatego kontrolowanie i przestrzeganie reguł bezpieczeństwa, testowanie wdrożonych procedur – to działania, które powinny zaistnieć w świadomości właściciela każdej firmy. Rozwiązania ewoluują w kierunku integracji i automatyzacji narzędzi służących do zabezpieczenia sieci. To sprawia, że administratorzy mają dostęp do większej ilości informacji na temat zagrożeń, a tym samym potrzebują mniej czasu na wykrycie ataków i przeciwdziałanie im.
(Nie) bezpieczna sieć
Opracowanie strategii bezpieczeństwa wymaga od małych i średnich firm coraz większego wysiłku. Według badań przeprowadzonych przez Untangle, przedsiębiorcy z sektora MŚP najbardziej obawiają się popełnienia błędu w wyborze firewalla i niewłaściwego zabezpieczenia sieci przed intruzami. Ich niepokój wydaje się jak najbardziej uzasadniony. Rozwój usług chmurowych zburzył wiele koncepcji dotyczących ochrony sieci. Dane jeszcze do niedawna znajdowały się wyłącznie na serwerze umieszczonym w siedzibie firmy. Firewall, który oddzielał firmę od świata zewnętrznego, dość skutecznie chronił cyfrowe zasoby. Jednakże przeniesienie części danych do zewnętrznych usługodawców skomplikowało sytuację sytuację.
– Wraz z popularyzacją cloud computingu zmienia się logika budowy architektury zabezpieczeń. Niegdyś wystarczyło chronić styk firmowej sieci z Internetem. Obecnie takie podejście staje się archaiczne, gdyż wiele aplikacji komunikuje się ze środowiskiem znajdującym się poza przedsiębiorstwem. Dostawcy reagują na zmiany zachodzące w ruchu sieciowym, przeprojektowując swoje rozwiązania – mówi Paweł Jurek.
W jakim kierunku podążają zmiany? Niektórzy producenci wprowadzili do oferty firewalle przystosowane do ochrony danych w sieciach rozproszonych, łączących infrastrukturę lokalną i chmurową. Innym zjawiskiem, występującym od pewnego czasu, jest zacieranie się różnić między firewallami i systemami UTM. W rezultacie dziś urządzenia realizują wiele funkcji sieciowych, podczas gdy wcześniej, by z owych funkcji skorzystać, trzeba było mieć kilka urządzeń. Mowa m.in. o filtrowaniu treści, zapobieganiu i wykrywaniu włamań oraz ochronie przed spamem i malware’em.
Analitycy z agencji badawczej PMR zauważają, że w Polsce UTM-y najczęściej uważa się za rozwiązanie dla małych i średnich przedsiębiorców. Ta grupa odbiorców rzadko sięga po firewalle sprzętowe, preferuje bowiem zapory ogniowe w postaci aplikacji. Według PMR wyróżnikiem polskiego rynku jest niski udział usług zarządzanych. Firmy zazwyczaj we własnym zakresie wdrażają rozwiązania sieciowe i zabezpieczenia końcówek, a potem administrują nimi.
Więcej integracji
Przedsiębiorstwa poszukujące rozwiązań bezpieczeństwa mają do wyboru mnóstwo produktów. We wspomnianym wcześniej kwadrancie Gartnera znajduje się aż 21 dostawców rozwiązań zabezpieczających stacje robocze, a przecież to zaledwie wycinek rynku security. Cisco Annual Cybersecurity Report informuje, że 16 proc. firm przyznaje się do korzystania z rozwiązań co najmniej 11 producentów. Taka sytuacja nie jest korzystna ani z punktu widzenia klientów, ani integratorów.
– Rynek jest rozdrobniony, w związku z tym mniejszy integrator ma kłopot ze skompletowaniem całościowej oferty. Czasami jest to wręcz niemożliwe. Największą przeszkodę stanowią koszty zdobycia kwalifikacji – uważa Łukasz Bromirski, dyrektor ds. technologii w Cisco.
Nikt nie ma złudzeń, że najbliższe lata przyniosą konsolidację rynku, a także zacieśnianie współpracy między dostawcami rozwiązań. Produkty ochronne często żyją własnym życiem, tworząc osobne wyspy. Cisco jest jednym z producentów próbujących wciągnąć inne firmy do kooperacji, m.in. za sprawą platformy pxGrid.
Wspominając o integracji, nie można zapominać o ochronie smartfonów i tabletów. Wprawdzie producenci oferują antywirusy chroniące ultramobilne terminale, ale to nie wystarcza, aby w pełni zabezpieczyć urządzenia. Nie mniej istotne są kwestie backupu, zdalnego usuwania danych i aplikacji oraz zarządzania tożsamością.
– Biznes w dużej mierze zrozumiał skalę zagrożeń, jakie niosą ataki na smartfony, i zwiększa swoje oczekiwania wobec producentów. Spodziewam się, że spowoduje to dynamiczne zmiany na rynku rozwiązań Mobile Device Management – podkreśla Paweł Jurek.
Według danych firmy badawczej Report-Linker na koniec 2018 r. wartość globalnego rynku rozwiązań MDM wyniesie 2,8 mld dol., a pięć lat później – 7,86 mld dol.
Mali nie są bezpieczni
Mogłoby się wydawać, że fala cyberataków i towarzyszący im szum medialny wywołają lawinowy popyt na systemy bezpieczeństwa. Jednak rodzimi przedsiębiorcy bardzo często wychodzą z założenia, że hakerzy ich ominą. Taka postawa jest charakterystyczna dla małych i średnich firm. „U nas nie ma co wykraść”, „Jak coś się stanie, zareagujemy” lub „Zaczniemy od przyszłego miesiąca” – to bardzo częste argumenty.
– Są przedsiębiorstwa przywiązujące wagę do polityki bezpieczeństwa, ale przeważają firmy, w których świadomość zagrożeń jest niska. Jeśli nawet istnieją jakieś procedury ochronne, zawodzą w najprostszych sytuacjach. Podłączanie prywatnych komputerów do sieci, udostępnianie zasobów bez uprawnień i używanie pamięci USB nieznanego pochodzenia to norma w wielu przedsiębiorstwach – przyznaje Grzegorz Michałek.
Podobne artykuły
Prawo stwarza szansę dla integratorów
Przedsiębiorcy zgłaszają potrzebę i chęć współpracy z zewnętrznymi zaufanymi ekspertami, aby pokonać bariery i wdrożyć szyfrowanie w kluczowych dla swojego funkcjonowania obszarach.
SASE to przyszłość łączności i bezpieczeństwa
Odpowiedzią na postępujące rozproszenie danych i aplikacji, znajdujących się obecnie nie tylko w firmowej serwerowni, ale także w różnych usługach chmurowych, jest połączenie sieci i aspektów dotyczących bezpieczeństwa w pakiet rozwiązań o wspólnej nazwie SASE.
Connect Distribution Roadshow: „stawiamy na bezpieczeństwo”
Tematem przewodnim spotkań z partnerami w trzech miastach - Krakowie, Poznaniu i Warszawie - było bezpieczeństwo. I nie mogło być inaczej, jeśli właśnie w tym kierunku rozwija się oferta Connect Distribution.