Przestarzałe oprogramowanie, źle zaprojektowany kod aplikacji, porzucona cyfrowa własność oraz błędy popełniane przez użytkowników – to najsłabsze elementy systemów IT w fimach i instytucjach, które powodują dynamiczny wzrost cyberzagrożeń, zidentyfikowane w raporcie Cisco 2014 Midyear Security Report.
Analizy zawarte w raporcie Cisco Midyear Security Report zostały oparte na szczegółowych badaniach 16 międzynarodowych korporacji, które w 2013 roku wykazały przychody o łącznej wartości ponad 300 miliardów dolarów oraz dysponowały aktywami przewyższającymi 4 biliony dolarów.
Ciekawym trendem jest niezwykły wzrost zagrożeń dotyczących branż specjalistycznych. W pierwszej połowie 2014 roku wśród trzech najbardziej zagrożonych przez ataki branż ponownie znalazł się bardzo dochodowy przemysł farmaceutyczny i chemiczny. W pierwszej trójce jest też branża medialna i wydawnicza, która w porównaniu do globalnej średniej jest 4-krotnie bardziej narażona na ataki, a także przemysł lotniczy (2-krotnie bardziej narażony na ataki niż wynosi globalna średnia).
Cisco prezentując wyniki analizy poziomu bezpieczeństwa korporacyjnych systemów IT zwraca uwagę na ich najsłabsze elementy, które powodują dynamiczny wzrost cyberzagrożeń. Do owych najsłabszych elementów wykorzystywanych przez cyberprzestępców eksperci Cisco zaliczają przede wszystkim przestarzałe oprogramowanie, źle zaprojektowany kod aplikacji, porzuconą cyfrową własność oraz błędy popełniane przez użytkowników.
Elementy te umożliwiają cyberprzestępcom wykorzystanie luk w systemach IT przy zastosowaniu takich metod jak zapytania DNS, zestawy eksploitów, kompromitacja systemu w punkcie sprzedaży (POS, point-of-sale), malvertising, ransomware, infiltracja protokołów szyfrowania, inżynieria społeczna i spam dotyczący „wydarzeń z życia”.
Według autorów raportu, wielu użytkowników koncentruje się na eliminowaniu najgroźniejszych słabości systemów i aplikacji lekceważąc standardowe, powszechnie znane luki, co w efekcie powoduje, że poziom zagrożeń w praktyce rośnie.
Tymczasem kęzyk Java wciąż utrzymuje swoją niechlubną pozycję lidera wśród języków programowania najczęściej wykorzystywanych do tworzenia szkodliwych programów. Analitycy Cisco twierdzą, że udział eksploitów Java wśród wszystkich wskaźników IOC (Indicators Of Compromise – oznaka, że system został zainfekowany) wzrósł w maju 2014 roku do poziomu 93 proc. (w porównaniu z 91% w listopadzie 2013, o czym informował Cisco 2014 Annual Security Report).
Cyberprzestępcy zwiększają liczbę ataków na przestarzałe aplikacje i obsługujące je elementy infrastruktury, które nie mają znaczenia krytycznego dla działania firm. Wykorzystując znane luki i słabości oprogramowania są oni w stanie uniknąć wykrycia ataku przez specjalistów ds. bezpieczeństwa, którzy koncentrują się na eliminacji największych i najpoważniejszych zagrożeń, takich jak choćby Heartbleed.
Jednak Cisco zwróciło też uwagę, żeiczba pojawiających się eksploitów zmniejszyła się o 87 proc. od czasu, gdy w ubiegłym roku aresztowany został haker podejrzewany o stworzenie bardzo popularnego zestawu eksploitów Blackhole. W pierwszej połowie 2014 roku pojawiło się przynajmniej kilkanaście nowych, które starają się zastąpić Blackhole, ale na razie brak jest wśród nich zdecydowanego lidera.
Z analiz tych wynikają trzy najważniejsze wnioski dotyczące wpływu złośliwego ruchu w sieci na bezpieczeństwo systemów firmowych.
Pierwszy dotyczy ataków typu MiTB (Man-in-The-Browser), ktore są dużym zagrożeniem dla korporacji: blisko 94 proc. sieci firmowych analizowanych w pierwszej połowie 2014 roku obsługiwało ruch do stron webowych zawierających złośliwy kod. Chodzi tu o zapytania kierowane do serwerów DNS o nazwy serwerów webowych, których adresy IP zostały zidentyfikowane jako związane z dystrybucją takich rodzin szkodliwego oprogramowania jak Palevo, SpyEye lub Zeus, wykorzystujących funkcje MiTB.
W drugim wnoisku autorzy raportu ostrzegją prze ukrytymi botnetami. To dlatego, że blisko 70 proc. sieci wykonuje zapytania DNS dotyczące dynamicznych nazw domen (Dynamic DNS Domains). Oznacza to, że systemy te są nieprawidłowo wykorzystywane lub zawierają komputery należące do sieci botnet i zainfekowane przez oprogramowanie, które stosuje mechanizm DDNS do zmiany rzeczywistego adresu IP i uniknięcia w ten sposób wykrycia przez systemy zabezpieczeń. W firmach, zewnętrzne połączenia DDNS są potrzebne i stosowane bardzo rzadko, najczęściej jest to komunikacja z serwerami C&C (Command & Control) sterującymi botnetem, a ukrywanie adresów IP ma na celu utrudnienie lokalizacji botnetu.
Autorzy zwracją też uwagę na zajawisko szyfrowania wykradanych danych. W 44 proc. badanych w 2014 roku przez Cisco sieciach dużych firm generowane były zapytania DNS dotyczące stron WWW lub domen, które oferują usługi szyfrowania transmisji danych. Wiadomo, że cyberprzestępcy wykorzystują techniki eksfiltracji kradzionych danych przy wykorzystaniu szyfrowanych kanałów takich, jak VPN, SSH, SFTP, FTP i FTPS by uniknąć detekcji przez systemy wykrywające włamania i blokujące wycieki informacji.
– Wiele firm wprowadza innowacje opierając przyszłość biznesu o Internet. By odnieść sukces w tym szybko rozwijającym się środowisku, dyrektorzy tych firm muszą nauczyć się kontrolować i zarządzać, w sensie biznesowym, ryzykiem związanym z cyberzagrożeniami. Analiza i zrozumienie słabości systemu zabezpieczeń zależy od świadomości istniejących cyberzagrożeń na poziomie zarządu firmy i jej dyrektorów na najwyższych szczeblach. Bezpieczeństwo to obecnie nie technologia, ale proces biznesowy. By efektywnie przeciwstawić się skutkom ataków w każdej ich fazie (przed, w trakcie i po), firmy muszą korzystać z rozwiązań działających w każdym miejscu systemu, gdzie zagrożenie może się ujawnić – kometuje wyniki raportu Gaweł Mikołajczyk, ekspert ds. bezpieczeństwa, Cisco Poland.
Źródło: Cisco