Do vojny v kybernetickom svete vstupujú žoldnieri. Tímy kyberpirátov sa profesionalizujú, disponujú špičkovou výbavou a nechávajú sa najímať na útoky. Z tých sa stal zárobkový podnik. Ako ukazujú výsledky pravidelnej štúdie Cisco Annual Security Report, jediná kampaň, založená na exploit kite Angler, mohla ročne priniesť útočníkom až 34 miliónov dolárov. Zločinci stále častejšie siahajú aj po legálnych zdrojoch, ktoré využívajú na svoje útoky. Súčasná geopolitická situácia navyše nahráva tomu, aby sa títo novodobí korzári dali do služieb teroristických skupín či diktátorských režimov, varuje Cisco Annual Security Report.
Bezpečnostné stratégie firiem sa postupne menia. Za útokmi stoja profesionalizované a dobre vybavené tímy kyberzločincov, ktoré dokážu pripravovať útoky na mieru. Využívajú pritom veľmi často nepozornosť alebo nezodpovednosť užívateľov. Do karát im hrá aj pomalosť niektorých bezpečnostných špecialistov, ktorí neinštalujú bezpečnostné záplaty dostatočne rýchlo alebo nechávajú zastarať sieťovú infraštruktúru. Stále sofistikovanejšie a efektívnejšie metódy kyberpirátov menia bezpečnostné prostredie. Firmy sa musia namiesto obrany pred prienikom škodlivého kódu do siete sústrediť na reakciu, najmä na rýchle odhalenie nákazy v sieti a zabránenie prípadným škodám. Vyplýva to z výsledku pravidelnej štúdie Cisco Annual Security Report. Tá okrem iného zistila, že vo viac ako 85 percentách firiem sa nachádzajú stopy po kybernetickom útoku, využívajúcom rozšírenia webového prehliadača.
Kybernetická vojna sa profesionalizuje. Výsledky štúdie odhaľujú, že kyberzločinci si stále častejšie budujú legálnu a robustnú IT infraštruktúru, ktorú potom využívajú na vlastné útoky. Efektívnosť ich útokov tak rastie súbežne s tým ako sa ich metódy stávajú sofistikovanejšími. Metódy obrany a bezpečnostné stratégie, ktoré sa používali kedysi, sú proti pokročilým typom útokov prakticky neúčinné. To vedie k tomu, že klesá dôvera manažérov v schopnosť ich firiem ubrániť sa pred kybernetickými útokmi. Ako zistila správa Cisco Annual Security Report, len 45 percent organizácií na svete dôveruje svojmu súčasnému zabezpečeniu proti kybernetickým útokom. V porovnaní s výsledkami z minulých rokov toto číslo pritom neustále klesá.
„Treba sa zmieriť s tým, že každá organizácia je potenciálny cieľ útoku a je len otázkou času, kedy dáta budú kompromitované. Spoliehať sa na to, že organizácia je príliš malá na to, aby bola predmetom záujmu rôznych útočníkov, je ilúzia,“ hovorí Roman Janovič, technický riaditeľ spoločnosti Cisco pre región južnej a východnej Európy. „S týmto vedomím treba prispôsobiť svoj pohľad aj celkovú bezpečnostnú stratégiu. Efektívna ochrana sa nemôže zameriavať iba na prevenciu pred útokom, ale aj na jeho priebeh a takisto na fázu po útoku. Veľká väčšina malvérov ostáva latentne neodhalená po dlhý čas. V tom okamihu sú už všetky nástroje, chrániace perimeter siete, neúčinné. Ak už útok prepukne, musíme byť schopní zmapovať presný rozsah ‘pohybu’ malvéru, rozsah škôd a odstrániť všetky následky. Tu nastupuje takzvaná retrospektívna bezpečnosť,” vysvetľuje R. Janovič.
Firmy si však dôležitosť efektívnej obrany uvedomujú. Podľa spomínanej štúdie je až 92 percent firiem presvedčených, že investori a regulačné orgány očakávajú, že si firmy s týmito kybernetickými hrozbami budú vedieť poradiť. V ére digitálnej revolúcie sú firmy závislé na svojej IT infraštruktúre a jej prípadný výpadok môže priamo ohroziť existenciu firmy na trhu. I preto je už dnes bezpečnostná politika súčasťou firemnej stratégie a rozhodovanie o nej sa presúva z IT oddelení na manažmenty spoločností.
Jediný útok vyniesol až 34 miliónov dolárov
Spoločnosti Cisco sa vlani podarilo odhaliť pôvod jedného z najpopulárnejších a najnebezpečnejších exploit kitov, Angler. To jej umožnilo podrobnejšie analyzovať jeho fungovanie a spresniť tak odhad výnosnosti súčasných kybernetických útokov. Ukázalo sa, že jediná kampaň postavená na kite Angler mohla za rok len z vydieračských (ransomware) útokov zarobiť zločincom až 34 miliónov dolárov. Angler bol totiž schopný napadnúť až 147 serverov mesačne a z každého vykonať 90-tisíc útokov. Tie uspeli približne v desatine prípadov.
Princíp ransomware spočíva v zablokovaní užívateľského počítača a požadovaní výkupného za jeho opätovné sprevádzkovanie. Vzhľadom na vysokú efektivitu Angleru útok zasiahol asi 40 percent počítačov, ktoré sa pripojili na nakazený server. Na 62 percentách z nich sa podarilo ransomware aj nainštalovať. I keď vyhrážkam vydieračov podľahli len necelé 3 percentá užívateľov, pri priemernej platbe 300 dolárov to pre útočníkov znamenalo viac ako slušný zárobok.
Zastarávajúca infraštruktúra
Kým techniky kyberzločincov sa stále vylepšujú, nedostatočná pozornosť venovaná nastaveniam bezpečnostných pravidiel v mnohých firmách zvyšuje riziko napadnutia. Už vlaňajší výskum Cisco Annual Security Report upozornil na fakt, že ani bezpečnostní špecialisti nevenujú dostatočnú pozornosť pravidelnej inštalácii záplat a modernizácii bezpečnostného vybavenia. Tým útočníkom zjednodušujú situáciu. Výsledky tohtoročnej analýzy naznačujú, že sa situácia zhoršuje. Hoci intenzita a úroveň kybernetických útokov rastú, najmä malé a stredné podniky používajú menej nástrojov a procesov na zabezpečenie voči hrozbám ako doteraz. V porovnaní s rokom 2014 klesol počas roku 2015 počet malých a stredných podnikov, ktoré používajú nástroje na zabezpečenie webu o viac ako 10 percent.
Firmy zároveň zabúdajú aktualizovať sieťovú infraštruktúru. Jej zastarávanie pritom priamo zvyšuje riziko kybernetického útoku. V porovnaní s rokom 2015 klesol počet firiem, ktoré uvádzali, že ich bezpečnostná infraštruktúra je aktuálna, o desatinu. Štúdia zistila, že 92 percent internetových zariadení prevádzkujú organizácie s vedomím, že tieto zariadenia majú bezpečnostné slabé miesta. Zo všetkých analyzovaných zariadení celých 31 percent už nie je podporovaných ani udržiavaných predajcom.
Cieľom nie je útoku zabrániť, ale odhaliť ho
Veľké nebezpečenstvo sa skrýva najmä v internetových prehliadačoch, ktoré sa stávajú najzvyčajnejšou cestou do užívateľských počítačov a ďalej do siete. Podľa údajov spoločnosti Cisco boli až v 85 percentách skúmaných počítačov zistené stopy po napadnutí, ktoré využívalo rozšírenia najbežnejších internetových prehliadačov. Pri plánovaní svojich útokov sa dnes kyberpiráti sústredia na využitie známych bezpečnostných chýb. To je jeden z dôvodov, prečo je pravidelná inštalácia aktualizácií jedným z dôležitých pilierov bezpečnostnej stratégie pre firmy i užívateľov.
Na šírenie svojich kampaní využívajú útočníci vlastnú infraštruktúru, ktorá vyzerá zdanlivo bezpečne. Napríklad počet zneužitých WordPress domén narástol od februára do októbra 2015 o 221 percent. Drvivá väčšina útokov využíva nezabezpečené DNS servery. Autori štúdie zistili, že DNS protokol sa stal jedným z pilierov kybernetického útoku v 92 percentách prípadov.
Zmena stratégie kybernetických útočníkov okrem iného znamená, že firmy o svojom napadnutí dlho nevedia. Kým v minulosti boli útoky zvyčajne hneď jasné, dnes sa snažia útočníci naopak zostať skrytí a zabrániť odhaleniu útokov bezpečnostnými mechanizmami siete. V mnohých firmách tak môže škodlivý kód existovať v sieti až 200 dní bez toho, aby bol odhalený. Práve skrátenie času, počas ktorého má útočník prístup k napadnutej sieti, je jedným z kľúčových prvkov bezpečnostných stratégií.
Len na prevenciu sa tak už nedá spoliehať. Sieťová infraštruktúra musí byť schopná brániť sa kybernetickému útoku už pred jeho začiatkom, čiže v okamihu, keď útočník do siete prenikne a pokračovať v obrane až do jeho skončenia. Vďaka neustálemu vývoju nástrojov obrany proti pokročilým hrozbám (AMP) sa podarilo spoločnosti Cisco za posledné obdobie znížiť čas potrebný na detekciu škodlivého kódu v sieti z vlaňajších 46 hodín na súčasných 17,5 hodiny. To je asi 300-krát rýchlejšie, ako je bežné pri firmách, ktoré ochranu AMP nepoužívajú.
Kybernetickí žoldnieri
V ére digitálnej ekonomiky sú na fungujúcej IT infraštruktúre závislé nielen firmy, ale celé štáty či verejná správa. Na strane útočníkov v kybernetickej vojne dnes stoja často profesionáli, ktorých si možno na útok najať. V komerčnej sfére sa stal kybernetický zločin v podstate samostatným priemyselným odvetvím. Táto situácia nahráva tomu, aby sa pozornosť útočníkov nesústredila len na krádeže peňazí a informácií, ale napríklad aj na kritickú infraštruktúru štátov.
V minulosti sme už zaznamenali prípady zneužitia kybernetických útokov vládami rôznych štátov. Vzhľadom na dôsledky, aké by napadnutie kritickej infraštruktúry štátu mohlo mať, sa môžu títo profesionáli jednoducho dostať do hľadáčika teroristických organizácií či diktátorských režimov. Namiesto peňaženiek a bankových účtov môžu zacieliť svoje útoky na ochromenie bežného života a fungovania verejnej správy v napadnutých štátoch.