Taktiky kybernetických útočníkov sa dnes podobajú na obchodné modely s cieľom maximalizovať zisk.
Využívajú nielen nové možnosti, ale spoliehajú sa aj na staré triky. Napríklad, spam dnes predstavuje 65 % všetkých odoslaných mailov. Takmer desatina z nich je pritom infikovaná nebezpečným softvérom. Novou taktikou hackerov sa stalo zneužívanie programov zobrazujúcich nevyžiadanú reklamu. Tie sa vyskytujú v zariadeniach až v troch štvrtinách organizácií a môžu sa stať základom pre silný útok. Tieto závery priniesla štúdia Cisco 2017 Annual Cybersecurity Report. Štúdia sa zaoberala aj konkrétnymi dopadmi. Takmer tretina úspešne napadnutých organizácií zaznamenala nižšie tržby a 38 % z nich dokonca hlásilo ich zníženie o viac ako pätinu. Asi 90 % z nich následne investovalo do zlepšenia svojej kybernetickej obrany. Aj napriek tomu však zostáva 44 % bezpečnostných hlásení bez ďalšieho skúmania.
Z tohtoročného, už 10. vydania štúdie Cisco 2017 Annual Cybersecurity Report vyplýva, že takmer dve tretiny všetkých odoslaných e-mailov na svete (zhruba 65 %) tvorí spam. Dostáva sa tak na rekordné hodnoty a jeho súčasný objem sa blíži k maximu z roku 2010. Každú sekundu sa vo svete odošle viac ako 3500 spamov. Zhruba 8 až 10 percent z nich pritom obsahuje škodlivý softvér. Útočníci často využívajú prílohu, cez ktorú šíria nebezpečný malvér.
Hackeri uspeli – koľko to bude firmu stáť? Ako tomu predísť?
Štúdia Cisco 2017 Annual Security Report ďalej skúmala, aký dopad majú úspešné kybernetické útoky na tržby nielen veľkých firiem, ale aj malých a stredne veľkých podnikov. Takmer štvrtina organizácií (22 %), ktoré sa stali terčom úspešného útoku, stratila zákazníkov a 40 % z nich prišlo o viac ako pätinu svojej zákazníckej základne. Podobným spôsobom sa znížili aj ich tržby. Celých
29 % úspešne napadnutých organizácií zaznamenalo nižšie príjmy, 38 % z nich stratilo viac ako 20 % objemu tržieb.
„Straty, spôsobené kybernetickými útokmi, sú významné. Napriek tomu naša štúdia zistila, že až 44 % bezpečnostných incidentov sa ignoruje a ďalej nevyšetruje. Dôkladná analýza zaznamenaného útoku je pritom nevyhnutná, aby organizácia mohla vylepšiť svoje bezpečnostné opatrenia,“ hovorí František Baranec, country manager Cisco Slovensko.
Cloud ako bezpečnostná výzva
Počet cloudových aplikácií, ktoré zamestnanci využívajú, stúpol za dva roky viac ako desaťnásobne. Bezpečnostný tím Cisco CloudLock skúmal 900 organizácií. Ich zamestnanci používali v októbri 2014 celkom 20 400 rôznych cloudových aplikácií, kým v októbri 2016 už približne 222-tisíc. Viac ako štvrtina z nich (27 %) bola vyhodnotená ako vysoko riziková. Zaistenie ochrany v súvislosti s narastajúcim objemom cloudovej premávky tak patrí medzi hlavné body záujmu bezpečnostných manažérov.
Mnoho bezpečnostných nástrojov, málo odborníkov
Viac neznamená vždy lepšie. Zo záverov štúdie vyplýva, že 55 % organizácií používa bezpečnostné riešenia od viac ako 5 výrobcov, 3 % organizácií dokonca uviedli, že majú produkty od viac ako 50 výrobcov. Zložitosť bezpečnostnej architektúry však môže paradoxne pomôcť útočníkom. Tí majú viac času a priestoru na začatie útoku. Nie všetky riešenia sú totiž kompatibilné a nie všetky zariadenia v sieti bývajú chránené všetkými nainštalovanými bezpečnostnými produktmi.
„Organizáciám navyše taká situácia komplikuje hľadanie bezpečnostných odborníkov. Práca s mnohými nástrojmi výrazne zvyšuje nároky na kvalifikáciu ľudí. Práve nedostatok odborníkov vnímajú bezpečnostní riaditelia ako jedno z hlavných obmedzení pre vybudovanie kvalitného zabezpečenia,“ hovorí František Baranec. V prieskume to potvrdilo 25 % opýtaných. Medzi ďalšími obmedzeniami sa objavili limitovaný rozpočet (38 %), problémy s kompatibilitou systémov (28 %) a potrebné certifikácie (25 %).
Nebezpečnejšie nevyžiadané reklamy
Škodlivý softvér zobrazujúci nevyžiadanú reklamu (tzv. advér) je na vzostupe, navyše je nebezpečnejší ako predtým. Kybernetickí útočníci začali advér využívať ako prvý krok na infikovanie systémov pokročilejším typom malvéru. Jedným z príkladov môže byť malvér DNSChanger, ktorý umožní útočníkovi kontrolovať sieťovú premávku. DNSChanger sa pritom vyskytuje len v zariadeniach, ktoré už boli predtým infikované advérom. Jeho škodlivosť sa však veľmi podceňuje a výskumníci zistili, že v 75 % organizáciách sa advér vyskytuje minimálne na jednom zariadení. Na prieskume sa zúčastnilo 130 organizácií rôznych veľkostí a z rôznych odvetví.
Útočníci tiež častejšie využívajú internetovú reklamu, prostredníctvom ktorej šíria škodlivý malvér (tzv. malvertising). Malvertising im umožňuje rýchlo rozšíriť počet potenciálnych obetí. Pri takto rozsiahlej kampani navyše dokážu rýchlo prepínať medzi jednotlivými servermi, ktoré šíria malvér. Takto znižujú riziko svojho odhalenia. Napríklad prostredníctvom kampane ShadowGate zaútočili hackeri na milióny používateľov na celom svete.
Najrozšírenejšie exploit kity ustupujú, prichádzajú nové
Štúdia zistila, že najrozšírenejšie nástroje na šírenie škodlivého softvéru (tzv. exploit kity) takmer vymizli. Exploit kity Angler, Nuclear, Neutrino a RIG kedysi patrili medzi najpoužívanejšie, v novembri 2016 však jediným aktívnym zostal RIG. Ústup exploit kitu Angler súvisí so zatknutím 50 ruských hackerov na jar 2016, ktorí využívali malvér Lurk pri útokoch na ruské banky. Výskumníci spoločnosti Cisco totiž zistili úzke prepojenie medzi malvérom Lurk a exploit kitom Angler. To však neznamená zníženú aktivitu útočníkov. Teraz však využívajú iné formy, napríklad Sundown, Sweet Orange a Magnitude. Podobne ako RIG, aj tieto exploit kity cielia na zraniteľnosti v Microsoft Internet Exploreri, Flashi a v aplikačnej platforme Silverlight.
Efektívna obrana si vyžaduje pozornosť manažmentu
Pre zmiernenie hrozieb a minimalizáciu rizík spoločnosť Cisco organizáciám odporúča:
- Určiť si bezpečnostné priority: Vedenie organizácie by malo zaradiť kybernetickú bezpečnosť medzi hlavné priority.
- Hodnotiť dodržiavanie postupov: Revízia pracovných postupov, pravidelné aktualizácie a kontrola prístupových bodov sietí, aplikácií, funkcií a dát sú dnes nevyhnutnosťou.
- Testovať efektivitu: Organizácie by si mali definovať jasné kritériá, hodnotiť podľa nich svoju úroveň bezpečnosti a pracovať na jej neustálom zlepšovaní.
- Prijať integrovaný prístup obrany: Integrácia a automatizácia by mali patriť medzi najdôležitejšie hodnotiace kritériá. Tento prístup umožňuje zvýšiť viditeľnosť siete, zefektívniť interoperabilitu, skrátiť čas odhalenia a zastavenia útoku. Potom sa môžu bezpečnostné tímy naplno sústrediť na riešenie skutočných hrozieb.
Okrem toho by sa firmy nemali sústrediť len na ochranu pred útokom, ale počítať s tým, že sa útočník do siete môže dostať. V takom prípade rozhoduje čas, za aký sa podarí útočníka odhaliť (takzvaný time to detection, TTD). Pri včasnom odhalení môže organizácia minimalizovať škody útoku. Spoločnosť Cisco v tejto oblasti dosiahla nový rekordný čas. Priemerný TTD dosiahol hodnotu 6,5 hodiny.
Na štúdii sa zúčastnilo takmer 3000 respondentov z radov bezpečnostných riaditeľov (CSO) a manažérov, zodpovedných za kybernetickú bezpečnosť.