Így változik a kiberbűnözés

Többek között a fenyegetések gyors változására és a „destruction of service” (DeOS) támadások veszélyeire hívja fel a figyelmet a Cisco kiberbiztonsági jelentése. Ezek elsődleges célja a rombolás: tönkretehetik a szervezetek biztonsági mentéseit és a támadások utáni visszaállításhoz szükséges egyéb védelmi megoldásokat.

 

Az olyan kibertámadások, mint a WannaCry és a Nyetya jól mutatják a hagyományos zsarolóvírusnak tűnő, de sokkal rombolóbb támadások gyors terjedését és kiterjedt hatását. Ezek az események előrejelzik a Cisco által „destruction of service” támadásoknak nevezett akciókat, amelyek után a vállalatoknak nincs lehetőségük adataik visszaállítására.

 

Az IoT terjedésével egyre több munkafolyamat tevődik át online platformokra. Ez a trend pedig jelentősen megnöveli a támadható felületeket, illetve a támadások mértékét és hatását. Az IoT továbbra is számos új lehetőséget kínál a kiberbűnözőknek, a biztonsági gyengeségek kihasználása pedig központi szerepet játszik majd a támadások terjedésében.

 

A felderítési idő (time to detection, TTD) csökkentése kritikus jelentőséggel bír a kiberbűnözők megfékezésében, illetve a támadások okozta károk csökkentésében. A Ciscónak sikerült az átlagos felderítési időt 39 óráról nagyjából 3,5 órára csökkentenie a 2016 novembere és 2017 májusa közötti időszakban.

 

„Ahogy a WannaCry és Nyetya a közelmúltban megmutatta, a támadók egyre kreatívabbá válnak a támadások tervezésében. Ezeknek az új típusú zsarolóvírusoknak (illetve férgeknek) magyarországi áldozatai is voltak.” – mondta Ács György, a Cisco regionális hálózatbiztonsági szakértője. „A komplexitás továbbra is gátolja a szervezetek biztonsági erőfeszítéseit. A “pont” termékek, amelyek egyfajta biztonsági feladatot látnak el, de nem integrálhatóak más megoldásokkal, óriási lehetőségeket teremtenek a támadók számára, Az észlelési idő hatékony csökkentése és a támadás hatásának korlátozása érdekében az egész IT biztonsági iparágnak integráltabb, architekturális megközelítésre kell áttérnie.” – tette hozzá Ács György.

 

 

Kiberfenyegetések – hagyományos és új támadások

 

A Cisco biztonsági szakértői szerint 2017 első félévében a kiberbűnözők egyre kifinomultabb technológiákat alkalmaztak a támadások terjesztéséhez és álcázásához, valamint a biztonsági megoldások kikerüléséhez. Egyre több kiberbűnöző épít arra, hogy linkekre kattintással vagy fájlok megnyitásával az áldozatok aktiválják a kártevőket. Nőtt a fájlmentes kártevők aránya is, amelyek a memóriában megbújva nehezebben detektálhatók, illetve a vizsgálatuk is nehezebb, mert az eszköz újraindításával törlődnek. Továbbá a kártevők egyre gyakrabban használnak titkosítást és építenek olyan decentralizált infrastruktúrára, mint a Tor proxyhálózat, hogy tevékenységüket álcázzák.

 

A Cisco szakértői szerint az exploit kitek használata csökken, azonban más jól ismert, klasszikus támadások egyre gyakoribbá válnak:

 

A bűnözők egyre többször alkalmazzák az olyan régi, jól bevált módszereket, mint a kártevők emailes terjesztése, így jelentős mennyiségű spam keletkezik, amelyek nagy része valamilyen kártékony csatolmányt tartalmaz. A Cisco szerint a kártevőket tartalmazó kéretlen levelek száma tovább fog növekedni, miközben az exploit kit-ek használata nem emelkedik számottevően.

 

A biztonsági szakértők sokszor inkább kellemetlen, mint veszélyes kártevőként tekintenek a kémprogramokra (spyware) és a hirdetés típusú vírusokra (adware), miközben ezek is komoly veszélyeket jelenthetnek. A Cisco 4 hónap alatt 300 vállalatot vizsgált meg, és azt tapasztalta, hogy a cégek 20 százalékát 3 gyakori kémprogram-család fertőzte meg. A kémprogramok a személyes felhasználói adatok és vállalati információk megszerzésén túl jelentősen gyengíthetik egy vállalat biztonsági rendszerét, teret engedve további támadásoknak.

 

A Ransomware-as-a-Service szolgáltatások növekedése a bűnözők számára könnyebbé teszik a kibertámadások kivitelezését. Az egyre elterjedtebb zsarolóvírusok 2016-ban több mint 1 milliárd dolláros kárt okoztak a jelentések szerint. Bár a zsarolóvírusok óriási figyelmet kaptak a közelmúltban, messze nem tartoznak a legnagyobb anyagi kárt okozó fenyegetések közé. Az amerikai Internet Crime Complaint Center (IC3) szerint a vállalati elektronikus levelező rendszerek elleni támadások 2013 októbere és 2016 decembere között 5,3 milliárd dollár veszteséget jelentettek.

 

 

Egyedi iparágak, közös veszélyek

 

Miközben a támadók egyre kifinomultabb, fejlettebb technikákkal állnak elő, a vállalatok számára az alapvető biztonsági intézkedések is kihívást jelentenek, amelynek legfőbb okai a rendszerek összetettsége és átláthatatlansága. A Cisco 13 országban 3000 biztonsági vezető körében végzett felmérése szerint a biztonsági szakértők nem tudnak lépést tartani az egyre növekvő számú támadásokkal, ezért egyre inkább a reaktív módszerekre hagyatkoznak.

 

A vállalatok csupán kétharmada vizsgálja ki a biztonsági figyelmeztetéseket. Néhány iparágban, mint az egészségügy vagy a közlekedés, ez az arány mindössze 50%.

 

Még a legérzékenyebb iparágakban (egészségügy, pénzügy) is csak az ismert támadások kevesebb mint felét tudják kezelni.

 

A fenyegetések a szervezetek 90%-át ösztönözték biztonsági fejlesztésekre, azonban néhány iparágban (például a közlekedés) ez az arány csak kevéssel 80% feletti.

 

 

Hat lépés a nagyobb biztonságért

 

  • Fontos az infrastruktúra és az alkalmazások rendszeres frissítése, így a kiberbűnözők nem tudják kihasználni az ismert sérülékenységeket.

  • Komplex rendszerek helyett integrált védelmi megoldásokra van szükség. A különféle, egymással nem együttműködő biztonsági megoldások beszerzését, alkalmazását minimális szinten kell tartani.

  • A vállalatvezetést korán be kell vonni a biztonsággal kapcsolatos döntésekbe.

  • A tisztán értelmezhető mérőszámok alkalmazásával jelentősen javíthatóka folyamatok.

  • Érdemes megvizsgálni, hogy a feladatkörökre szabott képzések, vagy az univerzális tréningek a hatékonyabbak.

  • A védelem és az aktív reagálás közötti egyensúly megteremtése, a biztonsági ellenőrzések és folyamatok rutinszerű beállítása, valamint felügyelet nélküli futtatása helyett.