2017 februárja és 2018 januárja között főleg a botnetek (vagyis a kártékony programokkal zombivá tett számítógépek és azok hálózatai), a kis költségű támadások, illetve a zsarolóvírusok jelentettek fenyegetést a felhasználókra – derül ki a Microsoft Security Intelligence Report adataiból. Elsősorban az informatikai megoldásokba integrált, intelligens biztonsági technológiák képesek valódi védelmet nyújtani a fenyegetésekkel szemben.
A Microsoft egyedülálló információs bázissal rendelkezik a kiberbiztonság területén: a vállalat programjait a világ országainak többségében a felhasználók milliárdjai használják, az ebben a körben észlelt támadások pedig nem csak statisztikai adatot és kihívást, hanem a Microsoft-megoldásokba beépülő tapasztalatot is jelentenek. Ezért követik világszerte figyelemmel a Microsoft Security Intelligence Report megjelenését, hiszen az összeállítás a legfontosabb biztonsági trendek mellett a sérülékenységek okairól, valamint a biztonság növelésének lehetőségeiről is tudósít.
A legutóbbi riport a 2017 februárjától 2018 januárjáig tartó időszakot vette górcső alá, amelynek egyik jellegzetes tüneteként a botnetek térhódítását azonosította. A bot egy kártékony program, amely átveszi az irányítást a számítógépünk felett – ezután a távoli szerverek a botok segítségével kommunikálnak a megfertőzött számítógépekkel, hogy túlterheléses támadások elindítására, spamküldésre, rosszindulatú programok terjesztésére vagy kattintásos csalásokra használhassák azokat. Az év nagy kiberbiztonsági sikere volt a Gamarue botnet gazdáinak, illetve a zombigépeket irányító szervereknek a lekapcsolása. Az eredmény az ESET internetes biztonsági cég, a Microsoft Digital Crimes Unit kutatói és a Windows Defender Security Intelligence szakértői csapatainak együttműködésén alapult. Ennek révén nem csak a botnet infrastruktúráját tárták föl, hanem a bűnüldözőket is el tudták látni a 464 elkülönült botnet-hálózatról, valamint a zombigépeket irányító szerverekről szóló információkkal. Mindennek nyomán tavaly novemberben – a világ addigi legnagyobb hasonló akciója keretében – sikerült a szervereket lokalizálni és leválasztani a világhálóról. Mára az is kiderült, hogy a Gamarue a kártevők öt korábbi generációja során fejlődve jutott el a jelenlegi alakjáig, és nyakig benne volt jó néhány másik fenyegetés, például a Petya zsarolóvírus terjesztésében is.
A másik jellemző irány az úgynevezett kisköltségű támadások indítása, amit a szaknyelvben „az alacsonyan lógó gyümölcs leszakításának” is neveznek. Mivel a védelmi rendszerek megkerülése egyre költségesebb, a hackerek inkább olyan csomópontokat keresnek, ahol tömegesen léphetnek kapcsolatba felhasználókkal, például a szervezetek és ügyfeleik által használt online infrastruktúrák és szolgáltatások révén. A legvonzóbb lehetőség a bűnözők számára a pszichológiai manipuláció (egyszerűbben szólva az emberi naivitás kihasználása), a rosszul védett felhőalkalmazásokkal történő visszaélés, illetve a személyazonosságot vagy jogosultságot igazoló funkciók eltérítése. A gyári szoftverek védelme mára odáig fejlődött, hogy sokkal egyszerűbb és olcsóbb kerülőutakat használni: mondjuk a felhasználókat rávenni arra, hogy rosszindulatú linkekre kattintsanak, esetleg adathalász leveleket nyissanak meg. A Microsoft Office 365 a 2017-es év végén erősödő adathalász-célú mailforgalmat észlelt – az esztendő második felében ez volt az első számú fenyegetés, 50 százalékot meghaladó részesedéssel.
A gyengén védett felhőappok, illetve -szolgáltatások szintén csábító lehetőséget jelentenek. Egy rosszul kiépített felhőszolgáltatás nyitott kaput biztosíthat az adattolvajok számára, a hézagos titkosítás megkönnyíti az azonosító adatok megszerzését. A Microsoft Cloud App Security kutató-fejlesztő gárdája egy harmincnál is több appra kiterjedő felmérés során számos, az azonosítás hiányosságaiból adódó ilyen támadási felületet azonosított: a SaaS-tárolóalkalmazások 79 százaléka és a SaaS együttműködési alkalmazások 86 százaléka nem titkosította megfelelően az adatokat.
A zsarolóvírusok nem szűnő – sőt, inkább erősödő – inváziója az év harmadik jellemző kiberbiztonsági trendje. A legtöbb támadás színtere Ázsia (Mianmar és Banglades, valamint a dél-amerikai Venezuela bizonyult különösen sérülékenynek), Japán, Finnország és az Egyesült Államok viszont az átlagosnál sokkal védettebbnek mutatkozott. A WannaCrypt, a Petya/NotPetya és a BadRabbit segítségével az elkövetők a vállalati rendszerek mellett kórházak, közlekedési és szállítási szolgáltatások hálózatainak működését is akadályozni tudták.
A kártevők fajtájától független, általános tapasztalat, hogy a Microsoft Azure felhő-platformja esetében Kínából (31,7 százalék), az USA-ból (18 százalék) és Oroszországból (15,9 százalék) indult az észlelt támadások kétharmada. A Windows Defender Security Intelligence (WDSI) osztályozása alapján a rosszindulatú szoftverek közül a trójai volt a leggyakrabban előforduló kategória. A Micrososft SmartScreen szűrőjén fennakadt adathalász oldalak Ukrajnában, Belaruszban, Bulgáriában és Indonéziában fordultak elő a legmagasabb koncentrációban, Tajvanon, Kínában, Mexikóban és Dél-Koreában viszont sokkal kevesebb bukkant fel belőlük.
A Microsoft Security Intelligence Report adatai azt mutatják, hogy az ártalmas technológiák hasonló tempójú innovatív fejlődést mutatnak, mint maga az informatikai ágazat. Az újra intenzíven támadó zsarolóvírusok már nem csupán közvetlenül a felhasználókra, hanem a megtámadott infrastruktúrák és szolgáltatások felhasználóira is veszélyt jelentenek. Nagyobb biztonságot csak a szoftverek rendszeres frissítése, a korszerű operációs rendszer, a felhőszolgáltatások (például a Microsoft OneDrive) helyes használata és az online szokások megváltoztatása – az ismeretlen forrású linkek és mailek megnyitásának elkerülése – jelent, de a támadások elkerüléséhez a programjainkba beágyazott intelligens biztonsági megoldásokra is szükség van.
