Киберпрестъпниците стават все по-изобретателни и използват все по-модерен софтуер, според доклад за състоянието на сигурността, публикуван наскоро от Fortinet. В много от случаите на успешни атаки обаче самият бизнес се оказва виновен, най-вече защото е реагирал неправилно на предишни заплахи.
Напредъкът в средствата за защита срещу външни заплахи е съпроводен от развитие на уменията на киберпрестъпниците и създадените от тях програми, твърдят експертите. Това е и сред основните причини бизнесът отново и отново да се сблъсква с атаките на едни и същи ботнети и автоматизирани зловредни кодове като цяло, а в частност – с ефективни високоскоростни експлойти. Мащабът на такива атаки често надминава дори въображението и затова компаниите, изложени на риск, е важно да разберат какво точно ги застрашава и как да се справят със заплахите.
Близо 80% от компаниите са подложени на атаки
Независимо дали става дума за атаката WannaCry през май миналата година или за Apache Struts по-късно през септември, входната точка за киберпрестъпниците отново и отново е позната отдавна, но останала без внимание уязвимост. Внимателното проследяване на нови заплахи и уязвимости трябва да бъде един от приоритетите на организациите, но важно е също така да се следят и събитията вътре в самата корпоративна среда, съветват експертите.
Днес повече от всякога стои на дневен ред задачата да се гарантира високо ниво на защита и да се прилагат подходи, основани на използването на системи за сигурност, които поддържат автоматизация, интеграция и стратегическо сегментиране. Киберпрестъпниците широко използват сценарии и технологии за автоматизация и поради това, с цел успешно противопоставяне на тази нова тенденция, трябва да се предприемат адекватни мерки за предотвратяване на атаките, убедени са специалистите.
Данните от проучването показват още, че активността на киберпрестъпниците нараства правопропорционално на техническите им умения. Според анализ на атаките през третото тримесечие на 2017 г., през този период 4 от 5 компании са се сблъскали с атаки с различна степен на тежест. За това време са открити почти 6 хиляди нови експлойта, малко под 15 хиляди уникални зловредни кода от 2,6 хиляди различни семейства, както и 245 неизвестни преди това ботнета.
Ключовото събитие през третото тримесечие на 2017 обаче бе атаката срещу кредитната компания Equifax, по време на която престъпниците получиха достъп до личните данни на 145 милиона души. В САЩ инцидентът беше описан като „зашеметяващ”, а в Сената бяха изказани мнения за необходимостта от трансформиране на цялата индустрия.
Заплахите от типа нулев ден стават все повече
Експлойтите остават едни от най-ефективните инструменти в арсенала на киберпрестъпниците. През третото тримесечие на миналата година са регистрирани голям брой такива, но в по-голямата си част съвременните средства за защита могат да се справят с тях, обясняват експертите. По-критични обаче са случаите, при които е невъзможно не само да се почисти системата, но дори и да се разбере самият факт, че има проблем, преди щетите да станат сериозни.
Ярък пример в това отношение е уязвимостта във фреймуърка Apache Struts, която „подпали” кредитната компания Equifax. С нея са свързани и близо 35% от сериозните атаки през третото тримесечие на 2017-а. В Топ 10 влязоха още три експлойта, насочени срещу този фреймуърк, което обаче не прави чест на пострадалите компании – всички тези уязвимости са били описани в периода от 2009 до 2014 г.
Активността на киберпрестъпниците нараства правопропорционално на техническите им умения
В същото време продължава да се разраства практиката на „масираните” атаки, когато компанията жертва се атакува от цял „рояк” експлойти. Противодействието на подобни атаки е изпитание дори за най-подготвения и професионален екип. Основните случаи на атаки на експлойти през миналата година са свързани с нарушения на изпълнението на команди, отказ на изпълнението на услуги и препълване на буферите.
Според статистиката, броят на заплахите от типа нулев ден е нараснал с 63 само за третото тримесечие на миналата година, а за цялата 2017-а са идентифицирани общо 185 подобни заплахи. От 2006 г. досега са се появили 503 заплахи, което показва много висока активност и до известна степен – успешност на киберпрестъпниците.
Зловредният код завладява мобилните устройства
Друг сериозен проблем остава широкото разпространение на зловреден софтуер, който като правило съществува тайно в системата на предприятието, отбелязват експертите. Представителите на най-популярните сред киберпрестъпниците семейства зловреден код действат приблизително по еднакъв сценарий и имат сходни функции за внедряване в системите. Включването в постоянно изменящ се пакет помага на зловредния код да заобиколи стандартните и често остарели средства за защита.
В същото време се появяват и по-усъвършенствани заплахи, свързани с получаването на отдалечен достъп до корпоративните системи. Данни за системата в този случай се събират чрез прихващане на въвежданите от потребителите данни. Основният проблем в случая се състои във факта, че този зловреден код с времето става по-интелигентен и по-автоматизиран.
През миналата година 15-те най-разпространени семейства зловреден код общо са атакували всяка десета компания, сочи проучването на Fortinet. Пиковите дни на атаки са регистрирани през втората половина на септември, като е наблюдавано относително затишие през първите месец и половина на тримесечието.
Набира скорост също така и използването на зловреден код за изнудване, с какъвто са се сблъскали 22 на сто от компаниите. Според анализаторите, всяка десета компания е била обект на изнудване чрез вируса Locky.
Друг актуален проблем е мобилната сигурност. Със зловреден код в тази област през третото тримесечие се е сблъскала всяка четвърта компания. Според експертите, за такива атаки киберпрестъпниците все повече започват да използват автоматизиран полиморфен софтуер, което означава по-нататъшно увеличение на броя „мобилни” инциденти. С най-голям риск тук се свързват мобилното пазаруване и активното използване на IoT устройства.
Ботнетите атакуват средния бизнес
Ботнетите остават важна част от стратегията на хакерите. В същото време се забелязва повторна поява на широко известните ботнети, а успешността на тези атаки е свидетелство за недостатъчната работа на отделите по информационна сигурност на предприятията. „В тези случаи можем да говорим или за това, че в компанията не са разбрали истинските мащаби на възникналата заплаха и ботнетите са „спали” известно време, след което са пристъпили към повторни атаки, или че първоизточникът на заразяването така и не е бил идентифициран”, коментират специалистите.
Появяват се все по-усъвършенствани заплахи, свързани с получаване на отдалечен достъп до корпоративните системи
Средната продължителност на заразяването с ботнети през третото тримесечие на 2017-а е 3,5 дни. В 3% от компаниите са регистрирани атаки от 10 или повече мрежи. В този сегмент пикови атаки са били отчетени в началото на юли и почти през целия септември. Еднаквите данни от тримесечие в тримесечие също показват, че едни и същи компании остават заразени дълго време с едни и същи ботнети.
От Fortinet отбелязват още, че обект на атаки са предприятия от всякакъв размер. Като цяло обаче ботнетите атакуват по-често средния бизнес. Този сегмент е привлекателен за киберпрестъпниците, поради факта, че инвестициите в гарантиране на сигурността и в ефективни технологии при средните компании са по-малко, отколкото при гигантите на пазара. Друга причина е повсеместното разпространение на облачните технологии.
Как да не станете жертва на атака
Еволюцията на киберпрестъпниците и на софтуера, който те използват, потенциално ще доведе до появата на нови видове атаки, смятат анализаторите. Но дори и съществуващият вече софтуер се отличава със сериозни мащаби на щетите в допълнение към високата степен на автоматизация.
Определена защита за бизнеса обаче може да бъде осигурена чрез систематично изграждане на такава система за безопасност, която да е еднакво ефективна срещу всички основни видове заплахи: експлойти, зловреден софтуер и ботнети. Експертите съветват също особено внимание да се обърне на мониторинга на корпоративните системи, което би позволило да се забележат ранни признаци на атака.
С приоритет трябва да се гарантира също така сигурността на SCADA системите. Тяхното поразяване би поставило под заплаха самата физическа инфраструктура, което може да доведе не само до финансови загуби или загуба на репутация, но и в някои случаи до заплаха за живота на клиентите на дадената компания.
Самият факт, че заплахите и тяхната структура се променят динамично, говори за необходимостта от бързо и гъвкаво внедряване на най-новите стратегии и решения за сигурност. Тяхната интеграция в съществуващата инфраструктура трябва да се осъществи, без да се намали производителността на последната. Архитектурата на системите за сигурност трябва да бъде отворена, което би гарантирало обмен на данни относно най-новите и опасни заплахи. Такава сложна автоматизирана система, според експертите, трябва да работи в проактивен режим.
Както показва практиката, стратегиите за идентифициране на заплахи и реагиране на инциденти са необходимо допълнение към съществуващите начини за цялостна защита на компанията, заключават от Fortinet.