W ostatnim czasie celem zaawansowanych, bazujących na sztucznej inteligencji ataków, jest infrastruktura krytyczna. Szczególnie mocno przestępcy interesują się branżą ochrony zdrowia, IT, usługami finansowymi i energetyką. Dużym zagrożeniem dla tych podmiotów jest zwłaszcza oprogramowanie ransomware – jest ono dostępne także w modelu usługowym, co sprawia, że korzystający z niego atakujący mają zapewnione wysokie zyski przy ponoszeniu niskich nakładów.
Zintensyfikowanie ataków to zjawisko będące po części pokłosiem szybkiego rozwoju sieci w wyniku takich procesów, jak wzrost popularności pracy zdalnej. Cyberprzestępcy mają coraz większe możliwości wykorzystywania starych i nowych luk w słabych zabezpieczeniach sieci domowych, które łączą się z zasobami firmowymi.
Powstanie i rozwój modelu Ransomware-as-a-Service (RaaS) oraz rozbudowanych zestawów narzędzi do atakowania umożliwia skuteczne działanie mniej zaawansowanym technicznie przestępcom. W przeszłości analitycy z należącej do firmy Fortinet jednostki FortiGuard Labs śledzili głównie kilka najważniejszych grup stosujących ransomware. Obecnie zaś rozwinął się cały ekosystem cyberprzestępczy, z dużą liczbą interesariuszy, a handel złośliwym oprogramowaniem kwitnie na czarnym rynku. Ponadto analitycy z FortiGuard Labs obserwują wzrost liczby jeszcze bardziej destrukcyjnego oprogramowania typu wiperware oraz zagrożeń typu zero-day.
Renee Tarun z firmy Fortinet oraz Derek Manky z FortiGuard Labs przedstawiają swoje spojrzenie na temat współczesnych wyrafinowanych cyberzagrożeń oraz omawiają związane z nimi wyzwania.
Dlaczego ochrona przed nieznanymi zagrożeniami jest trudniejsza niż kiedykolwiek?
Derek: Stają się one coraz większym wyzwaniem, ponieważ rozwijające się sieci stwarzają więcej możliwości cyberprzestępcom. Oczywiście, wiele zagrożeń nadal nadchodzi za pośrednictwem poczty elektronicznej i z wykorzystaniem mechanizmów inżynierii społecznej, co jest rozpoznanym problemem, ale to te zagrożenia, o których jeszcze nic nie wiemy, stanowią większe wyzwanie.
Renee: Zgadzam się – wiele firm nie wie, jakie mogą być źródła zagrożeń w ich środowiskach sieciowych. Na przykład złośliwy kod typu zero-day może pochodzić z rozwiązań funkcjonujących w infrastrukturze IT użytkownika, dlatego po przeprowadzeniu odpowiednich analiz należy skupić się na ograniczaniu ryzyka ataku i planowaniu zabezpieczeń. Ponadto wiele przedsiębiorstw nie ma wystarczającej liczby pracowników i ilości zasobów zapewniających ochronę. Sytuację komplikują też coraz częściej pojawiające się nieznane zagrożenia.
Na czym polega różnica między zapobieganiem zagrożeniom, ochroną przed nimi i łagodzeniem ich skutków?
Derek: Zapobieganie i ochrona to środki tymczasowe. Nawet jeśli uda się zatrzymać zagrożenie, można założyć, że wkrótce ono powróci. W tej sytuacji musimy skłaniać się ku ograniczaniu ryzyka i wykrywaniu zagrożeń zero-day bazując na strategii ochrony warstwowej. Jej dużą częścią jest zapewnienie sobie możliwości głębszej analizy, z ochroną w czasie rzeczywistym. Jeśli firma nie ma rozwiązania typu sandbox in-line, to złośliwe oprogramowanie jest wykrywane dopiero po kilku minutach lub godzinach, a przez ten czas szkody mogły już zostać wyrządzone.
Renee: Można również pracować nad wykrywaniem i powstrzymywaniem zagrożeń przy użyciu tzw. mechanizmów zwodniczych. W tym przypadku, gdy przestępca wejdzie do sieci lub z niej wyjdzie, uruchamia pułapkę, dzięki której informacja o tym fakcie trafia do administratorów. A jeśli chodzi o łagodzenie niektórych zagrożeń, to należy prowadzić szkolenia z zakresu cyberhigieny wśród pracowników.
W jaki sposób czas obecności złośliwego oprogramowania w systemie wpływa na wyzwania, przed którymi stają dziś osoby odpowiedzialne za bezpieczeństwo?
Derek: Czas, przez który zagrożenie może utrzymywać się w systemie, jest często zdecydowanie zbyt długi. Innym czynnikiem, o którym mówimy w raporcie Threat Landscape Report, jest czas liczony od momentu pojawienia się nowego zagrożenia lub exploita w środowisku IT do momentu, w którym jest on uzbrojony. I nie mówimy już teraz o tygodniach, ale o czasie od 24 do 48 godzin, w trakcie których trzeba zareagować. Cały łańcuch ataku odbywa się teraz znacznie szybciej. Krótszy jest czas od wejścia do systemu do wyjścia z niego. Sprawia to, że firmy potrzebują zautomatyzowanych narzędzi ochronnych, które mogą wykryć te działania.
Renee: Jeśli o czymś nie wiemy, to nie możemy tego naprawić. Musimy zapewnić sobie odpowiednie możliwości monitorowania sieci i wykrywania zagrożeń, aby rozpoznać, kiedy dochodzi do incydentu związanego z bezpieczeństwem.