2020 był bardzo trudny, a najważniejsze wydarzenia na świecie oscylowały wokół tematu chińskiego wirusa, który nadal z nami jest i nie wygląda na to, żeby miał w planach nas opuścić. Miniony rok był równie trudny dla naszych systemów i sieci, które nie tylko musiały poradzić sobie z wymuszoną transformacją standardu pracy, ale i uchronić się przed ogromną liczbą zagrożeń. Jak pandemia wpłynęła na bezpieczeństwo naszych systemów w 2020 roku? Odpowiedzi na to pytanie poszukamy w raportach liderów Security IT podsumowujących minione 12 miesięcy.

Specyfika naszej pracy daje nam możliwość poznania licznych, często odmiennych koncepcji budowania systemów bezpieczeństwa. W serwerowniach naszych klientów pracują urządzenia różnych vendorów, jednak w grupie kilkudziesięciu niezależnych infrastruktur, łatwo zlokalizować tych, których rozwiązania są najbardziej popularne. Wsłuchując się w słowa liderów, regularnie spoglądamy do najnowszych badań z zakresu bezpieczeństwa IT nie tylko w celu zwiększenia swoich kompetencji, ale i po to, aby zrozumieć dynamikę rozwoju zagrożeń. A czego możemy dowiedzieć się z raportów stanu cyberbezpieczeństwa na rok 2020?

9 na 10 organizacji doświadczyło przynajmniej jednej próby włamania

Wartość ta obrazuje skalę działalności cyberprzestępców na całym świecie. Dziś większość ataków odbywa się przy użyciu zautomatyzowanych narzędzi co pozwala na niemal wykładniczy wzrost liczby podejmowanych prób nielegalnego pozyskania dostępów do naszych sieci. Niepokojąco wysoki jest również poziom wzrostu liczby ataków, który w porównaniu z rokiem 2019 osiągnął wartość 19%. Jeśli zatem opieramy nasze bezpieczeństwo o założenie, że przetwarzane przez nas dane nie niosą zbyt dużej wartości dla cyberprzestępców, należy zastanowić się według jakiego klucza podejmowane są próby ataków i czy zakres danych ma w tym przypadku jakiekolwiek znaczenie. Warto zwrócić również uwagę na fakt, że wśród przebadanych firm, które wykryły próby ataków, niemal 2/3 mówi o przynajmniej 3 niezależnych próbach, co stanowi 18 procentowy wzrost względem roku 2019.

65% ofiar ataków ma trudności z określeniem zakresu naruszeń

Nawet najlepszy system nie zapewni nam stuprocentowego bezpieczeństwa. Prawdziwość tej tezy potwierdza popularność ataków i ich wysoka skuteczność. Każdy Administrator musi liczyć się z ryzykiem, że pewnego dnia może stać się ofiarą ataku. Oczywiście w ramach swoich działań dążymy do minimalizacji tego ryzyka, jednak jego całkowita eliminacja jest niestety niemożliwa. Co zrobić, kiedy zostaniemy skutecznie zaatakowani? Kluczowe staje się znalezienie luki w zabezpieczeniach w celu jak najszybszego uszczelnienia naszego środowiska. Szybko powinniśmy dążyć również do zlokalizowania źródła ataku. Istotne staje się dokładne określenie jakie systemy zostały zainfekowane czy nasze dane zostały utracone czy mamy do czynienia z wyciekiem danych, a żeby tego było mało, na horyzoncie pojawia się też RODO odmierzając nam czas w jakim musimy poinformować osoby, których dane mogły zostać wykradzione o szczegółach incydentu. Jak się okazuje dla 65% firm, które zostały skutecznie zaatakowane w 2020 roku, zebranie tych wszystkich informacji okazało się zadaniem zbyt trudnym. Brak dokładnej wiedzy na temat specyfiki i zakresu ataku może mieć katastrofalne skutki dla ciągłości funkcjonowania naszego przedsiębiorstwa, warto zatem zadbać o to, aby nasze środowisko było stale monitorowane, a każda anomalia i niestandardowe działanie nie umknęło naszej uwadze.

59% ataków zostało przeprowadzone przez grupy zupełnie nie związane z ofiarami

Jaki jest przeciętny cyberprzestępca? Czy to introwertyczny geniusz, który niczym Elliot Alderson z “Mr Robot” wyposażony w plecak i kaptur przemierza ulice dużych miast w poszukiwaniu celu ataków wśród olbrzymich korporacji, które za nic mają dobro jednostki? Niestety, taki obraz choć w pewnym stopniu fascynujący musimy uznać za fikcyjny, a w naszych dywagacjach powinniśmy przyjąć nieco bardziej pesymistyczną postawę. Jak wynika z analiz ataków przeprowadzonych w 2020 roku, 59% ataków przeprowadziły grupy zupełnie nie związane ze swoimi ofiarami. Celem ataku możemy więc stać się zupełnie przypadkiem i nasza nieposzlakowana opinia na rynku nie pomoże nam w podniesieniu poziomu bezpieczeństwa. Warto w tym momencie zaznaczyć, że w przypadku bardzo dużej liczby naruszeń, zlokalizowanie źródła ataku jest po prostu niemożliwe, co zapewne sprawia, że statystyka jest zaniżona.

Średnia wartość żądań okupu przekroczyła 1 mln USD

Ransomware to jedna z najpopularniejszych form ataków z jakimi przyszło nam zmierzyć się w roku 2020. Jego olbrzymia skuteczność sprawia, że również w aktualnym roku nie powinniśmy tracić czujności, tym bardziej, że na ogół takie ataki wiążą się z następującym po nim żądaniem okupu. Pomysł płacenia jakichkolwiek pieniędzy intruzowi, który wykradł nasze dane wydaje się ze wszech miar niesprawiedliwy, jednak perspektywa utraty istotnych z punktu widzenia firmy danych, kompromitacji i utraty zaufania wieloletnich kontrahentów czy wysokich kar, sprawia, że wiele firm na poważnie rozważa sięgnięcie do portfela i rozwiązanie problemu. A o jakich kwotach rozmawiamy? W zeszłym roku średnia wartość okupu przekroczyła magiczną granicę 1 mln dolarów, czyli niemal 4 000 000 PLN. Ta imponująca wartość skłania również do zadania pytania, czy lepiej zainwestować niewielki odsetek tej kwoty i zabezpieczyć się przed incydentami, czy jednak zdać się na swoje szczęście i umiejętności negocjacyjne.

Ransomware i Phishing, jako najpopularniejsze formy ataków

Obok wspomnianego już ransomware’u do najpopularniejszych form ataków należy zaliczyć również ataki phishingowe. Rok 2020 to ogromny wzrost częstotliwości tych ataków. W przypadku ransomware’u mówimy o 715% wzroście w porównaniu z rokiem 2019, zaś phishing zanotował ponad 6-krotną zwyżkę popularności. Analiza różnych odmian ataków phishingowych bezpośrednio wskazuje na najbardziej zawodny element infrastruktury jakim jest użytkownik. To użytkownika najprościej wprowadzić w błąd, ukryć przed nim informacje albo zmusić przy użyciu działań socjotechnicznych do wykonania pewnych czynności. Obok budowania kompletnych systemów bezpieczeństwa, powinniśmy również zadbać o odpowiednią edukację naszej kadry i wskazać pracownikom na jakie elementy zwracać szczególną uwagę oraz jak rozpoznać próbę ataku.

A co nas czeka w 2021 roku?

Przewidywania dotyczące przyszłości zawsze obarczone są sporym błędem. Zwyczajnie, nie jesteśmy w stanie określić kierunków, w których podążą cyberprzestępcy i czym będą starali się nas zaskoczyć w nadchodzących miesiącach. Na podstawie przełomu roku i pierwszego kwartału możemy jednak spróbować określić jaki jest najpopularniejszy wektor ataków oraz jaka forma ataków może okazać się wiodąca.

Wzrost liczby ataków na małe sieci lokalne

Wirus nie odpuszcza. Choć chcielibyśmy już przystąpić do podsumowania zmian jakie spotkały nasz świat od czasu pojawienia się Covid-19, ciężko dostrzec moment, w którym pandemia w całości się zakończy. Jednym z następstw aktualnej sytuacji jest transformacja standardowej formy pracy do takiej realizowanej z zacisza własnego domu. Wiele firm umożliwiło swoim pracownikom pracę zdalną dbając również o zapewnienie odpowiedniego poziomu zabezpieczeń. W wielu przypadkach, model home office okazał się również na tyle optymalny, że prawdopodobnie zostanie z nami na dłużej. O ile nasza sieć i realizowane do niej połączenia to coś o co możemy zadbać (choćby dzięki wdrożeniu UTMa i połączeń przy użyciu VPNa), o tyle jako Administratorzy posiadamy raczej niewielki wpływ na bezpieczeństwo sieci domowych użytkowników. Standardowa sieć domowa to na ogół jeden router z Wi-Fi zabezpieczonym hasłem (oczywiście niezbyt skomplikowanym, tak, żeby łatwo było wpisać je np. przy użyciu pilota naszego smart TV), do którego podłączone są telefony, laptopy, konsole, telewizory i często również różne urządzenia inteligentnego domu. Przy tak skonstruowanej sieci i niskiej jakości zabezpieczeń, nawet niezbyt wprawny cyberprzestępca uzyska dostęp do sieci, a dzięki temu do urządzenia służbowego naszego pracownika. Komunikacja nawet poprzez VPN z poziomu zainfekowanego urządzenia jest już bezpośrednim zagrożeniem dla naszych systemów.

Ewolucja phishingu

Zasada działania ataków phishingowych jest bardzo prosta. Użytkownik nietechniczny dostaje informację, która wymusza na nim pewne działanie, w następstwie którego intruz przejmuje dane o pewnej wartości. Wysoka skuteczność takich ataków, sprawia, że wielu Administratorów stara się podnosić świadomość swoich użytkowników do poziomu, na którym każda próba ataku może być wykryta i skutecznie zablokowana. Pomocne okazują się również systemy antyspamowe, które są w stanie w pewnym zakresie zablokować np. maila z niebezpiecznym załącznikiem. Ale co w sytuacji, w której atak phishingowy nie jest skierowany do dużej grupy odbiorców, a skupia się na niewielkiej liczbie potencjalnych ofiar? Taka, wyrafinowana forma ataku phishingowego, zwana Spear Phishing może być jednym z największych zagrożeń w 2021 roku.

Dane przetwarzane cyfrowo są już standardem w niemal każdej firmie. Niezależnie od branży, w jakiej przedsiębiorstwo funkcjonuje, ciężko wyobrazić sobie skuteczne prowadzenie biznesu bez użycia narzędzi opartych o systemy informatyczne. Każda firma posiada pewną pulę danych o wysokiej wartości. Abstrahując od danych osobowych klientów i pracowników, należy zadbać również o bezpieczeństwo informacji, które mogą wpłynąć na jakość i możliwość realizacji usług. Dla wielu przedsiębiorstw dane osobowe niosą porównywalnie wysoką wartość jak know-how, cenniki, historia współpracy z podwykonawcami czy nawet koncept organizacji poszczególnych usług. Wszystkie te informacje i systemy, które je przetwarzają powinniśmy odpowiednio zabezpieczyć. Rok 2020 pokazuje, że nawet najbardziej nieoczekiwane, globalne wydarzenia nie mają dużego wpływu na tempo rozwoju form i ilości ataków, a mogą jedynie wpłynąć na ich specyfikę. Cyberprzestępstwa stanowią zatem realne zagrożenie, a łatwość w generowaniu kolejnych prób włamań zmusza nas do regularnej weryfikacji zabezpieczeń i inwestycji w rozwój tej części naszego IT.

Norbert Nowak