Bezpieczeństwo

CISCO o bezpieczeństwie komputerowym - ignorujemy alerty bezpieczeństwa (świadomie)

przeczytasz w 5 min.

Każdy z nas wie, że o bezpieczeństwo komputerowe trzeba dbać. Nawet będąc trochę paranoikiem. Jednak nie zawsze wybierane rozwiązania przynoszą odpowiednie skutki, nawet jeśli zamiary były dobre.

Spotkaliśmy się z przedstawicielami firmy Cisco, którzy opowiedzieli nam o aktualnym statusie zagrożeń komputerowego bezpieczeństwa w branży biznesowej, z której działań pośrednio korzysta każdy z nas. Okazja ku temu jest doskonała, bo właśnie minęło 30 lat od stworzenia WWW. By opracować protokoły komunikacji, Tim Berners-Lee wykorzystał komputery NeXT. Bazował na doświadczeniach zebranych prawie dekadę wcześniej w CERN-ie.

Rok przed debiutem WWW świat doświadczył pierwszego cyberataku. Ataku, który nie był zamierzonym działaniem na szkodę, ale ze względu na błędy w procedurze (powielanie zapytań do innych urządzeń), doprowadził do małego paraliżu ówczesnego internetu i stanowi archetyp ataku DDoS. Dziś pojęcie cyberatak jest tak dobrze znane jak pomidor. Jednak tak jak nie każdy wie, że pomidor jest owocem, a nie warzywem, tak nie każdy zdaje sobie sprawę jak wyrafinowane mogą być dziś cyberataki i w jak dużym stopniu potrafimy je ignorować. Oto kilka wniosków, które udało się wynieść ze spotkania z Cisco.

CISCO prelegenci
Mateusz Pastewski i Łukasz Bromirski

Świadome ignorowanie alertów bezpieczeństwa - ogromna skala problemu

Z ignorancją domowych użytkowników w sprawach bezpieczeństwa komputerowego zdążyliśmy się już pogodzić. Większość hołduje zasadzie: „dopóki działa, nie jest źle”. I nie ma co tutaj się obrażać, bo nawet jeśli czujemy się ekspertami w „tych sprawach” to są jeszcze miliony osób, które nie potrafią przekonać się do choćby minimalnego zaangażowania w bezpieczeństwo nie tylko własne, ale i innych użytkowników komputerów.

Gorzej gdy taka lekkomyślność pojawia się w środowisku biznesowym. I niestety nie jest to tylko straszenie, ale fakt. Prawie połowa alertów bezpieczeństwa, które w ciągu dnia pojawiają się na pulpitach administratorów sieci, jest ignorowana. Oczywiście nie jest to brak szacunku do pracy, ale po prostu konsekwencja zbyt małych sił przerobowych, które muszą stawić czoła zbyt dużej liczbie danych. A ponieważ alerty pojawiają się wciąż, to te, które nie zostały od razu rozpatrzone, szybko przestają zaprzątać uwagę administratorów. Często nawet nie podejmują oni analizy problemu, bo „nie maja na to czasu”.

I choć można polemizować, czy faktycznie taki administrator sieci nie dałby rady efektywniej pracować, to informacje jakie napływają ze strony firm dowodzą, że „brak czasu” jest faktem. W Polsce już teraz brakuje kilku tysięcy ekspertów od spraw bezpieczeństwa, a za rok ta liczba sięgnie 10 tysięcy. Wydaje się to dziwne, ale tak jest, w Polsce mimo dużej liczby absolwentów informatyki, musimy stawiać czoła niedostatecznej sile roboczej. Oczywiście taka praca, czyli osoba odpowiedzialna za bezpieczeństwo cyfrowe w firmie, wymaga zaangażowania, ale czyż nie jest tak w przypadku każdego zajęcia.

Co za dużo to niezdrowo, nawet w cyberprzestrzeni

Problemy z odpowiednią klasyfikacją zagrożeń, a co za tym idzie rozwiązywaniem problemów, to w sporej części konsekwencja zbytniej dywersyfikacji dostarczanych rozwiązań bezpieczeństwa. Dziś firmy często korzystają z kilku systemów kontroli, które niekoniecznie ze sobą się dogadują, a już na pewno nie zawsze są zgodne co do wydawanych opinii. Ograniczenie się do rozwiązań oferowanych w ramach jednej platformy z pewnością poprawi bezpieczeństwo, a przy okazji odciąży administratorów.

Z kolei w przypadku sprzętu sieciowego może okazać się, że dywersyfikacja to tylko zewnętrzna powłoka, która ma przykryć faktyczną unifikację. Czyli tę samą elektronikę z tymi samymi lukami, która jednak dystrybuowana jest jako produkty różnych marek. Tę własność wykorzystał na przykład VPNFilter, który w zeszłym roku atakował routery domowe przeróżnych marek.

Sztuczna inteligencja niekoniecznie taka dobra

Dużo złego w kwestii bezpieczeństwa sieci wyrządza sam człowiek począwszy od tak oczywistych rzeczy jak absurdalnie proste hasła, a skończywszy na zbytnim, zdaniem Cisco, komplementowaniem rozwiązań, które mają w sobie pierwiastek Sztucznej Inteligencji.

Niestety, w przypadku systemów bezpieczeństwa komputerowego to żadna Inteligencja, a już na pewno Sztuczna. Nawet odwoływanie się do nauczania maszynowego jest często nadużyciem, w sytuacji gdy za decydowanie odpowiadają tak naprawdę zbiory algorytmów. By efekt ich działania móc nazwać Sztuczną Inteligencją, powinny one zapewniać umiejętność decydowania i oceniania zagrożeń na podstawie aktualnej sytuacji, przy znajomości zagrożeń, ale nie poprzez porównywanie wzorców zachowań z tymi wcześniej nauczonymi. Taka „niby SI” generuje mnóstwo fałszywych alertów (false positives).

Cisco angażuje się w rozwój skutecznych systemów SI, ale nawet ono musi stawiać czoła zagrożeniom, które coraz trudniej odróżnić od standardowych zachowań. Tymczasem wiele firm, których twórcy napisali kilka prostych algorytmów, promują je jako niezwykle zaawansowane rozwiązania pod skrzydłami naprędce stworzonego startupu.

Skutkiem takich działań jest malejące zaufanie środowisk administratorów sieci do technologii, które wiązane są z hasłami SI czy nauczanie maszynowe. Wręcz przeciwnie, takie hasła mają coraz mniejszą siłę przebicia, a inwestycje w związane z nimi produkty są niższe. Szkoda, bo nie każdy produkt jest zły, ale takie są konsekwencje psucia rynku.

Zagrożenia w świecie cyfrowym w 2018 roku

A jakie są największe zagrożenia w dzisiejszym świecie cyfrowym? Czy powinno na tej liście znaleźć się też Ransomware? Ono owszem wciąż daje się we znaki, ale ludzie już zrozumieli, że nie ma sensu płacić, a atakujący zbyt wiele ryzykują.

Głównym wektorem ataku jest poczta email. Niestety, związany z nią phishing to wciąż doskonała metoda na wyłudzenie danych. Oznacza to, że użytkownicy komputerów wciąż są niewystarczająco wyedukowani lub niestety nie potrafią uczyć się na błędach. A cyberprzestępcy nie ułatwiają nam zadania. Przykładem jest wciąż ewoluujący trojan Emotet, który z roku na rok zmienia nieco swoją strategię działania, wykorzystywane techniki ataku i grupy docelowe (sam z siebie jest skomplikowany, gdyż wykorzystuje różnorodne moduły).

W 2018 roku do najczęstszych incydentów bezpieczeństwa zaliczyć należałoby botnety i RAT, czyli zdalnie zarządzane trojany, które znakomicie kompromitują naszą prywatność. Znaczącą rolę odgrywa cryptomining, czyli kopanie cyberwalut na obcych komputerach przy minimalnym wystawieniu się na światło dzienne (koparka może być skryptem wplecionym w witrynę WWW, a my możemy zignorować jej działanie klasyfikując je jako normalną podwyższoną aktywność komputera). Nie jest to działanie szkodliwe dla danych, ale może być obciążające dla firmowego portfela. Kolejne wedle znaczenia są phishing, trojany i trojany bankingowe.

W 2018 roku każdy chyba słyszał o tak zwanym ataku Olympic Destroyer (nazwa wskazuje, że celem była totalna anihilacja infrastruktury olimpijskiej). Wiadomo kto, choć z wiadomych powodów próbuje się to ukryć, sprawił że na pewien czas podczas inauguracji Igrzysk przestało działać Wi-Fi, podmieniona została strona olimpijska, niemożliwe było nawet prawidłowe mierzenie czasów w odbywających się wtedy konkurencjach. A mimo to Cisco chyli czoła przed informatykami, którym udało się dość szybko odtworzyć infrastrukturę i uniknąć blamażu całej imprezy.

Szyfrowanie - rzecz, która służy nie tylko tym dobrym

Jest też inne źródło zagrożeń, które zaskakująco wiąże się z naszym dążeniem do zabezpieczenia komunikacji cyfrowej. Mowa o szyfrowaniu, które samo w sobie jest dobrym rozwiązaniem, ale dobre chęci nie oznaczają, że będzie ona wykorzystywana jedynie w dobrych celach. I tak dla domowego użytkownika, czy pracownika firmy, szyfrowanie to ważna i dobra rzecz, ale z kolei administratorom spędza ono sen z powiek. Bo szyfrowane są nie tylko legitymowane transfery, ale tez komunikacja cyberprzestępców i ich oprogramowania. I jak tutaj wykryć, co jest dobre, a co złe. Cisco chwali się, że jednym z jego priorytetów jest odpowiednie odfiltrowanie tej szkodliwej szyfrowanej komunikacji, i że wychodzi mu to całkiem dobrze. Liczba osób, które odwiedzają cykliczną imprezę Cisco Digital Forum, dowodzi zaufania i zainteresowania w stosunku do tej firmy.

Raport CISO Benchmark Study 2019

Omówienie obecnego statusu zagrożeń komputerowych było jedną z części spotkania. CISCO pochwaliło się też swoimi ostatnimi badaniami CISO (do pobrania ze strony Cisco) czyli wywiadem wśród szefów działów bezpieczeństwa informacyjnego w firmach. Poniżej kilka wniosków.

  • Trend polegający na odchodzeniu od rozwiązań punktowych na rzecz konsolidacji rozwiązań trwa
  • Zespoły, które najbliżej współpracują ze sobą, odnotowują najmniejsze straty. Eliminacja silosów ma pozytywne skutki finansowe:
  • Specjaliści ds. cyberbezpieczeństwa coraz bardziej ufają rozwiązaniom cyberbezpieczeństwa dostarczanym z chmury.
  • “Cyber zmęczenie” – rozumiane jako porzucenie starań, aby pozostać o krok przed cyberprzestępcami - spadło z 46% w 2018 roku do 30% w 2019 roku.
  • Zdaniem wielu CISO, pracownicy/użytkownicy wciąż stanowią najsłabszy punkt systemu zabezpieczeń.
  • Poczta e-mail wciąż jest głownym wektorem cyberataków.
  • Selekcja alertów bezpieczeństwa i niwelowanie skutków ataku pozostaje wyzwaniem.

Zarządzasz bezpieczeństwem w firmie? - 6 ważnych porad

  • Opieranie budżetów cyberbezpieczeństwa na mierzalnych wynikach działań i praktycznych strategiach oraz ocenie ryzyka. Te elementy powinny wpływać na decyzje zakupowe działów IT, kształtowanie strategii oraz podejmowanie decyzji.
  • Istnieją sprawdzone procesy, które organizacje mogą wdrożyć, aby zniwelować ryzyko oraz zakres cyberataków. Przygotuj swoją organizację poprzez praktyczne ćwiczenia, wprowadź rygorystyczne metody śledcze oraz poznaj najbardziej optymalne sposoby przywrócenia stabilnego działania po wystąpieniu cyberataku.
  • Jedynym sposobem, aby zrozumieć rzeczywiste potrzeby związane z cyberbezpieczeństwem jest współpraca pomiędzy poszczególnymi działami: IT, sieciowym, bezpieczeństwa oraz ryzyka/zgodności.
  • Koordynacja reakcji na incydenty z wykorzystaniem różnych narzędzi, aby płynnie przejść od wykrycia do działania przy jednoczesnym ograniczeniu działań manualnych.
  • Połączenie wykrywania zagrożeń z zabezpieczeniami dostępu, aby stawić czoła zagrożeniom wewnętrznym i móc prowadzić politykę Zero Trust.
  • Wprowadzenie szkoleń dotyczących phishingu, wieloetapowa autoryzacja, zaawansowane filtry antyspamowe oraz uwierzytelnianiu DMARC, aby zabezpieczyć się przed atakami typu BEC (Business Email Compromise).

Źródło: Cisco, Inf. własna

Komentarze

1
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Konto usunięte
    0
    cisco nie powiedziało kompletnie niczego mądrego. po prostu powielają to co wszyscy, czyli jest dziursko, łatać. znowu jest to samo dziursko, znowu łatać i tak w kółko.

    nie wiem jak tępym trzeba być, aby być na takim poziomie jak cisco, i nie widzieć że konstrukcja współczesnych systemów operacyjnych jest po prostu do kitu. jest coś takiego jak przydział uprawnień dla zdefiniowanego użytkownika systemu, nawet jeśli jest to użytkownik techniczny. niestety w praktyce mamy ZEROWY poziom przywilejów nadanych aplikacjom.

    prosty przykład, mamy taki Microsoft Word. Dlaczego MS Word ma mieć dostęp do systemu plików? czy to jest uzasadnione tylko tym że MS Word otwiera i zapisuje pliki tekstowe? Moim zdaniem to jest kretyńskie uzasadnienie. Word powinien sie odwołać do mechanizmu systemu pozwalającego na otwarcie pliku, poprzez applet prezentujący wizualnie okno dostępu użytkownikowi. Użytkownik zatwierdza każdorazowo wybór. Teraz to wygląda identycznie. problem w tym, że word może sobie w dowolnym momencie otworzyć dowolny plik, bo ...... ma dostęp do systemu plików w ramach dostępu użytkownika.

    Więc najpierw należy przeprojektować systemy, nadać uprawnienia aplikacjom, umieścić je w sandboxach itp. w takiej konfiguracji nienormalne zachowanie aplikacji jest łatwo wykrywalne, zaś podrzucony zainfekowany plik tekstowy będzie mógł zakazić tylko sam siebie, i tak jest zakażony. reszta jest poza sandboxem, i jest bezpieczna.

    ale tego mechanizmu nie ma ani w windowsie, ani w linuxach. są jedynie tego namiastki w formie aplikacji metro czu aplikacji uniwersalnych w windows, oraz w androidzie. i tyle.

    w przypadku większych systemów jest taki docker czy kubernetes, i masa innych podobnych rozwiązań, gdzie aplikacje są upychane w swoich sandboxach. i to też daje większe bezpieczeństwo, bo w razie jakiegoś skażenia, pada klocek a nie cały system. oczywiście zakładam że sandboxy są szczelne.

    dzięki takim właśnie rozwiązaniom uszczelniamy systemy, bo uprawnienia dla konkretnego procesu w systemie są częścią wspólną uprawnień użytkownika, oraz uprawnień nadanych aplikacji. więc aplikacja może tylko to, na co jej pozwoliliśmy, a nie na wszystko.

    dlatego uważam ten wielki pusty wywód przedstawicieli cisco za zwyczajne pustosłowie. oni przecież bez wykupionego wsparcia, bardzo rzadko wydają aktualizacje do firmware swoich urządzeń. a nawet jeśli, to łatają one najgłośniejsze l