Ewolucja cyberbezpieczeństwa

Dla wielu osób słowo „wirus” wciąż pozostaje najniebezpieczniejszą częścią zagrożeń czyhających na ich komputery – zarówno prywatne, jak i służbowe – w Sieci. Tymczasem, typowe wirusy stanowią obecnie zaledwie kilka procent niebezpieczeństw płynących z sieci. Klasyczne wirusy często nie stanowią już większego zagrożenia.

autor: Krzysztof Hałgas

W ostatnich latach na rynku IT można zaobserwować szereg trendów, które w znacznym stopniu go przedefiniowały. Dla przykładu, konwergencja sieci w połączeniu z procesami cyfryzacji oraz deregulacji prawnych, wywołały transformację szeregu obszarów gospodarki i włączenie ich w obszar rynku IT. Wymienić tu można takie zjawisko jak np. Triple Play, które w wypadku usług telekomunikacyjnych łączy w pakiecie „Internet, telefon i telewizję” czy inteligentne sieci elektroenergetyczne (Smart Grid) mające na celu m.in. optymalizację i obniżenie kosztów dostarczania celu elektrycznej. Z drugiej strony, konsumeryzacja rynku IT i postępujący wraz z nią powszechny dostęp do urządzeń mobilnych takich jak tablety czy smartfony, zainicjowały lawinowe powstanie różnych usług IT, które do tej pory w ogóle nie były dostępne na rynku.

Wszystkie te czynniki, w ostatnich latach spowodowały gwałtowny rozwój centrów danych i wysyp nowych serwisów i usług, które na szeroką skalę zaczęły być oferowane poprzez chmurę, zarówno publiczną, hybrydową czy prywatną, w bardzo elastycznym i efektywnym kosztowo modelu SaaS (Software as a Service). Dzięki temu na rynku pojawiło się oprogramowanie dostępne jako usługa w modelu subskrypcyjnym. W ślad za tym klienci otrzymali możliwość użytkowania aplikacji sieciowych, które umożliwiały, nie tyle ich posiadanie, ale, w zależności od potrzeb, jego użytkowanie i wykorzystywanie firmowych danych przez pracowników, pracujących często na własnym sprzęcie z wielu różnych lokalizacji. To wszystko, wraz z postępującym trendem wirtualizowania istniejących zasobów, i to nie tylko w sferze serwerów, ale przede wszystkim w zakresie sieci czy pamięci masowych, spowodowało, że środowiska IT stały się o wiele bardziej rozproszone, a co za tym idzie wystawione na potencjalne niebezpieczeństwo.

Zagrożenia

Obecnie do najważniejszych zagrożeń zaliczyć możemy rootkity – bardzo trudne do usunięcia kody złośliwego oprogramowania zaprojektowane specjalnie do ukrywania się na komputerze ofiary i umożliwienia atakującemu zainstalowania szeregu narzędzi gwarantujących zdalny dostęp do zasobów celu ataku. Kolejnym typem ataków, są ataki typu „phishing”, gdzie napastnik podszywając się pod realne adresy WWW „łowi” (stąd ich nazwa) ofiarę, która po kliknięciu zostaje np. przekierowana na wyglądającą na „dobrą” stronę kontrolowaną przez hakera.

Współczesne trendy wyznaczające kierunek zmian związanych z technologiami informatycznymi, zostały zdefiniowane jeszcze w latach 60. przez Gordona Moore’a, jednego z założycieli firmy Intel, który stwierdził, że ilość mocy obliczeniowej w procesorach podwaja się co około 18 miesięcy. Z kolei Robert Metcalfe, jednego z twórców protokołu Ethernet, wskazał, że użyteczność sieci będzie wzrastała wprost proporcjonalnie do liczby jej węzłów.

Bardzo niebezpieczne są ataki dnia zerowego wykorzystujące lukę czasową pomiędzy odkryciem podatności przez atakującego i wykorzystaniem jej do przeprowadzenia ataku, a wykryciem jej przez producentów oprogramowania, w której wystąpiła ta podatność lub producentów oprogramowania zabezpieczającego (antywirusowego). Atakowane aplikacje bardzo często bazują na technologii flash, Java i Active-X, które to środowiska pozwalają uruchomić obcy kod w środowisku systemu operacyjnego użytkownika.

Motyw – pieniądze

Nie ma co się oszukiwać, obecnie najczęstszą motywacją ataków są po prostu pieniądze, pieniądze i jeszcze raz pieniądze. Zagrożone są wszystkie obszary rynku IT. Użytkownicy domowi najczęściej tracą dane osobowe, hasła i loginy. W wypadku małych i średnich firmy, gdzie oprócz powyższych, celem ataków są również dane finansowe, numery kart kredytowych, dane dostępowe do aplikacji. Z kolei sektor przedsiębiorstw staje się dodatkowo również celem ataków kierunkowych, np. skoncentrowanych na zdobyciu danych objętych tajemnicą handlową czy zablokowaniem działania domen, poczty czy aplikacji. Ma to na celu wymuszenie opłaty dla atakującego lub wygenerowanie straty finansowej u potencjalnej ofiary.  Celem hakerów padają również organizacje międzynarodowe czy rządowe, gdzie często celem jest cybersabotaż, szpiegostwo lub haktywizm, czyli wywołanie szkody przez hakerów działających z pobudek politycznych.

W Polsce w ciągu ostatnich lat ilość ataków znacznie się nasiliła. Mamy do czynienia z lawinowo wzrastającą liczbą ataków phishingowych, np. na polski sektor bankowy, firmy z sektora ubezpieczeniowego czy wykorzystujących popularność aplikacji społecznościach, gdzie poprzez taką działalność hakerzy wykradają dane osobowe użytkowników, ich hasła i loginy i oferują je na czarnym rynku w formie baz danych. Jednym z częstszych możliwości dotarcia do potencjalnej ofiary jest spam, który wciąż utrzymuje się na bardzo wysokim poziomie i pozostaje ważnym nośnikiem innych, bardziej zaawansowanych zagrożeń takich jak spyware, rootkity, phishingi, itp.

Inną możliwością dotarcia do celu, wykorzystywaną przez hakerów, szczególnie do ataków sprofilowanych lub prowadzonych na zamówienie, jest inżynieria społeczna, oparta na wykorzystywaniu mediów społecznościowych oraz innych narzędzi komunikacji do dotarcia do określonego celu ataku i wykorzystania jego podatności. Te trendy z pewnością będą się utrzymywać w najbliższych latach. Fundacja Bezpieczna Cyberprzestrzeń (Cybersecurity.org) w swoim raporcie na temat bezpieczeństwa cybernetycznego w 2015 roku przewiduje, że najbardziej zagrożone będą platformy Android a najczęstszą techniką ataku będzie phishing oraz eksploatacja podatności aplikacji i ataki typu „zero-day”.

Obrona

Oczywiście, wszystkie powyższe zagrożenia, i nie tylko one, sprawiają, że administratorzy IT muszą dobrze zaprojektować system bezpieczeństwa dla swojej organizacji. W tym miejscu warto zaznaczyć, że nie ma systemów gwarantujących w stu procentach bezpieczeństwo, natomiast zawsze możemy  efektywnie zminimalizować możliwość powstania szkody stosując się do kilku podstawowych zasad. Przede wszystkim ważne jest używanie systemu operacyjnego posiadającego wsparcie producenta oraz bieżące aktualizowanie zarówno systemu jak i aplikacji działających w naszej sieci.

Kluczowe znaczenie ma używanie rozwiązania antymalware/antywirus działającego nie na podstawie sygnatur, które opisują tylko znane kody złośliwego oprogramowania, ale przede wszystkim oprogramowania opartego o analizę zachowań, tzw. heurystyk, dającego możliwość przetestowania podejrzanego kodu w lokalnym „sandboxie” – bezpiecznym wirtualnym środowisku działającym w ramach agenta (programu) na urządzeniu. Wykorzystywane rozwiązanie powinno mieć możliwość korzystania z szerokiej bazy reputacyjnej w czasie rzeczywistym oraz mieć możliwość kontroli aplikacji/procesów i przywracania systemu do stanu sprzed infekcji w przypadku jej wystąpienia.

Kolejnym segmentem bezpieczeństwa powinien być aplikacyjny firewall oraz filtr stron WWW, co pozwoli nam kontrolować dostęp do zasobów wewnątrzfirmowych na podstawie określonych polityk bezpieczeństwa, kategoryzować strony WWW i jednostkowo kontrolować dostęp użytkowników do aplikacji sieciowych, stron WWW, komunikatorów czy mediów społecznościowych.

Każda organizacja powinna również wykorzystywać zaawansowane rozwiązanie antyspamowe, które poza korzystaniem z czarnych list czasu rzeczywistego umożliwiają weryfikowanie treści wiadomości e-mail i ich załączników. Istotna jest tutaj też  ochrona przed wpisaniem naszego serwera poczty na listy RBL (Real Black List) w przypadku zainfekowania naszej firmowej sieci przez hakerów kontrolujących sieci bot, których celem jest rozsyłanie spamu lub phishingu (np. do wszystkich adresów e-mail znajdujących się na zainfekowanym serwerze poczty). Dodatkowo, każde urządzenie klienckie powinno mieć zainstalowane oprogramowanie dające możliwość śledzenia zmian na urządzeniu i kontroli jego portów, co pozwoli nam na dalszą minimalizację potencjalnych szkód poprzez ograniczenie dostępu do urządzenia oraz, w przypadku wystąpienia szkody, pozwoli odtworzyć ciąg zdarzeń prowadzących do jego wystąpienia – tak aby móc wystąpić o odszkodowanie bądź zabezpieczyć się lepiej na przyszłość.

Edukacja

Mimo zastosowania nawet najnowocześniejszych technologii zabezpieczających, źródłem szkody bardzo często jest brak określonych procedur bezpieczeństwa w firmie oraz niefrasobliwa działalność niewyedukowanych pracowników. Zanim więc przystąpimy do implementacji poszczególnych segmentów architektury bezpieczeństwa, powinniśmy przede wszystkim wyselekcjonować wrażliwe obszary sieci i dane, które powinny być szczególnie chronione. Następnym krokiem jest stworzenie odpowiednich procedur bezpieczeństwa związanych z zasadami dostępu do obszarów sieci, narzędzi pracy, aplikacji, stron WWW czy mediów społecznościowych. Należy precyzyjnie określić możliwość dostępu do danych wrażliwych przez poszczególne osoby lub grupy osób, jak również opisać politykę korzystania z firmowej poczty e-mail. Końcowym elementem wdrażania systemu bezpieczeństwa powinno być szkolenie pracowników.

Działy IT powinny też zadbać o to, aby każdy z pracowników przeszedł cykl szkoleń związanych z użytkowanymi przez nich aplikacjami, sprzętem firmowym, zasadami pracy z danymi przechowywanymi na urządzeniach przenośnych i dyskach sieciowych, mediami społecznościami, komunikatorami czy zasadami użytkowania poczty e-mail. Różne badania dowodzą, że odpowiednio przeszkoleni pracownicy mogą zmniejszyć podatność naszej firmowej sieci na wystąpienie szkody nawet o 50% – stąd nawet proste rady takie jak: „nie otwieraj wiadomości od niezaufanych dostawców” czy „nie wysyłaj danych poufnych w wiadomościach e-mail” pozwolą nam wykorzystać dodatkową warstwę ochrony, opartą na wiedzy użytkowników. Co więcej, edukacja pracowników może zabezpieczyć cenne dane, nawet w przypadku, gdy zawiodą wszystkie inne zaimplementowane rozwiązania bezpieczeństwa IT.