Jak informują eksperci z laboratorium Kaspersky Lab zajmującego się bezpieczeństwem komputerowym, nawet mało wyrafinowane ataki na korporacyjne sieci mogą zakończyć się powodzeniem i to bez konieczności inwestowania przez cyberprzestępców w kosztowne oprogramowanie. Takie wnioski wyciągnięto wspólnie z Outpost24 po przeprowadzanym audycie bezpieczeństwa w europejskich organizacjach.
Zdaniem ekspertów, obecnie cyberprzestępcy w dalszym ciągu wykorzystują znane luki w zabezpieczeniach. To skutek powolnego ich łatania, szacuje się, że średni czas załatania błędu w zabezpieczeniach wynosi od 60 do 70 dni, a to już wystarczy, aby wykonać zaplanowany atak.
Niestety bardzo często krytyczne luki w zabezpieczeniach są naprawiane w ciągu trzech miesięcy. Jednak około 77% zagrożeń, które przekroczyły ten trzymiesięczny termin, było nadal obecne w systemie po upłynięciu roku od ich wykrycia. Podczas badania zebrano dane dotyczące luk w zabezpieczeniach pochodzących z 2010 roku i znaleziono nawet takie systemy, które były narażone na ataki przez ostatnie trzy lata. Co ciekawe, niektóre systemy korporacyjne pozostawały niezałatane przez dziesięć lat, mimo że firmy płaciły za specjalną usługę monitorowania ich bezpieczeństwa.
Po dokonaniu wstępnej analizy, David Jacoby - starszy specjalista ds. bezpieczeństwa z firmy Kaspersky Lab, postanowił przeprowadzić eksperyment socjotechniczny, aby sprawdzić, jak łatwo można podłączyć pamięć USB do komputerów w instytucjach rządowych, hotelach i prywatnych firmach.
W tym celu ubrany w garnitur zabrał ze sobą pamięć USB zawierającą jedynie jego życiorys w formacie PDF i wyruszył pytać personel w recepcjach 11 organizacji, czy mogłyby pomóc mu wydrukować dokument na umówione spotkanie w zupełnie niepowiązanym miejscu z daną organizacją.
Grupa poddana audytowi bezpieczeństwa objęła trzy hotele z różnych sieci, sześć organizacji rządowych oraz dwie duże prywatne firmy. Na komputerach znajdujących się w organizacjach rządowych przechowywane są zwykle poufne informacje dotyczące obywateli, podczas gdy maszyny zlokalizowane w największych prywatnych firmach najprawdopodobniej zawierają połączenia sieciowe z innymi firmami, natomiast hotele to miejsca, w których często zatrzymują się podczas podróży dyplomaci, politycy i dyrektorzy najwyższego szczebla.
Jak się okazuje, tylko jeden z hoteli zgodził się podłączyć urządzenie Davida do swojego komputera, pozostałe dwa odmówiły. Co ciekawe wszystkie prywatne firmy również odrzuciły jego prośbę. Jednak z sześciu odwiedzonych organizacji rządowych aż cztery podjęły się próby pomocy Davidowi, podłączając jego pamięć USB do komputera. W dwóch przypadkach port USB był zablokowany, więc personel poprosił go, aby wysłał plik za pośrednictwem poczty e-mail.
„Zaskakujący jest fakt, że hotele i prywatne firmy wykazywały większą świadomość i posiadały lepsze standardy bezpieczeństwa niż organizacje rządowe. Na podstawie tego bezpośredniego doświadczenia można stwierdzić, że rzeczywiście istnieje problem. Przeprowadzony przez nas audyt bezpieczeństwa można odnieść do każdego kraju, ponieważ czas, jaki upływa od wykrycia luki w zabezpieczeniach do załatania jej, istnieje wszędzie, w każdym kraju. Wynik mojego eksperymentu z pamięcią USB to również sygnał alarmowy pokazujący, że wdrożenie nowoczesnego rozwiązania bezpieczeństwa to nie wszystko - równie istotne znaczenie ma poinstruowanie personelu, że należy zachować rozwagę” – powiedział David Jacoby, starszy specjalista ds. bezpieczeństwa, Globalny zespół ds. badań i analiz (GReAT), Kaspersky Lab.
„Smutne jest to, że firmy tracą cenne zasoby na ochronę przed potencjalnymi zagrożeniami przyszłości, podczas gdy nadal nie potrafią poradzić sobie z obecnymi i starymi rodzajami ataków. Czy problemem jest stosowanie nieodpowiednich praktyk bezpieczeństwa, źle skonfigurowane aplikacje czy personel, któremu brakuje szkolenia z zakresu bezpieczeństwa, firmy powinny mieć świadomość, że można przejąć kontrolę nad większą częścią organizacji nawet bez stosowania nowych i wyrafinowanych metod. Dlatego istotna jest zmiana podejścia do bezpieczeństwa – zrezygnowanie z samodzielnych narzędzi na rzecz zintegrowanych rozwiązań w ramach procesów biznesowych” – powiedział Martin Jartelius, główny specjalista ds. bezpieczeństwa w Outpost24.
Źródło: Kaspersky Lab, nsslabs
