Warszawa, 7 sierpnia 2014r. – Najnowszy raport Cisco 2014 Midyear Security Report prezentuje wyniki analizy poziomu bezpieczeństwa korporacyjnych systemów IT i ujawnia ich najsłabsze elementy, które powodują dynamiczny wzrost cyberzagrożeń. Do owych najsłabszych elementów wykorzystywanych przez cyberprzestępców eksperci Cisco zaliczają przede wszystkim przestarzałe oprogramowanie, źle zaprojektowany kod aplikacji, porzuconą cyfrową własność oraz błędy popełniane przez użytkowników.
Elementy te umożliwiają cyberprzestępcom wykorzystanie luk w systemach IT przy zastosowaniu takich metod jak zapytania DNS, zestawy eksploitów, kompromitacja systemu w punkcie sprzedaży (POS, point-of-sale), malvertising, ransomware, infiltracja protokołów szyfrowania, inżynieria społeczna i spam dotyczący „wydarzeń z życia”.
Według autorów raportu, wielu użytkowników koncentruje się na eliminowaniu najgroźniejszych słabości systemów i aplikacji lekceważąc standardowe, powszechnie znane luki, co w efekcie powoduje, że poziom zagrożeń w praktyce rośnie.
Cyberprzestępcy zwiększają liczbę ataków na przestarzałe aplikacje i obsługujące je elementy infrastruktury, które nie mają znaczenia krytycznego dla działania firm. Wykorzystując znane luki i słabości oprogramowania są oni w stanie uniknąć wykrycia ataku przez specjalistów ds. bezpieczeństwa, którzy koncentrują się na eliminacji największych i najpoważniejszych zagrożeń, takich jak choćby Heartbleed.
Podstawowe wnioski z raportu
Analizy zawarte w raporcie Cisco Midyear Security Report zostały oparte na szczegółowych badaniach 16 międzynarodowych korporacji, które w 2013 roku wykazały przychody o łącznej wartości ponad 300 miliardów dolarów oraz dysponowały aktywami przewyższającymi 4 biliony dolarów. Z analiz tych wynikają trzy najważniejsze wnioski dotyczące wpływu złośliwego ruchu w sieci na bezpieczeństwo systemów firmowych:
- Ataki typu MiTB (Man-in-The-Browser) są dużym zagrożeniem dla korporacji: blisko 94% sieci firmowych analizowanych w pierwszej połowie 2014 roku obsługiwało ruch do stron webowych zawierających złośliwy kod. Chodzi tu o zapytania kierowane do serwerów DNS o nazwy serwerów webowych, których adresy IP zostały zidentyfikowane jako związane z dystrybucją takich rodzin szkodliwego oprogramowania jak Palevo, SpyEye lub Zeus, wykorzystujących funkcje MiTB.
- Ukryte botnety: blisko 70% sieci wykonuje zapytania DNS dotyczące dynamicznych nazw domen (Dynamic DNS Domains). Oznacza to, że systemy te są nieprawidłowo wykorzystywane lub zawierają komputery należące do sieci botnet i zainfekowane przez oprogramowanie, które stosuje mechanizm DDNS do zmiany rzeczywistego adresu IP i uniknięcia w ten sposób wykrycia przez systemy zabezpieczeń. W firmach, zewnętrzne połączenia DDNS są potrzebne i stosowane bardzo rzadko, najczęściej jest to komunikacja z serwerami C&C (Command & Control) sterującymi botnetem, a ukrywanie adresów IP ma na celu utrudnienie lokalizacji botnetu.
- Szyfrowanie wykradanych danych: w 44% badanych w 2014 roku przez Cisco sieciach dużych firm generowane były zapytania DNS dotyczące stron WWW lub domen, które oferują usługi szyfrowania transmisji danych. Wiadomo, że cyberprzestępcy wykorzystują techniki eksfiltracji kradzionych danych przy wykorzystaniu szyfrowanych kanałów takich, jak VPN, SSH, SFTP, FTP i FTPS by uniknąć detekcji przez systemy wykrywające włamania i blokujące wycieki informacji.
Inne ważne wnioski z raportu:
– Liczba pojawiających się eksploitów zmniejszyła się o 87% od czasu, gdy w ubiegłym roku aresztowany został haker podejrzewany o stworzenie bardzo popularnego zestawu eksploitów Blackhole. W pierwszej połowie 2014 roku pojawiło się przynajmniej kilkanaście nowych, które starają się zastąpić Blackhole, ale na razie brak jest wśród nich zdecydowanego lidera.
– Język Java wciąż utrzymuje swoją niechlubną pozycję lidera wśród języków programowania najczęściej wykorzystywanych do tworzenia szkodliwych programów. Analitycy Cisco twierdzą, że udział eksploitów Java wśród wszystkich wskaźników IOC (Indicators Of Compromise – oznaka, że system został zainfekowany) wzrósł w maju 2014 roku do poziomu 93% (w porównaniu z 91% w listopadzie 2013, o czym informował Cisco 2014 Annual Security Report).
– Niezwykły wzrost zagrożeń dotyczących branż specjalistycznych. W pierwszej połowie 2014 roku wśród trzech najbardziej zagrożonych przez ataki branż ponownie znalazł się bardzo dochodowy przemysł farmaceutyczny i chemiczny. W pierwszej trójce jest też branża medialna i wydawnicza, która w porównaniu do globalnej średniej jest 4-krotnie bardziej narażona na ataki, a także przemysł lotniczy (2-krotnie bardziej narażony na ataki niż wynosi globalna średnia).
Gaweł Mikołajczyk, ekspert ds. bezpieczeństwa, Cisco Poland: Wiele firm wprowadza innowacje opierając przyszłość biznesu o Internet. By odnieść sukces w tym szybko rozwijającym się środowisku, dyrektorzy tych firm muszą nauczyć się kontrolować i zarządzać, w sensie biznesowym, ryzykiem związanym z cyberzagrożeniami. Analiza i zrozumienie słabości systemu zabezpieczeń zależy od świadomości istniejących cyberzagrożeń na poziomie zarządu firmy i jej dyrektorów na najwyższych szczeblach. Bezpieczeństwo to obecnie nie technologia, ale proces biznesowy. By efektywnie przeciwstawić się skutkom ataków w każdej ich fazie (przed, w trakcie i po), firmy muszą korzystać z rozwiązań działających w każdym miejscu systemu, gdzie zagrożenie może się ujawnić.
Cisco Secure 2014
Zagadnienia przedstawione w najnowszym raporcie Cisco Midyear Security Report oraz inne ważne kwestie dotyczące cyberbezpieczeństwa i najnowsze trendy w walce z cyberzagrożeniami będą szerzej omawiane podczas kolejnej edycji konferencji Cisco Secure, która w dniach 7–8 października odbędzie się w Warszawie.
Informacje o raporcie
Raport Cisco 2014 Midyear Security Report prezentuje wyniki analizy trendów dotyczących bezpieczeństwa i jego zagrożeń obserwowane w pierwszej połowie 2014 roku przez ekspertów działających w ramach stworzonego przez Cisco ekosystemu CSI (Collective Security Intelligence), zapewniającego wiodący w branży poziom skuteczności w walce z cyberzagrożeniami.
Działanie ekosystemu CSI jest wspierane nie tylko przez specjalistów zajmujących się bezpieczeństwem, ale również inteligentną infrastrukturę, funkcje telemetryczne zintegrowane z produktami i usługami Cisco oraz analizę informacji publicznych, prywatnych i udostępnianych przez społeczność open source.
W skład CSI wchodzi nowo utworzona grupa Talos Threat Intelligence and Research Group, która połączyła działające wcześniej niezależnie zespoły Cisco TRAC (Threat Research and Communications), Sourcefire VRT (Vulnerability Research Team) oraz Cisco SecApps (Security Applications).
Doświadczenia i ekspertyza Talos obejmuje tworzenie bezpiecznego oprogramowania, inżynierię odwrotną, analizę luk i błędów oprogramowania, badanie złośliwego kodu oraz inteligentne zbieranie informacji o zagrożeniach przy wykorzystaniu reguł zdefiniowanych przez Snort.org, ClamAV, SenderBase.org i SpamCop.
Dodatkowe źródła informacji:
- Pełny raport Cisco Midyear Security Report: http://www.cisco.com/web/offers/lp/midyear-security-report/index.html
- Wideo: John N. Stewart, Chief Security Officer Cisco, o pięciu najważniejszych wnioskach wynikających z Midyear Security Report: https://www.youtube.com/watch?v=CRDtd6MVqdU