Η έκθεση του 1ου εξαμήνου της Cisco για το 2017, με θέμα την ασφάλεια στον κυβερνοχώρο (Midyear Cybersecurity Report, MCR) αποκαλύπτει την ταχεία εξέλιξη των απειλών και την αυξανόμενη τάξη μεγέθους των επιθέσεων, ενώ παράλληλα προβλέπει δυνητικές επιθέσεις «destruction of service» (DeOS). Οι επιθέσεις αυτές θα μπορούσαν να εξαλείψουν τα εφεδρικά αντίγραφα και τα δίκτυα ασφαλείας των επιχειρήσεων, τα οποία είναι απαραίτητα για την επαναφορά των συστημάτων και δεδομένων μετά από μια επίθεση. Επίσης, καθώς το Internet of Things προελαύνει, οι κύριοι κλάδοι της βιομηχανίας μεταφέρουν όλο και περισσότερες επιχειρησιακές λειτουργίες στο διαδίκτυο, με αποτέλεσμα να αυξάνεται η έκταση η οποία είναι ευάλωτη σε επιθέσεις, καθώς και η δυνητική κλίμακα αλλά και οι επιπτώσεις των απειλών αυτών.
Πρόσφατες επιθέσεις όπως οι WannaCry και Nyetya αποδεικνύουν την ταχεία διάδοση και τις εκτεταμένες επιπτώσεις επιθέσεων οι οποίες μοιάζουν με παραδοσιακό κακόβουλο λογισμικό που ζητά λύτρα (ransomware), αλλά είναι πολύ πιο καταστροφικές. Τα παραπάνω περιστατικά αποτελούν μια πρώτη γεύση αυτού που η Cisco αποκαλεί «destruction of service», τα οποία ενδέχεται να έχουν πολύ πιο βλαβερές συνέπειες, καθώς δεν επιτρέπουν στις επιχειρήσεις να επαναφέρουν την ομαλή τους λειτουργία.
Το Internet of Things εξακολουθεί να προσφέρει νέες ευκαιρίες στους εγκληματίες του κυβερνοχώρου· καθώς τα αδύνατα του σημεία, είναι πλέον εύκολο κάποιος να τα εκμεταλλευτεί, επιτρέποντας την υλοποίηση αυτών των κακόβουλων «εκστρατειών» με διαρκώς αυξανόμενες επιπτώσεις. Σύμφωνα με πρόσφατες δραστηριότητες Botnet στο ΙοΤ, φαίνεται ήδη ότι κάποιοι επιτιθέμενοι ίσως προετοιμάζουν το έδαφος για μια διαδικτυακή απειλή μεγάλου εύρους και σοβαρότατων επιπτώσεων, η οποία θα μπορούσε να προκαλέσει αναταραχές σε ολόκληρο το διαδίκτυο.
Η μέτρηση της αποτελεσματικότητας των πρακτικών ασφαλείας εν όψει αυτών των επιθέσεων είναι ζωτικής σημασίας. Η Cisco παρακολουθεί την εξέλιξη του «χρόνου εντοπισμού» (time to detection, TTD), του χρονικού διαστήματος μεταξύ μιας παραβίασης και της ανίχνευσης της απειλής. Ο μείωση του χρόνου εντοπισμού είναι κρίσιμη για τον περιορισμό του χώρου δράσης των επιτιθέμενων και την ελαχιστοποίηση της ζημιάς από τις εισβολές. Aπό τον Νοέμβριο του 2015, η Cisco έχει μειώσει τον μέσο απαιτούμενο χρόνο εντοπισμού από τις 39 ώρες σε περίπου 3,5 ώρες, στην περίοδο Νοεμβρίου 2016 – Μαΐου 2017. Ο αριθμός αυτός βασίζεται σε στοιχεία προαιρετικής συμμετοχής σε τηλεμετρία, τα οποία συλλέγονται από προϊόντα ασφαλείας της Cisco εγκατεστημένα διεθνώς.
Το τοπίο των απειλών: Τι είναι φλέγον και τι όχι
Οι ερευνητές ασφαλείας της Cisco παρακολούθησαν την εξέλιξη του κακόβουλου λογισμικού κατά το πρώτο εξάμηνο του 2017 και εντόπισαν ορισμένες αλλαγές στον τρόπο με τον οποίο οι αντίπαλοί μας προσαρμόζουν τις τεχνικές διανομής, συγκάλυψης και αποφυγής που χρησιμοποιούν. Συγκεκριμένα, η Cisco παρατήρησε ότι, όλο και συχνότερα, οι αντίπαλοι ζητούν από το θύμα να προβεί σε μια πράξη με την οποία ενεργοποιείται η απειλή, για παράδειγμα να κάνει κλικ σε έναν σύνδεσμο ή να ανοίξει ένα αρχείο. Με τον τρόπο αυτό αναπτύσσεται κακόβουλο λογισμικό που δεν συνδέεται με αρχεία και το οποίο εγκαθίσταται αποκλειστικά στη μνήμη, οπότε είναι ακόμα πιο δύσκολο να ανιχνευθεί ή να ερευνηθεί κατά την επανεκκίνηση μιας συσκευής. Τέλος, οι επιτιθέμενοι βασίζονται σε ανώνυμες και αποκεντρωμένες υποδομές, π.χ. σε υπηρεσία proxy τύπου Tor, έτσι ώστε να αποκρύπτονται οι δραστηριότητες εντολών και ελέγχου.
Αν και η Cisco έχει εντοπίσει μια σημαντική μείωση της χρήσης λογισμικού εκμετάλλευσης κενών ασφαλείας (exploit kit), παρατηρείται αναγέννηση άλλων παραδοσιακών μεθόδων επίθεσης:
- Ο όγκος των ανεπιθύμητων μηνυμάτων (spam) αυξάνεται σημαντικά, καθώς οι αντίπαλοι στρέφονται σε άλλες δοκιμασμένες μεθόδους, όπως το email, για τη διανομή κακόβουλου λογισμικού και τη δημιουργία εσόδων. Οι ερευνητές απειλών της Cisco αναμένουν ότι ο όγκος των ανεπιθύμητων μηνυμάτων με κακόβουλα συνημμένα αρχεία θα εξακολουθήσει να αυξάνεται, ενώ το τοπίο των exploit kit παραμένει ρευστό.
- Προγράμματα υποκλοπής (spyware) ή ανεπιθύμητων διαφημίσεων (adware), τα οποία συχνά περιφρονούν οι επαγγελματίες ασφαλείας, καθώς τα θεωρούν απλώς ενοχλητικά και όχι βλαβερά, είναι μορφές κακόβουλου λογισμικού οι οποίες επιμένουν και μεταφέρουν κινδύνους στην επιχείρηση. Η έρευνα της Cisco, η οποία πραγματοποιήθηκε σε δείγμα 300 εταιρειών και είχε διάρκεια τεσσάρων μηνών, κατέληξε στο συμπέρασμα ότι τρεις προεξάρχουσες οικογένειες λογισμικού είχαν μολύνει το 20% του δείγματος. Σε ένα εταιρικό περιβάλλον, το λογισμικό τύπου spyware μπορεί να υποκλέψει στοιχεία της εταιρείας ή των χρηστών, να αποδυναμώσει την κατάσταση ασφαλείας (security posture) των συσκευών και να αυξήσει τις μολύνσεις από κακόβουλο λογισμικό.
- Άλλες εξελίξεις στον τομέα του λογισμικού που ζητά λύτρα, γνωστού ως ransomware, όπως η άνοδος του Ransomware-as-a-Service, καθιστούν ευκολότερη την υλοποίηση τέτοιων επιθέσεων από τους εγκληματίες, ανεξάρτητα από τις δεξιότητές τους. Το λογισμικό τύπου ransomware, το οποίο αποτελεί πρώτη είδηση τον τελευταίο καιρό, λέγεται ότι έχει αποφέρει ποσά άνω του 1 δισεκατομμυρίου δολαρίων το 2016, ωστόσο αυτό μπορεί να είναι παραπλανητικό για ορισμένους οργανισμούς οι οποίοι αντιμετωπίζουν μια ακόμα μεγαλύτερη απειλή η οποία όμως δεν αναφέρεται συχνά. Η παραβίαση επιχειρηματικών email, μια επίθεση κοινωνικής δικτύωσης κατά την οποία δημιουργείται ένα email που έχει σκοπό να ξεγελάσει τους οργανισμούς προκειμένου να μεταφέρουν χρήματα στους επιτιθέμενους, αποτελεί πλέον έναν ιδιαίτερα προσοδοφόρο τομέα. Σύμφωνα με το Internet Crime Complaint Center, από τον Οκτώβριο του 2013 έως τον Δεκέμβριο του 2016 εκλάπησαν 5,3 δισεκατομμύρια δολάρια εξαιτίας επιθέσεων αυτού του τύπου.
Ξεχωριστοί κλάδοι της βιομηχανίας αντιμετωπίζουν τις ίδιες προκλήσεις
Καθώς οι εγκληματίες προβαίνουν σε διαρκώς ισχυρότερες και πιο εκλεπτυσμένες επιθέσεις, για πολλές επιχειρήσεις σε διάφορους κλάδους είναι πλέον πρόβλημα το να συμβαδίζουν ακόμα και με τις θεμελιώδεις απαιτήσεις ασφάλειας στον κυβερνοχώρο. Καθώς η τεχνολογία της πληροφορίας συγκλίνει με την επιχειρησιακή τεχνολογία για τη δημιουργία του IoT, οι οργανισμοί αντιμετωπίζουν δυσκολίες όσον αφορά την ορατότητα και την πολυπλοκότητα. Στο πλαίσιο της συγκριτικής έρευνάς της σχετικά με τις δυνατότητες ασφαλείας (Security Capabilities Benchmark Study), η Cisco ρώτησε σχεδόν 3.000 υψηλόβαθμα στελέχη ασφαλείας σε 13 χώρες και ανακάλυψε ότι, σε πολλούς κλάδους της βιομηχανίας, οι ομάδες ασφαλείας πραγματικά κατακλύζονται από επιθέσεις. Κατά συνέπεια, πολλές από αυτές τις ομάδες απλώς αντιδρούν εκ των υστέρων σε ζητήματα προστασίας.
- Το ποσοστό τον οργανισμών που ερευνούν τις ειδοποιήσεις ασφαλείας δεν υπερβαίνει τα δύο τρίτα. Σε ορισμένους κλάδους (όπως η υγεία και οι μεταφορές), το ποσοστό αυτό πέφτει στο 50%.
- Ακόμα και στους κλάδους με τον μεγαλύτερο βαθμό απόκρισης (όπως ο χρηματοοικονομικός κλάδος και η υγεία), οι επιχειρήσεις αντιμετωπίζουν μόνο το 50% των απειλών τις οποίες αναγνωρίζουν ως βάσιμες.
- Οι παραβιάσεις κρούουν των κώδωνα του κινδύνου. Στους περισσότερους κλάδους της βιομηχανίας, οι παραβιάσεις οδήγησαν τουλάχιστον σε μέτριες βελτιώσεις της ασφάλειας σε πάνω από 90% των οργανισμών. Ορισμένοι κλάδοι (όπως οι μεταφορές) δείχνουν χαμηλότερη απόκριση, με το αντίστοιχο ποσοστό να φτάνει το 80%.
Σημαντικά ευρήματα ανά κλάδο
- Δημόσιος τομέας – Από τις απειλές που ερευνήθηκαν, το 32% αναγνωρίστηκαν ως βάσιμες, αλλά τελικά επανορθώθηκε μόνο το 47% των βάσιμων απειλών.
- Λιανεμπόριο – Σε ποσοστό 32% οι επιχειρήσεις ανέφεραν ότι το προηγούμενο έτος είχαν χάσει έσοδα λόγω επιθέσεων, ενώ το ένα τέταρτο είχε χάσει πελάτες ή επιχειρηματικές ευκαιρίες.
- Κατασκευή προϊόντων – Το 40% των επαγγελματιών ασφαλείας στον κλάδο κατασκευής προϊόντων δήλωσαν ότι δεν έχουν επίσημη στρατηγική ασφαλείας και δεν ακολουθούν προτυποποιημένες πολιτικές ασφαλείας πληροφοριών όπως π.χ. ISO 27001 ή NIST 800-53.
- Οργανισμοί κοινής ωφελείας – Οι επαγγελματίες ασφαλείας δήλωσαν ότι οι στοχευμένες επιθέσεις (42%) και οι προηγμένες επίμονες απειλές, γνωστές ως APT (40%) αποτελούν τους πιο κρίσιμους κινδύνους ασφαλείας στους οργανισμούς τους.
- Υγεία – Το 37% των οργανισμών στον κλάδο υγείας δήλωσαν οι στοχευμένες επιθέσεις αποτελούν υψηλό κίνδυνο ασφαλείας για τους οργανισμούς τους
Συμβουλές της Cisco προς οργανισμούς
- Για την καταπολέμηση των – όλο και πιο εκλεπτυσμένων – επιθέσεων που παρατηρούνται στις μέρες μας, οι οργανισμοί πρέπει να προβούν έγκαιρα σε ενέργειες προστασίας. Το τμήμα ασφαλείας της Cisco συμβουλεύει:
- Διατηρείτε την υποδομή και τις εφαρμογές σας ενημερωμένες, έτσι ώστε οι επιτιθέμενοι να μην μπορούν να εκμεταλλευτούν γνωστές αδυναμίες
- Καταπολεμήστε την πολυπλοκότητα μέσω ολοκληρωμένης άμυνας. Περιορίστε τις αυτόνομες, απομονωμένες επενδύσεις.
- Εξασφαλίστε από νωρίς τη συμμετοχή των ανωτέρων στελεχών, ώστε να κατανοήσουν πλήρως τους κινδύνους, τις ανταμοιβές και τους περιορισμούς του προϋπολογισμού.
- Καθορίστε σαφή στοιχεία μετρήσεων. Χρησιμοποιήστε τα για την επικύρωση και βελτίωση των πρακτικών ασφαλείας.
- Εξετάστε τις επιλογές ως προς την εκπαίδευση ασφαλείας του προσωπικού: εκπαίδευση βάσει ρόλων ή ίδια εκπαίδευση για όλους.
- Εξισορρόπηση της άμυνας με μια ενεργή απόκριση. Μην ορίζετε ελέγχους ή διαδικασίες ασφαλείας που σε λίγο καιρό θα ξεχάσετε.
Για την έκθεση MCR του 2017 εκλήθησαν να παράσχουν δεδομένα διάφοροι συνεργάτες μας στον τομέα τεχνολογίας ασφαλείας· από αυτά τα δεδομένα καταλήξαμε από κοινού σε συμπεράσματα σε σχέση με το τοπίο των απειλών ασφαλείας. Μεταξύ των συνεργατών που συμμετείχαν στην έκθεση ήταν οι Anomali, Flashpoint, Lumeta, Qualys, Radware, Rapid7, RSA, SAINT Corporation, ThreatConnect και TrapX. Το οικοσύστημα των συνεργατών της Cisco στον τομέα των τεχνολογιών ασφαλείας είναι ένα σημαντικό στοιχείο του οράματος της εταιρείας να παρέχουμε στους πελάτες μας ασφάλεια με τρόπο απλό, ανοικτό και αυτοματοποιημένο.