Zranitelnost Heartbleed, jedna z největších bezpečnostních hrozeb loňského roku, je stále aktuálním problémem. Přes 56 procent firem totiž stále používá knihovny OpenSSL starší než 50 měsíců obsahující tuto bezpečnostní chybu. Zjistil to pravidelný výzkum Cisco Annual Security Report. Přesto si tři čtvrtiny IT ředitelů myslí, že jejich bezpečnostní politiky jsou nastaveny efektivně.

Nepoučení či nezodpovědní uživatelé byli dlouho považováni za největší hrozbu pro kybernetickou bezpečnost ve firmách. Výsledky pravidelné studie Cisco Annual Security Report ovšem naznačují, že stejně velkým nebezpečím mohou být IT profesionálové. Ti totiž často zanedbávají pravidelné aktualizace bezpečnostních záplat a tím otevírají dveře internetovým útočníkům. Ti k útokům využívají právě známých bezpečnostních chyb, používání starých verzí programů, ovladačů či knihoven tak může znamenat riziko velkých ztrát.

Hlavní zjištění

·         59 % IT ředitelů (CIO) považuje bezpečnostní procesy ve své společnosti za optimalizované. Souhlasí s nimi 46 % bezpečnostní specialistů

·         Přitom však 56 % firem stále používá knihovny OpenSSL starší než 50 měsíců a jsou tak stále ohroženy chybou Heartbleed

·         Pouhých 10 % uživatelů Internet Exploreru používá jeho nejnovější, nejlépe zabezpečenou verzi

·         Množství spamů se mezi lednem a listopadem 2014 celosvětově zvýšilo o 250 %

·         31 % útoků využívá známé zranitelnosti v Internet Exploreru, 19 % útoků připadá na produkty Adobe

·         Počet útoků prostřednictvím Javy poklesl o 34 %, naopak Silverlight zaznamenal nárůst o 228 %

·         Počet exploit kitů poklesl od zatčení tvůrce exploit kitu Black Hole Paunche o 88 %

Přestože o bezpečnostní chybě Heartbleed bylo jen v českých médiích napsáno přes 300 článků a vyhledávač Google nabídne více než 1 000 výsledků, firmy před touto hrozbou nejsou zdaleka v bezpečí. Jak ukazují výsledky pravidelného výzkumu Cisco Annual Security Report 2015, 56 procent firem používá stále zastaralé knihovny OpenSSL obsahující toto bezpečnostní slabé místo. Je to jako kdyby nechali bezpečnostní specialisté kybernetickým útočníkům otevřené vstupní dveře a ještě jim na ně nalepili všechny vstupní kódy a hesla.

„Mezi kybernetickými útočníky a bezpečnostními specialisty probíhá nekončící souboj,“ říká Ivo Němeček, generální ředitel společnosti Cisco ČR. „Útočníci používají stále důmyslnější metody útoku. Dříve používané metody obrany dnes proti profesionálním zločincům nefungují. S trochou nadsázky lze říci, že každá firma již ve skutečnosti napadena byla, jen některé o tom ještě nevědí. Efektivní obrana musí fungovat nejen před útokem, v jeho průběhu, ale i po něm. Důležitým úkolem je minimalizovat škody při takovém napadení,“ dodává Ivo Němeček.

„Porozumět chování malwaru poté, co pronikne do zákaznické sítě, je čím dál tím důležitější. Cisco v současné době vyvíjí pokročilé technologie schopné z pozorování chování sítě detekovat přítomnou nákazu v čase mezi proniknutím malwaru do systému a způsobením škody”, doplňuje Michal Pěchouček, ředitel pražského výzkumného centra firmy Cisco ČR.

Cisco Annual Security Report tak ukazuje stále se rozšiřující mezeru mezi bezpečnostními politikami firem a skutečnými činy IT specialistů na kybernetickou bezpečnost. Nejde totiž jen o Heartbleed. Velmi podobná situace je například i u internetových prohlížečů, které jsou pro celou řadu uživatelů každodenním pracovním nástrojem. Ať už pro přístup k běžným internetovým stránkám, tak ke stále populárnějších cloudovým službám a aplikacím. Podle výsledků studie je pouhých 10 procent přístupů k internetovým stránkám z nejnovější verze prohlížeče Internet Explorer.

Útočníkům pomáhají sami uživatelé

Nejčastěji využívaná verze je přitom starší než 31 měsíců, což znamená, že stále obsahuje bezpečnostní hrozby, které jsou útočníkům dávno známy, a které v novějších verzích výrobce odstranil. Výrazně lepší situace je v případě prohlížeče Google Chrome. Protože tento prohlížeč má nastaveny automatické aktualizace, celých 64 procent přístupů na internet je z jeho nejnovější verze.

To je velmi důležité, protože kybernetičtí zločinci částečně mění taktiku. Nechali se inspirovat podobným modelem, jaký používají někteří výrobci software, kteří poskytnou základní program zdarma a zpoplatňují jen pokročilé funkce. Kybernetičtí útočníci se tak již nesnaží vydělat hodně peněz jedním velkým útokem, ale spoléhají spíše na velké množství napadených uživatelů, prostřednictvím jejichž prohlížečů mohou vést další útoky nebo získávat postupně obchodovatelné informace či data. Tvůrci malwaru využívají například webové doplňky jako prostředek pro šíření škodlivého softwaru a nevyžádaných aplikací. Tato taktika ze strany útočníků se ukázala jako úspěšná, protože uživatelé doplňkům důvěřují nebo je považují za naprosto neškodné. Nevědomky si tak sami nainstalují škodlivý software.

„Kyberzločincům pomáhají uživatelé, kteří jim často nevědomky otevřou dveře ke kybernetickému útoku,“ varuje Ivo Němeček a dodává: „Útočníci často využívají serverů s dobrou reputací či důvěryhodných e-mailových adres k tomu, aby oklamali i obezřetné uživatele. Pokud navíc IT odborníci podcení aktualizace a instalace bezpečnostních záplat, mají útočníci velmi ulehčenou cestu.“

Cisco Annual Security Report ukazuje, že tato taktika se projevuje například u rozesílání spamů. Místo jednoho napadeného serveru používají dnešní kyberzločinci tak zvanou sněžnicovou taktiku (Snowshoe spam). Spamy tak posílají z obrovského množství napadených počítačů s velkým počtem IP adres, což znesnadňuje jeho správnou detekci. Navíc jsou útočníci schopni spamovou zprávu automaticky měnit, aby oklamali spamové filtry. Podařilo se zaznamenat až 95 různých variant stejné spamové zprávy.

Škodlivé e-maily často obsahují nebezpečné přílohy, útočníci přitom zneužívají identitu důvěryhodných odesílatelů nebo se nebezpečný obsah snaží maskovat jako důvěryhodný. Právě tyto útoky podtrhují důležitost pravidelných aktualizací. Útočníci k nim využívají známé zranitelnosti v programech od společnosti Adobe, na které připadá 19 procent útoků, téměř ve třetině případů pak využívají chyb v prohlížeči Internet Explorer.

Ačkoli objem spamu nedosahuje rekordních hodnot z minulých let, Cisco Annual Security report ukazuje varovný trend. Množství spamu se jen mezi lednem a listopadem loňského roku zvýšilo o 250 procent. Zdá se, že sněžnicová taktika je tedy poměrně účinnou zbraní v souboji s bojovníky proti kybernetickým hrozbám.

Falešný pocit bezpečí

Kybernetičtí útočníci mohou těžit z toho, že jak manažeři, tak jednotliví uživatelé, ale také IT odborníci jsou často ukolébáni falešným pocitem bezpečí. Spoléhají na to, že jimi nastavené bezpečnostní politiky je spolehlivě ochrání před kybernetickým zločinem. Přestože výsledky Cisco Annual Security Report naznačují řadu velmi znepokojujících skutečností, souběžně prováděná studie Security Capabilities Benchmark Study odhaluje, že i odborníci riziko napadení podceňují.

Z výsledků této studie vyplývá, že 59 procent IT ředitelů považuje bezpečností procesy ve své firmě za optimalizované, stejného názoru je i 46 procent bezpečnostních specialistů. Alarmujícím zjištěním může být, že uživatelů, kteří instalují bezpečnostní opravy, není ani polovina. Přitom by tak mohli zabránit narušení bezpečnosti nebo alespoň útočníkům značně znepříjemnit práci.

Odpovědi ukazují, že velké a středně velké organizace jsou na tom se zabezpečením o něco lépe a využívají sofistikovanější postupy. Nejspokojenější s bezpečnostními procesy ve firmě jsou zástupci z oblastí technické infrastruktury a telekomunikací (62 procent). O něco méně spokojení jsou účastníci z vládních (52 procent) a finančních (50 procent) institucí.

„Studie poukazuje na zajímavý paradox. Zdá se, že rozhodně neplatí, že s větším počtem bezpečnostních specialistů roste i spolehlivost obrany proti kybernetickým útokům. Naopak se ukazuje, že středně velké firmy mohou mít bezpečnostní politiky propracovanější a lépe nastavené, než ty úplně největší společnosti,“ podotýká Ivo Němeček.

Více jak polovina z dotázaných souhlasí, že jejich bezpečnostní infrastruktura je neustále vylepšována a jsou přesvědčeni, že používají nejnovější dostupné verze softwaru. Třetina respondentů uvádí, že pravidelně upgradují, ale přiznávají, že jejich nástroje nemají nainstalovanou vždy aktuální verzi. Pouhá 3 procenta provádí upgrade pouze v situaci, kdy už stará verze přestane zcela fungovat nebo je příliš zastaralá.

Popularita exploitů klesá

Cisco Annual Security Report odhalil, že zatčení ruského tvůrce nejpopulárnějšího exploit kitu Black Hole Paunche zasadilo tomuto typu útoků poměrně citelnou ránu. Mezi květnem a listopadem loňského roku poklesl počet těchto útočných softwarových balíčku o 88 procent. I tak jsou ale exploit kity, umožňující v podstatě vytvořit kybernetický útok na zakázku, vážnou bezpečnostní hrozbou, před kterou se lze ochránit jen pravidelnou instalací bezpečnostních záplat.

Například díky výraznému posunu v bezpečnosti poklesl počet útoků prostřednictvím dosud nejpopulárnější Javy o 34 procent. O tři procenta poklesl také počet útoků prostřednictví Flashe. Naopak o 228 procent vzrost počet útoků prostřednictvím technologie Silverlight a o 7 procent narostl také počet útoků, k nimž byly využity programy společnosti Adobe. „Hitem“ útočníků se v roce 2014 stala kombinace Javy a Flashe. Svůj útok rozdělí do dvou souborů – jeden flashový a jeden javový. Tento přístup ukazuje vylepšování nástrojů, které kybernetičtí útočníci používají, protože výrazně ztěžuje detekci takovéhoto útoku i obranu proti němu.

Kompletní znění Cisco Annual Security Report 2015 najdete zde: http://www.cisco.com/web/offers/pdfs/cisco-asr-2015.pdf

(tz)