Kybernetické hrozby se vyvíjejí extrémně rychle. V budoucnu se setkáme s novým typem ničivých kybernetických útoků, tzv. DeOS útoky (z anglického Destruction of Service). Ty budou mít jediný cíl – napáchat maximální škody a zničit veškeré zálohovací mechanismy, které organizace potřebují k obnově systému a dat.
S těmito závěry přišla studie Cisco 2017 Midyear Cybersecurity Report, která pravidelně mapuje globální trendy a situaci v kybernetické bezpečnosti. Studie dále poukazuje na to, že je na vzestupu obchod s vyděračským softwarem, ransomwarem, a jeho spuštění se pro útočníky stává stále snazším. Větší škody ale globálně způsobí útoky využívající sociálního inženýrství. Ty se zaměřují na konkrétní firmy a snaží se donutit oběť, aby útočníkovi převedla své peníze. Za 3 roky si takto hackeři vydělali 5,3 miliardy dolarů. Studie také přinesla závěry průzkumu mezi 3000 bezpečnostními profesionály, který ukázal, s jakými největšími výzvami se potýkají jednotlivá průmyslová odvětví.
„Nedávné globální útoky ransomwaru WannaCry a Nyetya ukázaly, že tradiční útoky vyděračských softwarů se stávají stále ničivějšími. Odhadujeme, že jsou tyto incidenty předzvěstí nového typu, tzv. DeOS útoku, který dokáže napáchat mnohem větší škody, a ze kterého se napadené organizace budou jen těžko vzpamatovávat,“ říká Milan Habrcetl, bezpečnostní expert společnosti Cisco a doplňuje: „Nové možnosti kybernetickým útočníkům otevírá také rychlý rozvoj internetu věcí. Nedávná aktivita některých internetových robotů provádějících nežádoucí činnost (tzv. botnetů) naznačuje, že útočníci mohou položit základy počítačových hrozeb s obrovským dopadem, které by potenciálně mohly narušit i samotný provoz internetu. Dnes vidíme, že lépe na takové útoky reagují firmy, které průběžně monitorují provoz v síti a bezpečnostní řešení je její součástí.“
Pro minimalizaci těchto škod je klíčová doba, za kterou organizace dokážou nový kybernetický útok odhalit. Společnost Cisco pravidelně měří schopnost svých bezpečnostních řešení nové hrozby odhalit. Od listopadu 2015 snížila společnost Cisco průměrnou dobu odhalení útoku z 39 hodin na současných 3,5 hodiny (měřeno v období listopad 2016 až květen 2017).
Ransomware lze snadněji objednat
Výzkumníci společnosti Cisco monitorovali vývoj kybernetických hrozeb v první polovině roku 2017 a zjistili i nové postupy útočníků. Ti stále častěji využívají technik, které vyžadují uživatelovo kliknutí na infikovaný odkaz či přílohu emailu. Hackeři dnes vyvíjejí malware, který nemá formu klasického souboru, ale ukládá se rovnou do paměti. Tento typ je mnohem náročnější detekovat a analyzovat, neboť se automaticky vymaže po restartování počítače. Útočníci také stále častěji spoléhají na anonymizovanou a decentralizovanou infrastrukturu, jako je například proxy služba Tor.
Trendy a techniky, které útočníci využívají
Ransomware jako služba: Podle odhadů dosáhl zisk kybernetických útočníků z ransomware kampaní v roce 2016 více než 1 miliardu amerických dolarů. I proto se černý trh rozrůstá a společnost Cisco pozoruje nárůst modelu Ransomware jako služba (Ransomware‑as‑a‑service). Ten umožňuje útočníkům provést útok vyděračského softwaru, aniž by oni sami disponovali potřebnými nástroji a dovednostmi.
Sociální inženýrství: Větší finanční ztrátu než ransomware způsobily organizacím útoky s podvodnými emaily, které využívaly také technik sociálního inženýrství. V nich se útočnici snaží, aby organizace v domnění, že jde o legální transakci, převedly peníze na jejich účet. Tento byznys je velmi výnosný. Podle odhadů odborníků z amerického týmu Internet Crime Complaint Center dokázali hackeři mezi říjnem 2013 a prosincem 2016 tímto způsobem vydělat 5,3 miliardy dolarů.
Objem spamu stále narůstá: Kybernetičtí útočníci stále častěji využívají k šíření útoků nevyžádanou poštu. Výzkumníci společnosti Cisco očekávají, že objem spamu poroste i nadále, zatímco obliba exploit kitů (nástroje pro šíření škodlivého softwaru) bude klesat.
Firmy podceňují spyware a adware: Mnoho bezpečnostních odborníků stále považuje soubory typu spyware (špehovací software odesílající data bez vědomí uživatele) a adware (software zobrazující nevyžádané reklamy) za spíše nepříjemné než nebezpečné. Nicméně i tyto soubory mohou znamenat pro firmy vysoké riziko. Výzkumníci společnosti Cisco odhalili, že 20 % firem má ve firemní síti alespoň jeden ze 3 nejrozšířenějších typů spywaru. Ty přitom mohou odesílat útočníkům informace o firmě a tím zvýšit riziko nakažení skutečným malwarem.
Různá odvětví, podobná rizika
Studie Cisco 2017 Midyear Cybersecurity Report dále zkoumala, jakým hlavním hrozbám čelí jednotlivá průmyslová odvětví. I přesto, že hackeři používají sofistikovanější techniky a zvyšují intenzitu, organizace se stále potýkají i se základními požadavky na kyberbezpečnost. Se stále užším propojením IT a operačních technologií, i v souvislosti s rozvojem internetu věcí, se firmám nedaří zajistit viditelnost provozu sítě a komplexní přístup k bezpečnosti.
Průzkum, kterého se zúčastnilo 3000 bezpečnostních profesionálů, zjistil, že bezpečnostní týmy jsou neustále pod tlakem zvyšujícího se množství útoků. Dále průzkum zjistil, že:
Pouze 2/3 organizací skutečně prošetřují bezpečnostní upozornění. V některých odvětvích (například zdravotnictví či doprava) je to dokonce jenom kolem 50 %.
I v nejrizikovějších odvětvích (jako je finančnictví či zdravotnictví) jsou podniky schopny efektivně reagovat na skutečné útoky v méně než 50 % případů.
Úspěšné průniky jsou motivací ke zlepšení. Napříč většinou odvětví znamená úspěšný útok přinejmenším minimální posílení bezpečnosti v alespoň 90 % organizací.
Mezi další zjištění v jednotlivých odvětvích patří:
Veřejný sektor: Ze všech zkoumaných hrozeb bylo 32 % z nich označeno jako skutečně oprávněných (ohrožujících). Ovšem pouze proti 47 % z nich vytvořily organizace dodatečnou obranu.
Maloobchod: 32 % podniků říká, že v posledních několika letech se jim kvůli kybernetickým útokům snížily zisky. Zhruba 25 % pak ztratilo zákazníky nebo obchodní příležitosti.
Výroba: 40 % bezpečnostních profesionálu z oblasti výroby řeklo, že nemají oficiální bezpečnostní strategii, ani neaplikují bezpečnostní normy, jako jsou ISO 27001 či NIST 800‑53.
Sektor utilit: Bezpečnostní profesionálové označili za největší bezpečnostní rizika cílené útoky (42 %) a tzv. přetrvávající pokročilé hrozby (advanced persistent threats). Ty jako největší hrozbu vnímá 40 % dotázaných.
Zdravotnictví: Za vysoké riziko označilo 37 % respondentů cílené útoky.
6 rad společnosti Cisco
Aby se organizace efektivněji bránily současným stále sofistikovanějším útoků, měly by zvolit proaktivní přístup. Bezpečnostní tým Cisco radí:
Pravidelně aktualizujte infrastrukturu i aplikace, aby útočníci nemohli využít již známé zranitelnosti.
Bezpečnostní prvky musí být integrované. Omezte investice do izolovaných řešení.
Zapojte do kyberbezpečnosti nejvyšší členy vedení, aby porozuměli rizikům, výhodám i rozpočtovým omezením.
Vytvořte jasné metriky. Používejte je, abyste lépe pochopili přínosy konkrétních kroků a mohli svoji bezpečnost dále zlepšovat.
Zkontrolujte úroveň znalostí svých zaměstnanců prostřednictvím tréninkových postupů se zaměřením na konkrétní pracovní pozice i na obecné školení.
Snažte se vyvážit obranu s aktivní reakcí. Obrana před útoky spočívá v průběžné činnosti, nikoliv pouze v prvotním nasazení a následné pasivitě.
Na studii Cisco 2017 Midyear Cybersecurity Report spolupracovalo 10 technologických partnerů společnosti Cisco, konkrétně Anomali, Flashpoint, Lumeta, Qualys, Radware, Rapid7, RSA, SAINT Corporation, ThreatConnect a TrapX.
(tz)