W celu zaspokojenia tych potrzeb powstała nowa dziedzina cyberbezpieczeństwa, znana jako threat intelligence. Skupia się na gromadzeniu i analizowaniu informacji o aktualnych i potencjalnych atakach, które zagrażają bezpieczeństwu firm i ich zasobów. Zaletą threat intelligence jest to, że zapobiega także skutkom cyberprzestępstw i ogranicza koszty likwidowania szkód po incydencie. Celem usługi jest również ułatwienie klientom zrozumienia, czym są zagrożenia dla ich infrastruktury oraz co należy zrobić, by skutecznie chronić swoją działalność.

Zapewniana proaktywna ochrona to największa korzyść, jaka płynie z nieustannej analizy zagrożeń. Threat intelligence pomaga też w ustaleniu, czy infrastruktura została już „skompromitowana” i w jakim stopniu (według wskaźników IOC – Indicators of Compromise). Jeśli system został zaatakowany, ważny jest czas. Im więcej informacji cyberprzestępcy zdołają wykraść, tym dotkliwsze będą skutki ich działań.

Z rozwiązań threat intelligence mogą korzystać firmy różnej wielkości i z dowolnej branży, ale najczęściej robią to banki i inne podmioty z sektora finansowego, a także służby publiczne i wojsko. Decydują się na takie dodatkowe zabezpieczenia, żeby chronić swoje najważniejsze zasoby i informacje niejawne. Wynajęty dostawca usług threat intelligence dostarcza informacje o zagrożeniach i zapobiega atakom, regularnie współpracując z zespołem ds. bezpieczeństwa lub IT klienta.

Pewne jest przy tym, że popyt na usługi analizy zagrożeń rośnie dzięki chmurze obliczeniowej. To ona sprawia, że threat intelligence nie wymaga od klienta inwestowania w dodatkowy sprzęt i może być świadczona z dowolnego miejsca na świecie, w dowolnym momencie. Technologia chmurowa ułatwia też proces zarządzania i zabezpieczania danych.

Perspektywy usług threat intelligence są więcej niż dobre. Z ostatniego badania MarketsandMarkets wynika, że wartość ich sprzedaży do 2023 r. osiągnie 13 mld dol. (obecnie jest to 5,3 mld dol.). Zdaniem analityków stanowi to ogromną szansę na rozwój kanału sprzedaży tego rodzaju usług.

Artykuł Czym jest threat intelligence? pochodzi z serwisu CRN.

Statystyki pochodzące z globalnego badania korporacyjnych zagrożeń bezpieczeństwa IT w 2015 r. przeprowadzonego przez analityków B2B International oraz Kaspersky Lab są dość przerażające: 48 proc. firm w Europie przyznało, że w ciągu 12 miesięcy odkryło u siebie wirusy, robaki, oprogramowanie szpiegujące oraz inne szkodliwe programy. 18 proc. stwierdziło, że wykryto u nich włamanie do sieci, 12 proc. stało się celem cyberszpiegostwa, a 8 proc. – ataku ukierunkowanego.

To samo badanie wykazało, że jeśli chodzi o zagrożenia wewnętrzne, w 29 proc. przedsiębiorstw wykryto luki w wykorzystywanym przez nie oprogramowaniu, co doprowadziło do wycieku informacji spowodowanego przez personel – przypadkowo (21 proc.) lub celowo (11 proc.).

Macki cyberprzestępczej ośmiornicy oplatają cały glob. Według różnych statystyk rocznie łączna wartość usług świadczonych w cyfrowym podziemiu oraz wykradzionych danych przekracza 300 mld dol. Co więcej, cybermafia nie ma tradycyjnej struktury, dzięki której – po nitce do kłębka – można byłoby likwidować co ważniejsze ogniwa. Dlatego w pewnym momencie konieczne stało się zaangażowanie międzynarodowych służb w proces jej zwalczania. Obecny na budapesztańskiej konferencji Gary McEwen, analityk strategiczny z Europejskiego Centrum ds. Cyberprzestępczości (EC3) w Europolu, zaprezentował mechanizm funkcjonowania grup cyberprzestępczych oraz sposoby na ich zwalczanie.

– Niezbędna jest tu współpraca między organami ścigania, sektorem prywatnym oraz kręgami akademickimi – mówił specjalista. – Wspólnie pracujemy nad identyfikowaniem i eliminowaniem szkodliwych infrastruktur, a także pomagamy ofiarom w leczeniu ich systemów z infekcji. Niestety, jest to coraz trudniejsze, bo znacznie obniżyła się bariera „wejścia” w cyberprzestępczy świat. Dzisiaj skuteczny atak, np. na konkurencję, można przeprowadzić naprawdę niewielkim kosztem.

Okup za dane

Nawet jeżeli dane jakiegoś użytkownika nie mają wartości dla cyberprzestępców, to z pewnością są ważne dla niego samego. Stąd systematycznie rosnąca popularność oprogramowania typu ransomware, które szyfruje informacje na zarażonym komputerze, a następnie żąda okupu za ich odszyfrowanie. Już wkrótce prawdziwą plagą będzie złośliwy kod w aplikacjach szyfrujący dane na smartfonach. Najgorsze w tym wszystkim jest to, że problem może dotyczyć absolutnie każdego: od osób prywatnych po największe przedsiębiorstwa.

– Często słyszymy argumentację klientów, że nie potrzebują oni zaawansowanych rozwiązań ochronnych, bo nie mają żadnych danych, które byłyby wartościowe dla cyberprzestępców – mówił Stefan Tanase, starszy badacz ds. bezpieczeństwa IT w Globalnym Zespole ds. Badań i Analiz (GReAT) w Kaspersky Lab. – Takie podejście jest bardzo niewłaściwe w przypadku ransomware’u. Tutaj opinia przestępcy nie ma żadnego znaczenia, bo cały proces, zarówno wyboru potencjalnej ofiary, szyfrowania, jak też dalszej komunikacji oraz zapłaty okupu i deszyfrowania, odbywa się automatycznie.

Jak podkreślali przedstawiciele Kaspersky Lab, walka z ransomware’em jest trudna, bo stosowane są coraz bardziej zaawansowane mechanizmy szyfrujące. Czasami jednak są one zaimplementowane niepoprawnie, przez co można stworzyć narzędzia do odkodowywania plików. Dzięki współpracy z holenderską policją udało się zdobyć wszystkie klucze szyfrujące stosowane w ransomwarze Coinvault i Bitcryptor. Kaspersky Lab zdecydował się udostępnić bezpłatnie pakiet do deszyfrowania na stronie noransom.kaspersky.com.

 

David Jacoby

starszy badacz ds. bezpieczeństwa IT, Kaspersky Lab

Wiele firm w bardzo niewłaściwy i nieopłacalny dla nich sposób podchodzi do problemu ochrony zasobów. Zamiast zaangażować własny zespół w wykrywanie wewnętrznych luk, kupują w firmach zewnętrznych bardzo drogie usługi audytu infrastruktury, często znacznie za nie przepłacając. Co więcej, gdy później czytają raport z takiego audytu, stwierdzają, że… o większości opisanych w nim zagrożeń i tak już wiedzieli wcześniej. Dlatego zdecydowanie bardziej polecam firmom wydanie tych pieniędzy na szkolenia personelu w zakresie cyberbezpieczeństwa oraz wynagradzanie pracowników za aktywną postawę w wykrywaniu i usuwaniu luk.

Artykuł Cyber Security Weekend: Kaspersky Lab wskazał możliwe sposoby ochrony IT pochodzi z serwisu CRN.