Specjaliści z firmy Arcabit, która już od niemal dwóch dekad chroni polską cyberprzestrzeń, wskazują, że w obliczu coraz bardziej intensywnych, lepiej przygotowanych językowo i dopasowanych do polskich realiów ataków szczególnie istotne, a wręcz krytyczne z punktu widzenia skuteczności ochrony, jest skupienie producenta na naszym lokalnym rynku. Oczywiście zarówno w kontekście zagrożeń globalnych, jak i tych wymierzonych w polskojęzycznych obywateli.

Polski kontratak na współczesne zagrożenia

Odpowiedzią na wciąż zmieniającą się sytuację na rynku bezpieczeństwa są zupełnie nowe pakiety oprogramowania ochronnego Arcabit. Jedną z najważniejszych nowości są wbudowane dwa niezależne silniki analizujące i wykrywające szkodliwe oprogramowanie, w tym jeden przeznaczony do unieszkodliwiania zagrożeń typowych dla polskiego rynku. Dostępny jest także, ceniony przez użytkowników, mechanizm SafeStorage, który chroni dane przed zaszyfrowaniem oraz specjalistyczna warstwa ochronna RoundKick EDR, odpowiedzialna za wykrywanie nieznanych zagrożeń, minimalizowanie ryzyka wycieku danych i uruchomienia szkodliwego kodu przez nieodpowiednie działania użytkowników.

W nowych pakietach oprogramowania dostępne jest także szerokie spektrum modułów zabezpieczających przed rozmaitymi współczesnymi atakami, funkcja szyfrowania dysków i wiele innych narzędzi.

Stała kontrola poziomu bezpieczeństwa systemów w sieciach oraz bieżąca analiza incydentów byłaby praktycznie niemożliwa bez funkcji zdalnego zarządzania instalacjami pakietów ochronnych. Moduł Arcabit Administrator to rozbudowane centrum dowodzenia chronionymi systemami, wyposażone w centralną konsolę administracyjną do grupowania stacji, definiowania ustawień i kontroli zdarzeń. Użytkownik dostaje również do dyspozycji narzędzia dodatkowe, które pozwalają między innymi na analizę wydajności systemów (moduł wskazuje słabe ogniwa w sieci), zdalne czyszczenie dysków ze zbędnych plików oraz funkcję raportowania (zestawienie sprzętu, systemów operacyjnych i zainstalowanego oprogramowania). Konsola daje również możliwość wymuszenia aktualizacji systemów operacyjnych. Administrator może zdalnie wspierać użytkowników dzięki mechanizmowi podglądu pulpitu.

Arcabit zaprasza do współpracy resellerów, zainteresowanych oferowaniem rozwiązań tego polskiego dostawcy. Każdemu z nich przypisywany jest opiekun do współpracy, który jest między innymi odpowiedzialny za weryfikowanie w bazie spływających zapytań i ofert, aby unikać ewentualnych konfliktów i sporów. Dostępny jest także przejrzysty system rabatów, przy czym ich wysokość zależy od poziomu realizowanego obrotu przez partnera.

Dla czytelników „CRN Polska” oraz „Vademecum VAR-ów i integratorów” producent przygotował pełną wersję programu ze 180-dniową licencją. Instalator jest do pobrania na stronie arcabit.pl/crn.

Dodatkowe informacje: Grzegorz Michałek, prezes zarządu, Arcabit, grzesiek@arcabit.pl

Artykuł Arcabit: nowe wcielenie polskiego cyberwojownika pochodzi z serwisu CRN.

Co gorsza, od pewnego czasu ransomware znalazł się w cieniu ataków na łańcuchy dostaw. Dzieje się tak od 13 grudnia ub.r., kiedy świat dowiedział się o ataku na rozwiązania SolarWinds – najpoważniejszym w całym 2020 r. i prawdopodobnie największym w tej dekadzie. Specjaliści z firmy ESET zwracają uwagę, że w czwartym kwartale ubiegłego roku miało miejsce tyle ataków na łańcuchy dostaw, ile w poprzednich latach przez cały rok.

Kolejnym niepokojącym zjawiskiem jest powrót trojanów bankowych, z Emotetem na czele. Według danych Cisco, w ubiegłym roku zetknęło się z nim 45 proc. firm. Małe i średnie przedsiębiorstwa zmagały się też z phishingiem, cryptominingiem czy atakami DDoS. Analitycy z Cybersecurity Ventures przewidują, że globalne koszty związane ze zwalczaniem skutków cyberprzestępczości będą rosły w tempie 15 proc. rocznie w ciągu najbliższych pięciu lat i na koniec 2025 r. wyniosą 10,5 biliona dol. W 2015 r. było to „jedynie” 3,5 biliona dol.

O krok przed napastnikiem

Małym i średnim firmom, często korzystającym z archaicznych rozwiązań, ciężko jest powstrzymać rozpędzonych i rozzuchwalonych przestępców. Wprawdzie dostawcy systemów ochronnych nie stoją w miejscu i rozwijają swoje produkty, ale skuteczne zabezpieczenie sieci, urządzeń i danych wymaga ciągłej rozbudowy linii obrony. Klasyczny przykład dotyczy urządzeń końcowych: oferowane przez wiodących dostawców narzędzia antywirusowe powstrzymują więcej złośliwego kodu niż kiedykolwiek wcześniej, a nowoczesne produkty wykorzystują sztuczną inteligencję, uczenie maszynowe czy heurystykę adaptacyjną (a więc mechanizmy daleko wykraczające poza statyczne i łatwe do obejścia „definicje wirusów”). Ponadto, nowe wersje rozwiązań zgłaszają mniej fałszywych alarmów niż poprzednie, a są od nich szybsze i wykazują się większą skutecznością w wykrywaniu zagrożeń. Jednak nawet najlepsze antywirusy mają ograniczenia, w związku z którymi nie pozwalają użytkownikom być o krok przed napastnikami.

Oprogramowanie antywirusowe staje się też niemal bezradne w przypadku ataków bezplikowych czy wieloetapowych i wielowektorowych. Wiele z nich jest wykrywanych dopiero w trakcie ich trwania lub po fakcie. Dlatego też specjaliści IT w firmach i instytucjach wzmacniają ochronę urządzeń końcowych poprzez inwestycje w mechanizmy EDR (Endpoint Detection and Response). Są one obecne w rozwiązaniach, które – w odróżnieniu od antywirusów – nie skupiają się na identyfikacji złośliwego oprogramowania, lecz detekcji nieprawidłowych działań. EDR zapewnia stały wgląd w to, co dzieje się w sieci, analizuje zachodzące procesy i powiązania między nimi, jak też kontroluje wpisy pojawiające się w rejestrze. Oprogramowanie po wykryciu nietypowej aktywności tworzy alert dla analityków bezpieczeństwa, którzy mogą zbadać ujawnioną nieprawidłowość i odpowiednio na nią zareagować.

Dostawcy systemów bezpieczeństwa, zachęceni popularnością mechanizmu EDR, postanowili pójść dalej i wprowadzają na rynek jego rozbudowaną wersję – XDR (eXtended Detection and Response), która automatycznie zbiera i koreluje dane z wielu rozwiązań ochronnych – poczty e-mail, urządzeń końcowych, serwerów oraz różnego typu innych zasobów w chmurze i sieci. Ujednolicone podejście do bezpieczeństwa zapewnia pełny wgląd we wzorce danych oraz zdarzenia w sieciach, chmurach, urządzeniach końcowych i aplikacjach.

XDR na pierwszy rzut oka budzi skojarzenia z systemami SIEM (Security Information and Event Management). Te również pozyskują dane z dziesiątek, a nawet setek narzędzi zabezpieczających i generują alerty. Jednak tradycyjne, statyczne podejście do ochrony IT powoduje, że dostawcom SIEM-ów trudno się dostosować do sytuacji, w której wyjątkowo szybko zmieniają się techniki ataku. Natomiast XDR opracowano właśnie z myślą o pracy w dynamicznie zmieniającym się środowisku.

Pomoc z zewnątrz

Takie narzędzia jak EDR czy XDR coraz częściej znajdują zastosowania w dużych przedsiębiorstwach i organizacjach. Ale w przypadku małych i średnich firm ich popularność rośnie powoli, co najczęściej wynika z braku specjalistów, którzy potrafią zrobić użytek z danych dostarczanych przez inteligentne systemy. Ich deficyt potwierdza między innymi raport „Cyberbezpieczeństwo w polskich firmach 2021”, opracowany przez firmę Vecto. Wynika z niego, że w 2019 r. z usług specjalistów od bezpieczeństwa nie korzystało 46 proc. firm, podczas gdy w 2020 r. odsetek ten wzrósł do 52 proc.

Co ciekawe, wśród 48 proc. przedsiębiorstw, które mają wsparcie ze strony fachowców, większość (26 proc.) opiera się na wewnętrznych kadrach IT. Jedynie 22 proc. ankietowanych firm zleca obsługę obszaru ochrony systemów i danych IT na zewnątrz. Analitycy są zgodni, że ten ostatni wskaźnik będzie piąć się w górę, a małe i średnie firmy, zamiast klasycznego EDR-a, zaczną wybierać model MSSP (Managed Security Service Provider) bądź MDR (Managed Detection and Response), w którym usługodawca przejmuje na siebie wszelkie obowiązki związane z ochroną sieci i urządzeń końcowych klienta. Takie usługi oferują m.in. Sophos, Bitdefender czy Trend Micro.

Warto przy tym dodać, że w trochę innym kierunku podąża Acronis, który wprowadził rozbudowany pakiet usług obejmujący nie tylko rozwiązania do ochrony urządzeń końcowych, takich jak komputery czy serwery, ale również backupu, odzyskiwania danych po awarii czy zarządzania poprawkami i aktualizacjami systemu operacyjnego. Artur Cyganek, dyrektor na Europę Wschodnią w Acronisie, zapowiada, że producent będzie systematycznie dodawać kolejne elementy. Przykładowo, już niedługo, dzięki zakupowi firmy DeviceLock, pakiet tej marki wzbogaci się o moduł DLP, chroniący przed wyciekami danych.

Zdaniem integratora  

(Nie)bezpieczne systemy operacyjne

Już od dawna toczy się dyskusja czy MacBook potrzebuje ochrony ze strony antywirusów. Część ekspertów przekonuje, że tego typu pomoc jest zbyteczna, bowiem system operacyjny macOS bazuje na systemie Unix, a przez to ma lepiej rozwinięte funkcje bezpieczeństwa i uprawnień niż Windows. Poza tym producent z Cupertino bardzo rygorystycznie podchodzi do instalowania i uruchamiania aplikacji z zewnątrz. Microsoft w tym zakresie zapewnia użytkownikom dużo większą swobodę.

Z drugiej strony zainteresowanie hakerów systemem operacyjnym zależy od stopnia jego popularności, a pod tym względem Microsoft bije na głowę konkurenta. Według IDC, na koniec ubiegłego roku w „okienka” było wyposażonych 80,5 proc. komputerów, zaś w macOS 7,5 proc. A jednak rosnąca sprzedaż laptopów z nadgryzionym jabłuszkiem nie umknęła uwadze cyberprzestępców. Atlas VPN informuje, że w 2020 r. wykryto 674 tysiące próbek złośliwego oprogramowania atakującego komputery MacBook. Rok wcześniej było ich 56 tysięcy. Czy to oznacza, że użytkownicy „jabłek” zaczną inwestować w antywirusy?

– Nie jest prawdą, że MacBooka nie da się zainfekować złośliwym oprogramowaniem. Wektor ataku jest bardzo często taki sam jak w przypadku komputerów z systemem Windows – mówi Tomasz Rot, dyrektor sprzedaży Barracuda na Centralną i Wschodnią Europę. – Poza tym użytkownicy komputerów z macOS czy urządzeń z iOS są tak samo podatni na socjotechnikę czy ataki phishing prowadzone za pomocą poczty e-mail, wiadomości SMS czy komunikatorów.

Trudno nie zgodzić się z tego typu opiniami, chociaż właściciele urządzeń Apple’a są stosunkowo rzadko niepokojeni przez hakerów. Jak wynika z cytowanego wcześniej raportu Atlas VPN, w 2020 r. wykryto 135 razy więcej zagrożeń dla komputerów z Windowsem niż na MacBooki. Z analogiczną sytuacją mamy do czynienia na rynku smartfonów, na którym pod ostrzałem hakerów znajdują się przede wszystkim urządzenia z Androidem. Szacuje się, że udział telefonów wyposażonych w system operacyjny z zielonym robocikiem w światowym rynku przekracza nieco 80 proc. To sprawia, że użytkownicy iPhone’ów czują się dużo bardziej bezpiecznie niż właściciele smartfonów innych marek. Poza tym Apple ma bardziej restrykcyjny proces zatwierdzania aplikacji do App Store’a niż Google.

Tymczasem specjaliści Cisco zwracają uwagę na jeszcze jeden istotny aspekt. Otóż urządzenia z systemem iOS są szybciej aktualizowane niż te z Androidem. Prawdopodobieństwo udostępnienia aktualizacji lub poprawek bezpieczeństwa w ciągu 30 dni od wprowadzenia ich na rynek było 3,5 razy większe w przypadku sprzętu z systemem iOS niż w tych z Androidem Z kolei Check Point w raporcie Mobile Security Report 2021 ostrzega, że cztery na 10 telefonów komórkowych jest wyjątkowo podatnych na cyberataki.

W 2020 r. aż 97 proc. firm na całym świecie spotkało się z zagrożeniami dotyczącymi smartfonów, zaś 46 proc. miało przynajmniej jednego pracownika, który pobrał złośliwą aplikację mobilną. Zdalna praca przyczyniła się do wzrostu ataków na osobiste smartfony używane do służbowych celów. Jeśli chodzi o ochronę tych urządzeń, ścierają się obecnie dwie koncepcje. Część przedsiębiorstw korzysta z popularnych narzędzi zabezpieczających, a inne wybierają rozwiązania MDM (Mobile Device Management), przeznaczone do zarządzania flotą mobilnego sprzętu.

Trudniejsza ochrona sieci

Wyjątkowa sytuacja, z jaką mamy do czynienia od wielu miesięcy, spowodowała duże zamieszanie związane z koniecznością dostosowania się firm do pracy zdalnej. W przypadku sprzętu IT pierwsza fala zakupów objęła laptopy, a jednocześnie dostawcy rozwiązań sieciowych byli bombardowani zapytaniami dotyczącymi konfiguracji połączeń VPN. Zmiana modelu pracy zdopingowała do działania cyberprzestępców, którzy wykorzystali chaos panujący w większości przedsiębiorstw.

– Zanim doszło do optymalnego zabezpieczenia sieci, skonfigurowania połączeń do firmowych zasobów, minęło trochę czasu– mówi Piotr Zielaskiewicz, Product Manager Stormshield w Dagmie. – Mogłoby się wydawać, że małe firmy powinny szybciej poradzić sobie z przejściem na model zdalny niż korporacje ze względu na dużą elastyczność. Jednak problemem w ich przypadku był brak wykwalifikowanej kadry.

Obecnie najpopularniejszym urządzeniem do ochrony sieci w MŚP jest UTM. Mniejsze przedsiębiorstwa wybierają ten sprzęt ze względu na jego uniwersalność oraz prostą obsługę i konfigurację. Duży wpływ na decyzję mają też cena i stosunkowo niskie koszty eksploatacji.

Również analitycy postrzegają przyszłość tego segmentu rynku w jasnych barwach. IDC prognozuje, że w latach 2018–2025 sprzedaż UTM-ów będzie rosnąć w tempie 14,5 proc. rocznie. Czynnikiem napędzającym popyt ma być rosnąca świadomość użytkowników końcowych na temat wirtualnych sieci prywatnych oraz rozwój systemów UTM nowej generacji.

Zdaniem Tomasza Rota, chociaż urządzenia klasy UTM to bardzo popularne rozwiązanie, w czasie masowej migracji do pracy zdalnej nastąpiły związane z nimi pewne trudności. Ten sprzęt, podobnie jak klasyczne rozwiązania VPN Client2Site, zaprojektowano z myślą o zapewnieniu dostępu do sieci wybranej grupie pracowników. Tymczasem w tradycyjnym modelu większość personelu pracowała w biurze, będąc z definicji w zasięgu sieci firmowej. Obecnie mamy do czynienia z odwrotną sytuacją, a część systemów UTM nie była odpowiednio wyskalowana, aby poradzić sobie w nowych warunkach. Firmy szukały więc innych sposobów, aby sprostać temu wyzwaniu. Część użytkowników wymieniła UTM-y na firewalle NGFW i bramki e-mailowe, podczas gdy inni wybrali nowoczesne rozwiązania działające w modelu Zero Trust z granularną kontrolą dostępu do zasobów.

Na koniec warto przytoczyć opinię specjalistów Cisco, którzy wychodzą z założenia, że o tym, czy sieć jest dobrze chroniona, decyduje kompleksowość zabezpieczeń. W praktyce oznacza to, że powinny objąć urządzenia końcowe i samą sieć na przykład poprzez segmentację i logiczne odseparowanie jej elementów, a także zabezpieczyć styk sieci firmowej z internetem. W tej kwestii nie powinny mieć miejsca „kompromisy technologiczne” i takie same zabezpieczenia powinny stosować duże, jak i małe firmy. Jedyna różnica sprowadza się do odpowiedniego wyskalowania produktów.

Zdaniem producenta

Chester Wisniewski, Principal Research Scientist, Sophos  

Wiele firm bazuje na tradycyjnych zabezpieczeniach brzegowych. Tymczasem w sytuacji, gdy personel pracuje w domu, najlepiej stosować kompleksowe rozwiązania ochrony urządzeń końcowych. Są one zaprojektowane w taki sposób, aby usuwać wszelkie luki w systemie zabezpieczeń i zredukować jego złożoność. W przypadku produktów pochodzących od różnych dostawców trudno ocenić ich efektywną skuteczność. Poza tym konieczność zarządzania rozbudowanym systemem może prowadzić do błędów, które otwierają furtki dla hakerów.