– Niestety, to pracownicy najczęściej są „wykonawcami” woli cyberprzestępców. Klikają w linki prowadzące do złośliwego kodu, otwierają dołączone do e-maili pliki, odwiedzają podejrzane strony internetowe lub (często w dobrej wierze) dzielą się informacjami, które powinni zachować wyłącznie dla siebie. Co prawda w urzędach publicznych nie jest stosowany model BYOD, ale próby korzystania z prywatnego sprzętu i podłączania go do sieci z pewnością mają miejsce – mówi Maciej Kotowicz, Channel Account Executive Poland w Sophosie.

Dużym problemem – i to w skali globalnej – jest brak międzynarodowej współpracy producentów, której celem byłaby związana z bezpieczeństwem standaryzacja sposobu komunikacji organizacji publicznych w różnych krajach. Do skutecznego przeciwdziałania atakom jest wręcz niezbędna. Cyberprzestępcy rzadko działają z terytorium kraju, którego infrastrukturę zaatakowali, więc szybka wymiana informacji dotyczących charakterystyki ich operacji jest konieczna. Tymczasem obecnie sprowadza się do wyrazów niezadowolenia wypowiadanych z dużym opóźnieniem głównie w ramach kontaktów dyplomatycznych. Nad utworzeniem ram dyskusji i wymiany informacji dotyczących cyfrowych zagrożeń pracują międzynarodowe organizacje, ale z pewnością zajmie to jeszcze kilka lat.

Rządowa strategia cyberbezpieczeństwa

W 2017 r. polski rząd przyjął uchwałę „Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017–2022” (KRPC). Ministerstwo Cyfryzacji zaś opracowało plan wprowadzania tej polityki w życie. Zawiera on wytyczne dla dziesięciu ministrów oraz dyrektora Rządowego Centrum Bezpieczeństwa w zakresie opracowania oraz wdrożenia standardów i dobrych praktyk bezpieczeństwa sieci jak też systemów IT w obszarach, za które odpowiadają określone jednostki administracji rządowej. Autorzy dokumentu podkreślają, że realizacja planu działań będzie finansowana zarówno z budżetu państwa, jak i ze środków pomocowych Unii Europejskiej.

Ważnym dla integratorów zapisem dokumentu KRPC jest deklaracja rządu, że będzie budował system partnerstwa publiczno-prywatnego (we współpracy ze światem nauki oraz z przedsiębiorstwami komercyjnymi), opartego na zaufaniu i wspólnej odpowiedzialności za bezpieczeństwo w cyberprzestrzeni. Jednocześnie administracja publiczna ma doskonalić swój potencjał w zakresie doradzania sektorom rynkowym w dziedzinie bezpieczeństwa teleinformatycznego. Finalnie obiecano stworzenie wytycznych, na które integratorzy będą mogli się powoływać podczas negocjacji z klientami. Rząd obiecuje również zaangażowanie się w istniejące i powstające formy europejskiej współpracy publiczno-prywatnej i tym samym promowanie polskiego biznesu na arenie międzynarodowej.

W KRPC wymieniono zagadnienia znajdujące się w obszarze zainteresowań rządu, m.in.: Internet rzeczy, inteligentne miasta, Przemysł 4.0, trwająca już od kilkunastu lat zamiana protokołu IPv4 na IPv6, a także szeroko pojęta chmura obliczeniowa oraz przetwarzanie zgodnie z koncepcją Big Data (nazwane w dokumencie „megadane”).

Co nam zagraża?

Instytucje publiczne muszą być przygotowane do stawienia czoła stale nowym zagrożeniom: botnetom, atakom DDoS, złośliwemu oprogramowaniu, aplikacjom szyfrującym (ransomware), phishingowi, programom szpiegującym, przechwytywaniu sesji i zaawansowanym atakom ukierunkowanym (APT) prowadzonym z wykorzystaniem technik manipulacyjnych. Integralną częścią polityki bezpieczeństwa w tych placówkach powinny być nie tylko wirtualne kwestie związane z IT, ale też fizyczne. W obiektach, w których obowiązują restrykcyjne procedury, powinny być kontrolowane wnoszone i wynoszone laptopy, dyski, smartfony lub tablety, a niemal wszędzie należałoby stosować szyfrowanie oraz uniemożliwiać korzystanie z pendrive’ów. Jednocześnie wszelkie dane powinny być archiwizowane, aby nie zostały utracone w wyniku kradzieży lub zniszczenia sprzętu.

Statystycznie największym zagrożeniem jest ransomware. Atak WannaCry w 2017 r. był możliwy dzięki istniejącej od 15 lat luce w systemie operacyjnym Windows XP. Mimo że poprawki zabezpieczeń tego systemu nie były publikowane od 2014 r., dwa lata temu wciąż cieszył się dużą popularnością (a w wielu placówkach nadal jest używany). Microsoft zresztą podjął wówczas wyjątkową decyzję i opublikował stosowną poprawkę dla Windows XP, ale niewielu użytkowników ją zainstalowało (o czym w dalszej części artykułu).

Wymiana systemów operacyjnych na szeroką skalę z reguły wiąże się z koniecznością wymiany sprzętu. Ze względu na szczupłe budżety placówek publicznych zakup komputerów często jest odwlekany. Resellerzy i integratorzy muszą więc operować odpowiednimi argumentami, które przekonają zarząd placówki, że nie podejmując stosownych działań, wystawia swoją reputację na duże ryzyko.

Czasami jednak istnieją obiektywne argumenty. Powołują się na nie placówki medyczne, podając przykłady specjalistycznego sprzętu diagnostycznego, którego oprogramowanie nie wymaga aktualizacji ani rozbudowy (a działa tylko ze starszymi wersjami systemów operacyjnych). W takich sytuacjach warto namówić klienta na szczegółowy audyt bezpieczeństwa i zablokować dostęp tego typu systemów do internetu (natomiast dostęp do lokalnej sieci prawdopodobnie trzeba będzie zachować ze względu na konieczność archiwizacji badań).

Zabezpieczenie placówek edukacyjnych jest oczywiście łatwiejsze, chociaż i w nich konieczne jest podjęcie specjalnych działań. Przede wszystkim na komputerach, z których korzystają uczniowie (albo na sieciowych urządzeniach dostępowych do internetu), powinna być zainstalowana ochrona rodzicielska. Warto zablokować dostęp do popularnych serwisów społecznościowych, takich jak Facebook i YouTube. Ponieważ czasami po działaniach uczniów na lekcjach informatyki system operacyjny nadaje się tylko do przeinstalowania, niektórzy nauczyciele korzystają także z oprogramowania do szybkiego przywracania obrazu dysku z kopii backupowej, aby komputer był sprawny na kolejną lekcję. Natomiast demonstrację niebezpiecznych działań na komputerze (kasowania plików systemowych, klikania w podejrzane linki itp.) warto prowadzić na wirtualnych maszynach, uruchomionych np. na serwerze NAS.

Jak się zabezpieczyć?

W placówkach publicznych infrastruktura IT jest podobna do istniejącej w przedsiębiorstwach komercyjnych. Dobór narzędzi ochronnych zależy od skali działalności, wiedzy pracowników i doświadczenia administratorów. W jednostkach publicznych bardzo zróżnicowany jest poziom korzystania z usług w chmurze publicznej. Większość administratorów jest wstrzemięźliwa, chociaż ten sposób przetwarzania i przechowywania danych jest dopuszczony przez prawo (można korzystać z usług podmiotów znajdujących się w Europejskim Obszarze Gospodarczym, ale zalecane jest podpisywanie umów z polskimi usługodawcami).

Jednym z największych wyzwań jest aktualizowanie oprogramowania. Niestety, wciąż brakuje ogólnopolskich wytycznych w tym zakresie, więc poszczególne instytucje działają po swojemu. Muszą korzystać z opracowanych centralnie narzędzi tylko w przypadku ujednoliconych w skali kraju procedur, np. wydawania dowodów osobistych, meldowania obywateli, rejestracji działalności gospodarczej, obsługi podatkowej w urzędach skarbowych itp. Poza tym ogólnie wiadomo, że kupione przez instytucje publiczne licencje wykorzystywane są czasem przez kilkanaście lat, że stosuje się wiele aplikacji stworzonych z potrzeby chwili przez lokalnych programistów. Część programów wymaga konkretnej wersji systemu operacyjnego (np. wspomnianego Windows XP), nie współpracuje z nowymi wersjami Javy. Tymczasem korzystanie z nieaktualizowanych aplikacji powoduje, że cyberprzestępcy mają nie tyle ułatwione zadanie, co po prostu otwarte na oścież drzwi.

– Nie ułatwia sytuacji także fakt, że na stanowiskach informatyków w placówkach publicznych, szczególnie tych „w terenie”, często zatrudnione są osoby, których wiedza o bezpieczeństwie nie należy do szerokich – twierdzi Bogdan Lontkowski, dyrektor regionalny Ivanti na Polskę, Czechy, Słowację i kraje bałtyckie. – W przeciwnym przypadku łatwo znaleźliby pracę w sektorze prywatnym, za znacznie większe pieniądze. Chociaż trzeba przyznać, że sytuacja się poprawia. Ponieważ zespoły IT są często zbyt małe, a informatycy przepracowani, warto proponować klientom z sektora publicznego narzędzia, które automatyzują proces aktualizacji aplikacji, by wyeliminować jedno z największych zagrożeń atakami.

Naturalnie w każdej placówce, której sieć podłączona jest do internetu, należy stosować narzędzia do ochrony brzegowej (UTM-y, firewalle nowej generacji) oraz antywirusy. Ale nie obejdzie się bez zdobywania profesjonalnej i aktualizowanej wraz z pojawianiem się nowych zagrożeń wiedzy. Dlatego integratorzy powinni naciskać, aby podpisywane z nimi umowy w zakresie utrzymania systemów dotyczyły także współpracy w opracowywaniu polityki bezpieczeństwa, której nieodłącznym elementem jest ocena ryzyka i zdefiniowane sposoby przeciwdziałania atakom. Dzięki temu łatwiej też podejmować decyzje dotyczące tego, czy aplikacje i przetwarzane przez nie informacje mogą być przeniesione do chmury publicznej, czy powinny zostać w serwerowni danej placówki.

RODO obowiązuje wszędzie

Rozporządzenie o ochronie danych osobowych, które w ubiegłym roku spędzało sen z oczu wielu administratorom IT, obowiązuje także w placówkach sektora publicznego. Wiele z nich dysponuje danymi szczególnie wrażliwymi, których ujawnienie może mieć przykre dla obywateli skutki, np. groźby szantażu czy kradzież tożsamości. Z drugiej strony instytucja, z której wyciekły dane, może nie tylko być pozwana do sądu, ale jej zarządcy mogą także ucierpieć „politycznie”.

Placówki publiczne, tak jak przedsiębiorstwa, zobowiązane są przez RODO do stworzenia polityki bezpieczeństwa i oceny ryzyka wycieku informacji oraz przeciwdziałania mu. Powinny więc zdefiniować procedury postępowania oraz wdrożyć je za pomocą odpowiednich narzędzi IT. Oczywiście, w obu przypadkach ułatwią im to integratorzy. Szczególną uwagę należy zwrócić na kwestie utylizacji sprzętu. Wielokrotnie ujawniano przypadki, gdy wycofany z użytku sprzęt trafiał na śmietnik, zabierali go do domu pracownicy lub pojawiał się… na portalach aukcyjnych (najsłynniejszy przykład to 12 dysków z poufnymi danymi z Ministerstwa Spraw Zagranicznych, które w 2004 r. trafiły do redakcji tygodnika „Nie”).

Podczas tworzenia procedur zarządzania danymi w instytucjach publicznych należy jednak pamiętać o kilku wyjątkach. Przede wszystkim nie obowiązuje ich prawo do bycia zapomnianym. Wszyscy obywatele mają natomiast prawo wglądu w przetwarzane przez placówkę dane i korekty, jeżeli zauważą błędy. Instytucje publiczne, podobnie jak podmioty komercyjne, są zobowiązane także do minimalizowania ilości posiadanych danych. Mogą przetwarzać tylko te, które są niezbędne do prowadzenia ustawowej działalności.
Z RODO związana jest również kwestia backupu gromadzonych przez instytucję publiczną informacji. W sytuacji, gdy dane są poprawiane w bazie produkcyjnej lub usuwane z niej, pozostają niezmienione w wykonanej wcześniej kopii. W przypadku wystąpienia problemu z bazą i konieczności jej odtworzenia z kopii backupowej usunięte lub zmodyfikowane dane wrócą i znów będą przetwarzane – wbrew prawu i woli właściciela. Twórcy rozporządzenia o ochronie danych osobowych uznali, że problem rozwiążą procedury organizacyjne, zgodnie z którymi w momencie wykonania backupu  rozpoczyna się proces tworzenia listy wprowadzanych zmian. Gdy wystąpi konieczność odtworzenia danych z kopii, należy zgodnie ze wspomnianymi procedurami nanieść zanotowane zmiany. Dopiero po tej operacji można dopuścić bazę z danymi osobowymi do ponownego użytku produkcyjnego.

Artykuł Urzędy, szkoły, szpitale: dużo polityki, mało bezpieczeństwa pochodzi z serwisu CRN.

– Tworząc strategię ochrony przed atakami, najpierw trzeba odpowiedzieć sobie na pytanie, co w rzeczywistości powinno zostać zabezpieczone i w jaki sposób ująć te cele w polityce bezpieczeństwa – mówi Andrzej Bugowski, IBM Business Unit Manager w Tech Dacie. – Do najważniejszych obszarów, których ochrona jest konieczna, należą: infrastruktura IT, identyfikacja użytkowników oraz ich autoryzacja. Trzeba się upewnić, że używane w przedsiębiorstwie aplikacje zostały opracowane z uwzględnieniem najwyższych standardów ochrony. Trzeba także zbierać maksymalnie dużo informacji o funkcjonowaniu zabezpieczanego środowiska, starać się jak najwcześniej identyfikować zagrożenia i przygotować na potencjalne incydenty.

Cryptojacking – kradzież mocy

Wśród „świeżych” pomysłów na prowadzenie cyberataków zdecydowanie wyróżnia się cryptojacking, czyli wykorzystywanie mocy obliczeniowej urządzenia ofiary do kopania kryptowalut. Oczywiście wartość „cyfrowego złota” przejętego przez cyberprzestępców z pojedynczego komputera jest relatywnie niewielka, niższa niż koszt energii elektrycznej, który poniesie ofiara. Jednak przestępcy postępują w myśl zasady, że ziarnko do ziarnka, a zbierze się miarka. Do tego typu działalności zachęcił ich wykładniczy wzrost wartości w 2017 r. takich kryptowalut jak bitcoin, monero czy ethereum.
Stosujący cryptojacking oszuści atakują laptopy, komputery stacjonarne, serwery, a nawet urządzenia mobilne. Kod kopiący kryptowaluty i przesyłający je do cyberprzestępców może być wprowadzony do urządzeń na kilka sposobów. Jednym z popularniejszych jest umieszczenie owego kodu w skrypcie JavaScript i osadzenie na stronie internetowej (przez włamanie się do hostującego ją serwera lub w skrypcie firm trzecich wyświetlających reklamy).

Proces kopania kryptowaluty przez stronę internetową ma jednak podstawową wadę – jest przerywany w momencie zamknięcia przeglądarki lub karty wyświetlającej zainfekowaną witrynę. Poza tym działalność tak umiejscowionego złośliwego kodu kopiącego kryptowaluty łatwo wykryć, wykorzystuje bowiem do maksimum moc procesora. Bazując na tej obserwacji, twórcy przeglądarek internetowych wprowadzili zabezpieczenia, które blokują zbyt zasobożerne procesy. Odpowiedzią cyberprzestępców było wprowadzenie ograniczeń w kodzie, dzięki którym wykorzystuje tylko część mocy obliczeniowej i działa praktycznie niezauważenie. Okazało się także, że istnieją kopiące skrypty dla systemu Android, które rozpoczynają pracę tylko po podłączeniu telefonu lub tabletu do zasilania, co ma uchronić baterię przed szybkim rozładowaniem i uśpić czujność użytkowników.

Oprócz tego, że cyberprzestępcy tworzą skrypty osadzane na stronach internetowych, starają się zarażać urządzenia ofiar klasycznymi metodami dystrybucji malware’u. Z punktu widzenia atakującego zaletą tradycyjnego modelu, ale jednocześnie jego wadą, jest to, że złośliwa aplikacja musi być uruchomiona przez cały czas, tylko wtedy przestępca będzie miał zyski. Znika więc ryzyko ręcznego wyłączenia jej przez użytkownika (tak jak w przypadku przeglądarki internetowej), ale obecność uruchomionego przez cały czas procesu wykorzystującego znaczną część mocy obliczeniowej procesora (nawet po wprowadzeniu ograniczeń) wzbudzi czujność modułu heurystycznego w oprogramowaniu antywirusowym. 

Stosujący tę metodę dystrybucji kodu cyberprzestępcy są bardzo skuteczni, przebiegli i bezczelni. Gdy kod napotka „konkurencyjne” oprogramowanie kopiące cyberwaluty, natychmiast zabija ów proces. Hakerzy sprawdzają też, jaki system operacyjny (Windows, macOS, Linux) i w jakiej architekturze (32 lub 64 bity) jest uruchomiony na komputerze ofiary, aby dostarczyć najbardziej efektywny kopiący mechanizm. Zdarza się również, że instalują trojana zdalnego dostępu (RAT), dzięki któremu nie tylko działają w ukryciu na urządzeniu użytkownika, ale także mają nad nim pełną kontrolę (mogą usuwać i modyfikować pliki, przesyłać i pobierać je oraz instalować inne złośliwe oprogramowanie). 
Cryptojacking coraz częściej jest wykrywany na urządzeniach mobilnych z systemem Android. Do uruchomienia kopiącego kodu najczęściej dochodzi w wyniku zainstalowania aplikacji z nieoficjalnego źródła. Nowe wersje Androida są jednak wyposażone w wiele mechanizmów wykrywających oprogramowanie zużywające dużą część mocy obliczeniowej procesora, dzięki czemu wyeliminowanie kopiącego złośliwego kodu jest prostsze niż w przypadku zwykłych komputerów.

Generalnie sposób walki z cryptojackingiem powinien przypominać stosowany wobec innego rodzaju złośliwego kodu. Konieczne jest posiadanie oprogramowania antywirusowego (kod kopiący kryptowaluty nie będzie zbyt często zmieniany, więc rośnie szansa wykrycia go) oraz regularne aktualizowanie systemu operacyjnego i aplikacji (szczególnie przeglądarek internetowych). Dzięki temu zostaną wyeliminowane luki wykorzystywane do wprowadzenia do komputera złośliwego kodu. Na telefonach komórkowych i tabletach warto stosować oprogramowanie do zarządzania (MDM), które dobrze radzi sobie z cryptojackingiem.

Ważne są też działania edukacyjne podjęte z myślą o pracownikach i administracji przedsiębiorstwa. Koniecznie trzeba ich przekonać, by zwracali uwagę, czy komputer nie pracuje wolniej albo czy się nie przegrzewa (co łatwo zaobserwować w przypadku laptopów). Wyraźnym sygnałem obecności w firmie złośliwego kopiącego kodu będzie też zauważalny wzrost wysokości rachunków za energię elektryczną.

Hasło cenniejsze niż wszystko

Na czarnym rynku zestaw – nazwa użytkownika i hasło do (praktycznie dowolnej) usługi – sprzedawany jest kilkakrotnie drożej niż skradzione numery aktywnych kart kredytowych. Dlaczego? Większość osób stosuje te same hasła w wielu internetowych usługach. Loginem zaś bardzo często są ich adresy e-mail. Po zalogowaniu się do jednej usługi w dziale „dane użytkownika” można zdobyć wiele informacji (datę urodzenia, miejsce zamieszkania, odpowiedzi na pytania kontrolne itp.), które ułatwią zalogowanie się do kolejnych lub przeprowadzenie procesu odzyskiwania hasła.

Zdarzało się wręcz, że cyberprzestępcy organizowali „konkursy” z bardzo atrakcyjnymi, chociaż nieistniejącymi w rzeczywistości nagrodami, w których trzeba było założyć konto i podać wiele danych bardzo istotnych dla bezpieczeństwa. Z powodu naiwności użytkowników skuteczność tego typu działania jest przeogromna, a niebezpieczeństwo dla przedsiębiorstw duże, bowiem wiele osób w niewiele znaczących serwisach stosuje te same hasła, co w pracy.
Atak, w ramach którego cyberprzestępcy próbują uzyskać dostęp do wielu kont użytkowników, nazwany został credential stuffingiem. Obrona przed nim jest bardzo trudna (ale nie niemożliwa), bo jej główne narzędzie to edukacja użytkowników, a z ich przyzwyczajeniami walczyć wyjątkowo ciężko. Możliwa jest jednak automatyzacja niektórych działań zabezpieczających. Większość ataków typu credential stuffing uruchamia się za pomocą botów, których działaniu zapobiegnie firewall aplikacji sieciowych. Dobrym rozwiązaniem jest zastosowanie systemów pojedynczego logowania (SSO) oraz dwuskładnikowego uwierzytelniania. W większych przedsiębiorstwach warto rozważyć wprowadzenie systemu zarządzania tożsamością użytkowników.

Jeżeli współpracujący z klientem integrator ma wpływ na kształt jego internetowych aplikacji, koniecznie należy zadbać o szyfrowanie wszystkich przesyłanych informacji. Warto monitorować nieudane próby uwierzytelniania oraz klasyfikować je. Ułatwi to zaobserwowanie pewnych prawidłowości statystycznych i odróżnienie użytkowników, którzy zawsze zapominają haseł, od działających „w ich imieniu” botów. Dobrym rozwiązaniem jest modyfikacja formularza logowania i wprowadzenie dynamicznych pól. Ich zmieniająca się lokalizacja na ekranie lub kolejność występowania utrudni stworzenie zautomatyzowanego skryptu.

Ransomware wciąż na fali

Szantażujące, szyfrujące oprogramowanie ransomware niewątpliwie było w 2017 r. zagrożeniem numer jeden. Można by zakładać, że po serii bardzo udanych tego typu ataków (m.in. WannaCry, NotPetya i Bad Rabbit), wielokrotnie nagłaśnianych w najważniejszych na świecie mediach, dziś każdy użytkownik komputera zdaje sobie sprawę z zagrożenia. Niestety, to założenie nieprawidłowe.

Dwiema najskuteczniejszymi metodami ochrony przed ransomware’em jest tzw. higiena użytkowania komputera (odwiedzanie tylko zaufanych stron, wyczulenie na e-maile phishingowe, korzystanie z antywirusa). A gdy już do zaszyfrowania danych dojdzie – zapewnienie sobie możliwości odzyskania danych z backupu. Niestety, na te metody przestępcy też znaleźli sposób. Analitycy zagrożeń wykryli już „buszujące” w Internecie kody ransomware’u, które nie były wykrywane przez moduły heurystyczne żadnego pakietu antywirusowego i omijały wszelkie zabezpieczenia zainstalowane u użytkowników prywatnych i w małych firmach. Jest też sposób na zbyt wyczulonych użytkowników. Nawet jeśli nie otworzą linka z oszukańczego e-maila, zaufają swoim znajomym, którym… cyberprzestępcy zapłacą prowizję od skutecznie przeprowadzonego ataku. Tego typu ryzyko mogą na firmę sprowadzić zwolnieni z pracy użytkownicy, a przy okazji zyskać niezłą „odprawę”.

Pułapki czyhają również na osoby, które wykonują regularny backup. Ransomware z reguły szyfruje nie tylko dane na komputerze, na którym został zainstalowany i uruchomiony, ale też na dołączonych do niego zewnętrznych pamięciach oraz udziałach sieciowych (np. z serwera NAS). Poza tym istnieje ryzyko, że świeżo zaszyfrowane pliki nadpiszą te właściwe, gdy kopie backupowe wykonywane są cały czas na tym samym nośniku. W takiej sytuacji zawsze trzeba pamiętać o włączeniu wersjonowania plików (przechowywania kilku wersji). Zalecane jest też tworzenie backupu na nośnikach wymiennych.

Czy dzięki ransomware’owi cyberprzestępcy mają przewagę? Trudno powiedzieć, wiele bitew z nimi zostało wygranych, ale na pewno nie można mówić o zbliżającym się końcu wojny. Producenci rozwiązań zabezpieczających twierdzą, że wkrótce konieczne będzie zatrudnienie sztucznej inteligencji, analizującej znacznie dokładniej działanie uruchamianego na komputerach kodu, niż robią to obecnie rozwiązania typu sandbox. 

Natomiast na pewno nie wolno rezygnować z oprogramowania antywirusowego, gdyż wykrywa wszystkie znane już moduły szyfrujące. Można też zaproponować klientowi wdrożenie narzędzi wprowadzających do środowiska użytkownika białe listy aplikacji i analizujących przebieg uruchomionych procesów. Potrafią wykryć trwającą przez dłuższy czas próbę otwierania dużej liczby plików i zmiany ich zawartości, co jednoznacznie wskazuje na trwający proces szyfrowania. Naturalnie konieczne jest kontynuowanie działań edukacyjnych. Gdy prowadzą je przedstawiciele współpracującego z klientem VAR-a lub integratora, jest szansa, że pracownicy podejdą do szkolenia poważniej niż w przypadku prowadzonego przez dział IT. Zawsze też należy wykonywać backup (i weryfikację spójności skopiowanych danych). Nie tylko ze względu na ransomware.

Uporczywe ataki wciąż w modzie

Już od kilku lat za jedno z największych zagrożeń uznawane są ataki typu Advanced Persistent Threat, kierowane przeciwko precyzyjnie wybranym firmom i prowadzone według starannie przygotowanej strategii, po wcześniejszym rozpoznaniu. 

– Ochrona przed występującymi dziś zagrożeniami musi być wszechstronna – mówi Michał Jarski, VP Sales EMEAA w firmie Wheel Systems. – Nie można już bazować wyłącznie na firewallach i zabezpieczeniach sygnaturowych, ponieważ cyberprzestępcy zwykle nie atakują od frontu, ale przez konta uprawnionych użytkowników. Konieczne stało się skrupulatne obserwowanie wszystkich obszarów związanych z IT, które mogą być wykorzystane do ataku: każdy podłączony do sieci system jest potencjalnym punktem wejścia. Należy zwrócić uwagę szczególnie na procesy, w obsługę których zaangażowani są użytkownicy o wyższych uprawnieniach, przede wszystkim na logowanie. Najważniejsze jest szybkie ustalenie, czy loguje się właściwa osoba, czy ktoś podszywający się pod uprawnionego użytkownika. Nagrywanie zainicjowanych przez nich zdalnych sesji jest zawsze dobrym pomysłem, bo może być to jedyny dowód incydentu.

Zespół Global Research & Analysis Team (GReAT), działający w strukturach firmy Kaspersky Lab, wskazał, że w I kwartale 2018 r. miało miejsce ujawnienie luk w procesorach firm AMD i Intel, które mogą zostać wykorzystane do przeprowadzenia ataków typu APT (chociaż na razie zademonstrowano tylko ataki przykładowe, udowadniające istnienie luki). Co prawda producenci systemów operacyjnych wydali już aktualizacje, ale wiadomo, że nie wszyscy administratorzy podchodzą wystarczająco skrupulatnie do ich instalacji. Trudno też zakładać, że wkrótce nastąpi masowa wymiana sprzętu na pozbawiony wad.
Eksperci podkreślają, że cyberprzestępcy coraz częściej do przeprowadzania ataków będą wykorzystywali luki w zabezpieczeniach sprzętu sieciowego (przede wszystkim routerów), jako kolejnego elementu infrastruktury IT, którego oprogramowanie powinno być na bieżąco aktualizowane, a nie jest. Jako przykład można wskazać ujawniony w marcu atak na routery MikroTik przeprowadzony przez grupę Slingshot. Ciekawostką było wykrycie złośliwego oprogramowania wykorzystanego przeciwko organizatorom igrzysk olimpijskich w koreańskim Pyeongchang.

Artykuł Kreatywność przestępców nie zna granic pochodzi z serwisu CRN.

Znacząco zwiększa się częstotliwość ataków DDoS, różnorodność i skala (niektóre przekraczają 200 GB transferu danych na sekundę). Przede wszystkim jednak zauważa się z roku na rok ogromny wzrost liczby ataków wielowarstwowych, które trafiają na nagłówki gazet. Mniej jest natomiast ataków wolumetrycznych. Jednym z powodów zmiany jest to, że przestępcy  coraz częściej obierają za cel aplikacje, a nie same sieci (czasem obie grupy jednocześnie), aby wyrządzić jak największe szkody.

Taka zmiana modelu ataków zmusza przedsiębiorstwa do weryfikacji metod zapewnienia bezpieczeństwa. Ochrona przed DDoS nie może być już realizowana z wykorzystaniem dodatkowego narzędzia, które warto mieć, lecz staje się absolutnie koniecznym, trwałym elementem strategii biznesowej. Musi być nowocześniejsza i skuteczniej niż do tej pory, przewidująca możliwe zagrożenia, zapewniać analizę przepływu danych w warstwach od 3. lub 4. aż do warstwy 7. w modelu ISO/OSI.

Człowiek czy automat?

Dysponując właściwymi rozwiązaniami, przedsiębiorstwa mogą obecnie osiągnąć całkowitą elastyczność działania. Dzięki nim są w stanie odpierać ataki wewnątrz i na zewnątrz firmy, odszyfrowywać ruch SSL oraz dokładnie analizować przesyłane dane w czasie rzeczywistym. Korzyści płynące z takich hybrydowych rozwiązań są coraz wyraźniejsze, szczególnie gdy konieczne jest częste przenoszenie danych z chmur prywatnych do publicznych i odwrotnie.

Bardzo istotne są behawioralne aspekty ataków DDoS. Narzędzia zapobiegawcze muszą wykazać się znajomością zarówno zasad działania aplikacji, jak i jej mechanizmów. Powinny wykrywać, gdzie leży problem i czy atakujący jest człowiekiem, czy nie. Tego typu analiza danych możliwa jest tylko dzięki zautomatyzowaniu procesu nauki oraz połączeniu go z innymi metodami ochronnymi, przede wszystkim analizą przepływu danych między klientami a serwerami aplikacji w centrach danych.

F5 Network oferuje komplet rozwiązań, które pomagają w skutecznym odpieraniu ataków DDoS. Jako lider rynku systemów służących do zarządzania aplikacjami sieciowymi, zna wszystkie mechanizmy odpowiedzialne za ich poprawną i wydajną pracę oraz bezpieczeństwo. Dzięki temu potrafi śledzić ataki, przewidywać zagrożenia, które mogą wpłynąć na stabilność aplikacji, oraz określać różnego typu trendy. Za ten aspekt działalności producenta odpowiada założone i zarządzane przez F5 Networks wielooddziałowe globalne Centrum Bezpieczeństwa (Security Operations Center), którego polska placówka powstała w Warszawie we wrześniu 2015 r.

Centrum Bezpieczeństwa gwarantuje całodobowy kontakt z ekspertami kontrolującymi na bieżąco globalne ataki wielowarstwowe. Analitycy F5 Networks badają tam nowe rodzaje zagrożeń pojawiające się na całym świecie i stale odświeżają bazę informacji dotyczących najnowszego złośliwego oprogramowania oraz ataków phisingowych i zero-day wymierzanych w przedsiębiorstwa.

Autoryzowanymi dystrybutorami rozwiązań F5 Networks w Polsce są firmy Clico i Veracomp.

Artykuł powstał we współpracy z firmami F5 Networks, Clico i Veracomp.

Artykuł Co warto wiedzieć o atakach DDoS na aplikacje pochodzi z serwisu CRN.

Pierwotnie celami ataków DDoS były sieci operatorskie lub infrastruktura IT dużych centrów danych, natomiast dzisiaj zaatakowane mogą być każdego rodzaju usługi – portale aplikacyjne, witryny e-handlu, poczta elektroniczna, serwisy z filmami czy grami lub serwery DNS. W czasie ataku z reguły blokowana jest cała przepustowość internetowego łącza przedsiębiorstwa, przez co niemożliwe staje się normalne wykonywanie zadań przez pracowników oraz świadczenie usług klientom. Finalnie prowadzi to do utraty zysków, a także – co chyba najważniejsze – do utraty reputacji i zaufania klientów.

Skuteczna walka z atakami

Huawei stworzył rozwiązanie umożliwiające przeciwdziałanie skutkom ataków DDoS, które mają na celu blokowanie warstwy aplikacyjnej (wykorzystującym zarówno protokół IPv4, jak i IPv6) oraz ochronę przed ponad 200 rodzajami złośliwych kodów, zawierających konie trojańskie, robaki czy aplikacje do tworzenia komputerów zombie. Zapewnia ono bezpieczeństwo sieci i ciągłość pracy centrów danych przedsiębiorstw oraz usług świadczonych przez operatorów telekomunikacyjnych i przez dostawców e-commerce.

Stworzone przez Huawei urządzenia z rodziny Anti-DDoS skanują każdy pakiet przechodzący przez sieć. Obrona uruchamiana jest natychmiast, gdy tylko zostanie zaobserwowany atak (średni czas reakcji – ok. 2 sekund). Przepustowość systemu skanującego, w zależności od modelu, wynosi od 2 Gb/s do aż 1,44 Tb/s. W rozwiązaniach tych stosowanych jest wiele technik, m.in. filtrowanie we wszystkich siedmiu warstwach sieci, analiza behawioralna pakietów oraz monitorowanie sesji. Producent zapewnia także dodatkowy moduł DNS cache, który udrażnia cały system w momencie długotrwałego i intensywnego ataku na serwery DNS.

W urządzeniach zabezpieczających marki Huawei wykorzystany został system analizy reputacyjnej V-ISA. Zapewnia on nie tylko ochronę przeciwko znanym rodzajom ataków typu DDoS, ale także jest w stanie identyfikować ruch sieciowy z różnego typu urządzeń (set-top-box, terminali, nietypowych systemów klienckich) w celu wyeliminowania ewentualnych fałszywych informacji o ataku.

Konstrukcja rozwiązania

W ofercie Huawei są dwie rodziny urządzeń AntiDDoS1000 (modele AntiDDoS1650 i AntiDDoS1680) oraz AntiDDoS8000 (modele AntiDDoS8030, AntiDDoS8080 i AntiDDoS8160). Urządzenia z rodziny 8000 są modularne – wersja 8030 może składać się z dwóch modułów Service Processing Unit, 8080 – z siedmiu, a 8160 – z czternastu.

Poszczególne urządzenia różnią się wydajnością: systemy z rodziny 1000 są w stanie przetworzyć do 10 mln pakietów na sekundę (Mp/s) i od 5 do 10 Gb/s ruchu sieciowego, a każdy moduł SPU urządzeń z rodziny 8000 – do 60 mln pakietów na sekundę (maks. odpowiednio: 90, 420 i 840 Mp/s) oraz 160 Gb/s ruchu sieciowego (maks. odpowiednio: 120, 720 i 1440 Gb/s).

Rozwiązanie Huawei Anti-DDoS składa się z trzech głównych komponentów: modułu wykrywającego, oczyszczającego i zarządzającego. Nieustannie współpracują one ze sobą, wymieniając się informacjami, i są objęte spójnymi regułami polityki bezpieczeństwa.

Moduł zarządzający (ATIC Management Center) to mózg całego rozwiązania Anti-DDoS. Umożliwia użytkownikowi dostosowywanie do własnych potrzeb reguł polityki wykrywania i czyszczenia ruchu w sieci, a następnie przekazuje wszystkie parametry konfiguracyjne do modułów wykrywającego i oczyszczającego. Zapewnia też pełne raporty z wykonanej pracy. Moduł wykrywający (Detecting Center) pełni rolę „anteny” całego rozwiązania. Analizuje wszystkie pakiety na podstawie reguł polityki bezpieczeństwa dostarczanych przez moduł zarządzający, identyfikuje i wykrywa ruch typu DDoS, a następnie przekazuje informacje o tym fakcie do modułu zarządzającego. Natomiast zadaniem modułu oczyszczającego (Cleaning Center) jest „przesiewanie” całego ruchu zgodnie z algorytmami, w które wyposażone jest rozwiązanie Anti-DDoS.

Anti-DDoS na wynajem

Oferowane przez Huawei rozwiązanie Anti-DDoS zostało skonstruowane tak, aby jego właściciel mógł wynajmować jego zasoby swoim klientom w razie potrzeby. Korzystają z tego najczęściej operatorzy internetowych centrów danych, którzy zyskują zarówno gwarancję dostępu klientów do ich usług, jak i dodatkowe przychody ze świadczenia usług anty-DDoS.

W ramach wynajmowania zasobów z urządzeń Huawei mogą korzystać równolegle nawet dziesiątki tysięcy użytkowników. Każdy z nich może samodzielnie konfigurować reguły polityki bezpieczeństwa oraz otrzymywać indywidualnie generowane raporty opisujące przebieg ataku i sposób, w jaki mu przeciwdziałano.

Ponadto Huawei oferuje rozwiązanie Anti-DDoS do wynajęcia działające w całości w chmurze. Jest to jedyne rozwiązanie zabezpieczające użytkowników przed atakami o bardzo dużej skali, które przekraczają wydajność wykupionego od operatora łącza. Rozwiązanie Anti-DDoS może również działać w sposób hybrydowy – mniejsze ataki filtrować lokalnie na dostarczonym sprzęcie producenta, a większe w centrum danych dostawcy usługi.

Dodatkowe informacje:

Paweł Wachelka,
IP Product Manager Enterprise Networking

Solutions, Huawei Enterprise, tel. 605 174 269,

Pawel.Wachelka@huawei.com

Artykuł powstał we współpracy z firmą Huawei Enterprise.

Artykuł Huawei ułatwia walkę z DDoS pochodzi z serwisu CRN.

DDoS (Distributed Denial of Service) polega na zajęciu wszystkich wolnych zasobów serwerowych ofiary. Przeprowadza się go z kontrolowanych przez cyberprzestępców komputerów i serwerów „zombie”, tworzących botnet.

Zagrożone są firmy z branży handlu detalicznego (55 proc. ataków dotyczących aplikacji webowych w III kw.), natomiast największe ataki (mierzone w pakietach na sek.) dotknęły branżę mediów i rozrywki (do 222 mln pakietów na sek.). Pod względem liczby ataków DDoS nr 1 wśród ofiar są serwisy z grami online (50 proc.), a za nimi firmy z branży oprogramowania i technologii.

Zdaniem polskich MSP pytanych przez Integrated Solutions, po malware największe straty finansowe powodują akcje DDoS (38 proc. odpowiedzi), czyli przedsiębiorcy będą szukać sposobów na ochronę przed takim niebezpieczeństwem.

Stwierdzono, że ataki są zwykle krótsze niż kiedyś (blisko 19 godz. wobec ponad 22 godz. rok temu). Tym niemniej grożą dużymi stratami i utratą zaufania klientów. Firmy często nie zdają sobie sprawy, że trwa atak DDoS. Mogą go zwiastować takie objawy, jak brak dostępności witryny internetowej lub wydłużony czas jej wczytywania, wzrost wiadomości spamowych, spadek wydajności sieci bądź przedłużająca się odmowa dostępu do usług internetowych. Sygnałem ostrzegawczym powinien być też wzrost liczby zapytań do działów obsługi klienta.

– Jeśli którakolwiek z wymienionych sytuacji ma miejsce, istnieje bardzo duże prawdopodobieństwo, że firma znalazła się na celowniku cyberprzestępcy – komentuje Ewelina Hryszkiewicz, Product Manager z ATM.

Artykuł Więcej niż kiedykolwiek ataków DDoS pochodzi z serwisu CRN.

Mit 1: Wystarczą firewalle, rozwiązania IPS i CDN

Ewolucja infrastruktury IT i coraz powszechniejsze wykorzystanie zewnętrznych platform bazujących na chmurze obliczeniowej sprawiły, że coraz trudniej określić granice złożonego środowiska IT. Mimo to tradycyjne „graniczne” rozwiązania zabezpieczające, takie jak firewalle i IDS/IPS, nadal tworzą podstawę ochrony sieciowej. Ponieważ urządzenia te przeprowadzają kontrolę połączeń sieciowych (stateful inspection), same są narażone na pewne rodzaje ataków DDoS, co jeszcze bardziej komplikuje sprawę.

Panuje też przekonanie, że rozwiązania typu Content Delivery Network skutecznie zabezpieczają przed atakami DDoS. W rzeczywistości CDN w niewielkim stopniu przeciwdziała DDoS, a absorbując wielkie ilości danych, często przepuszcza atak. Dodatkowo większość bazujących na CDN zabezpieczeń antyDDoS skupia się na absorbowaniu ataków HTTP/ HTTPS, ignorując pozostałe, w tym bardzo powszechne ataki wzmacniania NTP/DNS.

Mit 2: Wystarczy jedna warstwa ochrony antyDDoS

Ponieważ dzisiejsze ataki DDoS są dynamiczną kombinacją ataków wolumetrycznych (typu TCP state exhaustion) oraz aplikacyjnych, najskuteczniejsze metody ich zwalczania polegają na stworzeniu ochrony warstwowej.

Najlepszym miejscem do zatrzymania dużego, zalewającego pakietami ataku jest chmura dostawcy Internetu (w której DDoS zostanie zneutralizowany zanim osiągnie łącze klienta) oraz lokalne (on-premise) systemy antyDDoS. Z kolei miejscem, w którym powinny być neutralizowane trudne do wykrycia ataki aplikacyjne, jest infrastruktura klienta. Kluczowe w walce z dynamicznymi, wielokierunkowymi atakami DDoS jest więc zapewnienie inteligentnej komunikacji między tymi dwiema warstwami, wspartej najaktualniejszymi informacjami o zagrożeniach.

Niestety wiele przedsiębiorstw ogranicza się do jednej warstwy obrony przed DDoS, przez co nie są chronione w wystarczającym stopniu.

Mit 3: Nie będziemy celem, więc można zaryzykować

Wzrost liczby ataków DDoS jest spowodowany dwoma czynnikami. Pierwszy to łatwość ich przeprowadzenia, drugi – coraz większa liczba motywów ich dokonywania. Dziś każdy może po prostu pobrać za darmo narzędzie do samodzielnego wykonania DDoS albo zapłacić niewielką sumę tym, którzy taki atak oferują w formie usługi. Cena może wynosić zaledwie kilkaset złotych, a atak może przynieść ofierze straty liczone w dziesiątkach milionów złotych. Motywów ataków DDoS jest wiele, nie ograniczają się już do finansowych zysków i akcji wrogich firm.

Obecnie zaszkodzić może ktoś, kto nie zgadza się z naszymi poglądami czy politycznymi przekonaniami. Wystarczy, że użyje jednego z wielu narzędzi lub usług. Co więcej, jeśli usługi firmy działają we współdzielonym środowisku chmury, wcale nie musi być ona celem ataku DDoS, by odczuć jego skutki.

Mit 4: Konsekwencje ataku nie uzasadniają kosztów ochrony

Następstwa ataku mogą być natychmiastowe i dotkliwe. Jednak wiele przedsiębiorstw nie przeprowadza analiz ryzyka i metod przeciwdziałania, które pomogłyby uzasadnić zakup zaawansowanego rozwiązania antyDDoS. Oczywiście, ocena wpływu przestoju na przychody nie jest niczym skomplikowanym, ale czy obejmuje wszystkie straty, jakie przyniesie przedsiębiorstwu atak DDoS?

Jest wiele pośrednich kosztów, które zwykle się ignoruje, takich jak: kary związane z niedotrzymaniem SLA, koszty prawne i wydatki na PR mający zredukować straty wizerunkowe, odpływ klientów itp. Zdarzały się przypadki, że z powodu złego przygotowania firmy do obrony przed atakami DDoS i innymi zagrożeniami doszło do zwolnień w jej zarządzie.

Mit 5: DDoS nie są zaawansowanymi atakami

Rzeczywiście, z technicznego punktu widzenia ataki DDoS mogą nie być uważane za zaawansowane. Jednak ostatnie analizy botnetów wykazały, że są one ściśle powiązane z przestępczymi działaniami wykorzystującymi zaawansowane zagrożenia oparte na malware czy RAT (RemoteAccess Trojan).

Udokumentowano np. przypadki, gdy DDoS były używane podczas:

– wstępnego, rozpoznawczego etapu, który miał służyć sprawdzeniu zdolności przedsiębiorstwa do reagowania na pewnego rodzaju zagrożenia,

– etapu dostarczania bądź uzbrajania malware – do przepełniania logów rozwiązań ochronnych, aby znacznie utrudnić odnalezienie śladów wprowadzonego do systemu złośliwego kodu,

– etapu wykradania danych – DDoS był elementem dywersji.

Dlatego trzeba sobie zadać pytanie: czy ostatni atak DDoS, jakiego doświadczyliśmy, był odosobnionym przypadkiem, czy może jednym z elementów zaawansowanego ataku wymierzonego w przedsiębiorstwo? Aby zwiększyć szanse na prawidłową odpowiedź i odkryć pierwsze symptomy zagrożenia (jeszcze zanim dojdzie do poważnych szkód), warto skorzystać z globalnej usługi proaktywnego śledzenia zagrożeń.

Arbor Networks– wielowarstwowa ochrona antyDDoS

Korzystanie z tradycyjnych rozwiązań bezpieczeństwa (takich jak firewallei IPS) bądź zakładanie, że firma nie będzie celem cyberprzestępców to narażanie jej na olbrzymie ryzyko. Czy przedsiębiorstwo stać na to, by krytyczne aplikacje przestały być dostępne? Czy da radę ponieść koszty wycieku tysięcy wrażliwych danych jego klientów? Odpowiedzią na te pytania powinno być zintegrowane, wielowarstwowe podejście do ochrony przed DDoS. Arbor Networks oferuje kompleksowy zestaw produktów i usług antyDDoS. Nad skutecznym funkcjonowaniem systemów producenta czuwa zespół Arbor Security Engineering and Response Team, wykorzystujący partnerstwo z większością światowych dostawców Internetu umożliwiające uzyskiwanie szczegółowego obrazu globalnych zagrożeń. Działalność ASERT przynosi klientom Arbor wiele korzyści w ramach Active Threat Level Analysis System (patrz: schemat powyżej).

Arbor udostępnia ujednoliconą i sprawdzoną ochronę przed cyberatakami. Wchodzące w skład oferty producenta rozwiązanie Pravail APS zapewnia wykrywanie anomalii w sieci. Dzięki zintegrowaniu z systemem zarządzania zagrożeniami ATLAS Intelligence Feed skutecznie identyfikuje oraz powstrzymuje ataki DDoS, zarówno sieciowe, jak i aplikacyjne. Pravail APS (on premise) charakteryzuje się elastycznymi opcjami wdrożenia (na ścieżce ruchu lub w trybie bypass).

Z kolei Arbor Peakflow to rozwiązanie ochrony antyDDoS typu out of band, stosowane w sieciach operatorskich, polecane dostawcom Internetu, firmom świadczącym usługi chmurowe itp. Wykorzystuje analizę informacji o przepływach (flows) z urządzeń sieciowych oraz ściśle współpracuje z systemem ATLAS.

Producent oferuje także platformę Arbor Cloud, która zapewnia usługi ochrony i czyszczenia ruchu „na żądanie” (scrubbing), w momencie wykrycia ataku na zasoby klienta, takie jak łącza, usługi oraz aplikacje.

Dodatkowe informacje:

 

Mariusz Bajgrowicz,

Regional Sales Director, Zycko Polska,

mariusz.bajgrowicz@zycko.com

Artykuł powstał we współpracy z firmami Arbor Networks i Zycko Polska.

Artykuł Arbor Networks obala mity na temat DDoS pochodzi z serwisu CRN.

Palącym problemem stają się zmasowane, nastawione na
sparaliżowanie internetowego biznesu i systemu łączności ataki typu DDoS.
Co gorsza, można je w przestępczych serwisach internetowych zamówić już za
100 dol. Za tę niewielką kwotę kupujący doprowadzi do wygenerowania ruchu
o wolumenie kilku gigabitów na sekundę, który przez 24 godziny skutecznie
zablokuje działalność dowolnej firmy. Ponieważ większość polskich klientów
biznesowych nie dysponuje łączem o przepustowości większej niż
1 Gb/s, tego rodzaju cybernajazd oznacza całkowite odcięcie od kluczowych
zasobów (np. CRM), od możliwości składania zamówień czy wszelkiej komunikacji
przez Internet.

Coraz częściej dla atakujących ważniejsze niż sam efekt
w postaci blokady staje się dążenie do odwrócenia uwagi personelu IT od
innych, równocześnie prowadzonych działań, w szczególności ataków APT.
Skuteczne zabezpieczenie się przed zagrożeniami typu DDoS nie jest łatwym
zadaniem. Można budować własne rozwiązania i systemy bądź polegać na
usługach firm zewnętrznych. Optymalnym rozwiązaniem wydaje się umiejętne
połączenie obu strategii obrony.

Jak ważna jest kwestia obrania właściwej taktyki, bardzo
obrazowo dowodzi case study z ataku socjotechnicznego zaprezentowane przez
Piotra Koniecznego z portalu Niebezpiecznik.pl („Od jednego maila do
kradzieży 9 milionów”).

– Wykradliśmy wszystkie informacje związane
z wejściem firmy na giełdę. Wyciągi z firmowego konta, które były
przesyłane mailowo. Stan konta. Dochody tej firmy z reklam, negocjacje
biznesowe, dane osobowe… – mówił Piotr Konieczny. – Koszt
ataku: 67 zł plus 21 dni, a wniosek taki, że każdego da się oszukać,
zwłaszcza gdy trafimy na jego słaby dzień. Dlatego firmy powinny starać się jak
najbardziej minimalizować ryzyko takich zdarzeń…

Dwudniowa konferencja Advance Threat Summit odbyła się
w Warszawie i zgromadziła ponad 300 uczestników.

Trzy pytania do…

Guillaume’a Loveta, Cybercrime Analyst & Threat
Response Managera w Laboratoriach FortiGuard firmy Fortinet

CRN
Jak w ostatnich latach zmieniały się zagrożenia IT?

Guillaume Lovet W ewolucji zagrożeń można
wyróżnić trzy fazy. Pierwsza to tworzenie złośliwego oprogramowania dla
zabawy. Tylko po to, aby wywołać chaos w Internecie i osiągnąć sławę.
Druga to monetyzacja malware’u tworzonego z myślą o komputerach PC
z systemem Microsoft Windows. A teraz obserwujemy trzecią, która
polega na tworzeniu złośliwego oprogramowania do urządzeń mobilnych
z systemem Android i zarabianiu na nim.

 

CRN Jak
poważnym problemem są ataki na urządzenia mobilne?

Guillaume Lovet Z punktu widzenia
cyberprzestępców Android jest nowym Windowsem. Przede wszystkim z powodu
popularności tej platformy. Po drugie system ten ma taki sam model instalacji
oprogramowania jak Windows, a więc tę samą podatność na ataki.
W odróżnieniu jednak od windowsowych komputerów PC uderzenia
w urządzenia z Androidem jest znacznie łatwiej zmonetyzować.
W przypadku smartfonów mamy bowiem do czynienia ze zintegrowanym sposobem
płatności – przez numery i SMS-y premium. Skuteczniejsza staje się
też metoda wymuszania okupu z wykorzystaniem ransomware’u blokującego
smartfon. Ponieważ to urządzenie, bez którego użytkownik nie może się obejść,
chętniej zapłaci za odblokowanie niż w przypadku peceta. W razie
ataku na smartfon łatwiej jest też wykorzystać i spieniężyć przechwycone
hasła do kont bankowych. Uzyskuje się bowiem dostęp do urządzenia, za pomocą
którego jednocześnie przeprowadza się transakcje i dokonuje się dodatkowego
uwierzytelnienia operacji bankowych.

 

CRN
Na ile skuteczne są tego typu działania?

Guillaume Lovet Finansowo motywowany atak ma
zawsze dwie fazy: uzyskanie dostępu do ofiary i monetyzację. Aby uzyskać
dostęp, zwykle na masową skalę rozsiewany jest malware, a następnie
wprowadzane są różne przestępcze modele biznesowe. Najprostszy z nich
wykorzystuje przejęte bankowe dane uwierzytelniające. Jest on jednak stosunkowo
nowy, bo przed nim zainfekowane komputery wykorzystywano głównie do wysyłania
spamu, przeprowadzania ataków DDoS czy wyświetlania reklam poprzez adware.
Teraz monetyzacja malware’u stała się znacznie bardziej bezpośrednia, bo polega
np. na kradzieży haseł dostępu do kont bankowych czy infekowaniu złośliwym
oprogramowaniem wymuszającym okup (ransomware). Scena tego rodzaju przestępstw
zrobiła się wielopoziomowa, a ci, którzy stoją na jej szczycie, osiągają
zwrot z inwestycji ponad 400-krotny.

Artykuł APT i DDoS – jest się czego bać pochodzi z serwisu CRN.

Gdy punkty końcowe zaatakowanej sieci zostaną zainfekowane, niewykrywalny złośliwy kod umożliwi napastnikowi zdalne przejęcie kontroli nad kolejnymi firmowymi komputerami. Atakujący może wykradać dane, użyć przejęte komputery do rozpowszechniania spamu, dystrybucji malware, przeprowadzania ataków typu DDoS (Distributed Denial of Service) itp. A wszystko robi oczywiście bez wiedzy użytkowników komputerów. Tworzone w ten sposób botnety odgrywają kluczową rolę w ukierunkowanych, zaawansowanych atakach, określanych jako APT (Advanced Persistent Threats).

Malware w piaskownicy

Threat Emulation firmy Check Point chroni przed zagrożeniami związanymi z niezidentyfikowanym jeszcze złośliwym kodem, atakami ukierunkowanymi i typu zero-day. To innowacyjne rozwiązanie szybko otwiera pliki w odseparowanym wirtualnym środowisku testowym (sandbox) i – analizując ich zachowanie – gwarantuje stwierdzenie, czy są niebezpieczne, czy też nie. W ten sposób malware zostaje zidentyfikowany zanim przedostanie się do sieci. To lepiej niż w tradycyjnych zabezpieczeniach, skupiających się na wykrywaniu niebezpieczeństwa na podstawie listy sygnatur, które powiadamiają o zagrożeniu, gdy już rozprzestrzeni się w sieci. Threat Emulation blokuje działanie nieznanego wcześniej złośliwego kodu, dzięki czemu nie dochodzi do infekcji. Zatem zarówno czas, jak i koszty związane z odwracaniem skutków działania złośliwego oprogramowanie są zredukowane do zera.

Rozwiązanie Threat Emulation zapobiega zagrożeniom dzięki dogłębnej analizie pobranych plików i załączników w wiadomościach e-mail, takich jak pliki wykonywalne, dokumenty PDF lub z pakietu Microsoft Office. Potencjalnie niebezpieczne pliki są otwierane wewnątrz wirtualnego środowiska testowego i na bieżąco monitorowane pod kątem nietypowych aktywności w systemie, m.in. sprawdzane są zmiany dokonywane w rejestrze, nawiązywanie połączeń sieciowych, uruchamianie procesów systemowych. Informacje te wyświetlane są w czasie rzeczywistym.

Jeżeli plik zostanie zakwalifikowany jako złośliwe oprogramowanie, jest natychmiast blokowany. Sygnatura wykrytego malware jest od razu rejestrowana w działającej w chmurze usłudze ThreatCloud (największej dostępnej w tym modelu bazie informacji o zagrożeniach), a potem rozpowszechniana do wszystkich podłączonych bram w celu automatycznej ochrony przed nowym zagrożeniem. W ten sposób w mgnieniu oka chronieni są wszyscy klienci firmy Check Point.

Trzy pytania do…

Filipa Demianiuka, Channel Managera Check Point Software Technologies
 

CRN Dlaczego uważacie, że reseller powinien postawić na rozwiązania Check Point?

Filip Demianiuk Jednym z kluczowych czynników decydujących o rynkowym powodzeniu rozwiązań zabezpieczających jest zaufanie. Partnerzy są tutaj w komfortowej sytuacji, ponieważ tworzone przez Check Point technologie cieszą się zaufaniem zarówno ogromnej liczby klientów, jak i analityków. Nasi resellerzy zyskują też opinię lojalnego partnera w biznesie, co gwarantuje im osiągnięcie większych i bardziej stabilnych zysków.

CRN W takim razie, czym rozwiązania Check Point wyróżniają się na tle innych produktów do ochrony sieci?

Filip Demianiuk Od ponad 20 lat Check Point jest czołowym producentem na rynku systemów zabezpieczeń. O najwyższej jakości naszych produktów świadczą nie tylko liczne nagrody i wyróżnienia, ale również uznanie analityków, którzy nasze rozwiązania dla przedsiębiorstw lokują w tzw. kwadracie liderów nieprzerwanie od 1999 r. W dobitny sposób pokazuje to, że inwestycja w nasze rozwiązania znakomicie wytrzymuje próbę czasu. Zaufanie, jakim obdarzają nas klienci, przekłada się na długofalowe zwiększenie poziomu bezpieczeństwa w ich przedsiębiorstwach.

CRN Na czym polega architektura Software Blade?

Filip Demianiuk Software Blade jest logicznym, niezależnym, modułowym, centralnie zarządzanym systemem zabezpieczeń. Wykorzystując to rozwiązanie, nasi klienci mogą łatwo konfigurować system tak, aby pełnił funkcje, których w danym momencie potrzebują. Wraz ze zmianą potrzeb szybko można uruchomić dodatkowe moduły w celu zwiększenia bezpieczeństwa istniejącej infrastruktury, a wszystko to na tym samym urządzeniu bazowym. Podstawowe zalety Check Point Software Blade to elastyczność, łatwość obsługi, gwarantowana wydajność, niskie koszty eksploatacji oraz ochrona we wszystkich punktach i w każdej warstwie sieci..

Nowa warstwa ochrony

Aby skutecznie zwalczać nowe zagrożenia, warto zastosować dodatkową warstwę ochrony, która będzie wykrywać i eliminować zainfekowane punkty końcowe połączone z siecią.

W komputerach często rezyduje złośliwe oprogramowanie tworzące botnety, ponieważ tradycyjne systemy antywirusowe nie są w stanie go wykryć. Rozwiązanie Anti-Bot Software Blade firmy Check Point identyfikuje zainfekowane złośliwym kodem maszyny, używając do tego ThreatSpect – unikatowej wielowarstwowej techniki wykrywania zagrożeń i ochrony przed nimi. Dzięki dostarczanym w ramach usługi ThreatCloud aktualizacjom – określającym sposoby działania botnetów, wzorce komunikacji i zachowania zainfekowanych komputerów – rozwiązanie firmy Check Point zapewnia ochronę sieci komputerowych przed rozprzestrzenianiem się epidemii. Aby wykryć obecność botnetu, korelowane są informacje dotyczące adresów zdalnych operatorów botnetów (w tym IP, DNS i URL), unikatowych wzorców komunikacji botnetów oraz natury ataku polegającego np. na dystrybucji spamu lub użyciu mechanizmu clickfraud.

Rozwiązanie Anti-Bot Software Blade wykrywa zainfekowane botami komputery i zapobiega szkodliwym działaniom przez blokowanie komunikacji z serwerami C&C (Command and Control) używanymi przez cyberprzestępców do zarządzania botnetami. Ma ono dostęp do listy adresów C&C, aktualizowanej na bieżąco przez usługę ThreatCloud. Dzięki temu wykrywa pozostające w ukryciu boty, zanim ich działanie spowoduje jakieś szkody.

Zarówno Threat Emulation, jak i Anti-Bot Software Blade, to rozwiązania zintegrowane w ramach architektury Software Blade. W efekcie tej integracji klienci mogą szybko rozszerzać zakres ochrony, by spełniała ich bieżące potrzeby, tym samym oszczędzając czas i pieniądze. Aktywacja oprogramowania w ramach wykorzystywanych już przez firmę rozwiązań Check Point Security Gateway nie powoduje konieczności wymiany sprzętu i umożliwia centralne zarządzanie regułami polityki bezpieczeństwa za pomocą jednej, intuicyjnej konsoli.

Dodatkowe informacje:

Filip Demianiuk,

Check Point Software Technologies

filipd@checkpoint.com

Artykuł powstał we współpracy z firmami Check Point Software Technologies i RRC Poland

Artykuł Check Point pomaga walce z nowym rodzajem zagrożeń pochodzi z serwisu CRN.