Štúdia Cisco: Heartbleed hrozí viac ako polovici firiem
Nepoučení, či nezodpovední užívatelia boli dlho považovaní za najväčšiu hrozbu pre kybernetickú bezpečnosť vo firmách. Výsledky pravidelnej štúdie Cisco Annual Security Report však naznačujú, že rovnako veľkým nebezpečenstvom môžu byť aj IT profesionáli. Často totiž zanedbávajú pravidelné aktualizácie a bezpečnostné záplaty a tým otvárajú dvere internetovým útočníkom. Tí na útoky využívajú práve známe bezpečnostné chyby. Používanie starých verzií programov, ovládačov, či knižníc preto môže znamenať riziko veľkých strát.
Hlavné zistenia:
- 59 % IT riaditeľov (CIO) považuje bezpečnostné procesy vo svojej spoločnosti za optimalizované. Súhlasí s nimi 46 % bezpečnostných špecialistov
- Pritom však 56 % firiem stále používa knižnice OpenSSL staršie ako 50 mesiacov a sú tak stále ohrozené chybou Heartbleed
- Len 10 % užívateľov prehliadača Internet Explorer používa jeho najnovšiu, najlepšie zabezpečenú verziu
- Množstvo spamu sa medzi januárom a novembrom 2014 celosvetovo zvýšilo o 250 %
- 31 % útokov využíva známe zraniteľnosti v prehliadači Internet Explorer, 19 % útokov pripadá na produkty Adobe
- Počet útokov prostredníctvom Javy poklesol o 34 %, naopak Silverlight zaznamenal nárast o 228 %
- Počet exploit kitov poklesol od zatknutia tvorcu exploit kitu Black Hole o 88 %
Napriek tomu, že sa o bezpečnostnej chybe Heartbleed aj v slovenských médiách objavili desiatky článkov a vyhľadávač Google ponúkne tisícky výsledkov zo slovenských stránok, firmy pred touto hrozbou nie sú zďaleka v bezpečí. Ako ukazujú výsledky pravidelného výskumu Cisco Annual Security Report 2015, až 56 % firiem stále používa zastarané knižnice OpenSSL, obsahujúce túto zraniteľnosť. Je to ako keby bezpečnostní špecialisti nechali kybernetickým útočníkom otvorené vstupné dvere a ešte im na ne nalepili všetky vstupné kódy a heslá.
„Medzi útočníkmi a bezpečnostnými špecialistami prebieha nekončiaci sa súboj,“ hovorí Roman Janovič, technický riaditeľ spoločnosti Cisco pre región východnej Európy. „Útočníci využívajú stále dômyselnejšie metódy. Spôsoby obrany, ktoré fungovali kedysi, dnes profesionálnym zločincom v ich konaní nezabránia. Okrem toho, efektívna obrana musí fungovať nielen po útoku, ale aj v jeho priebehu a dokonca ešte pred ním. S trochou preháňania sa dá povedať, že každá firma už v skutočnosti napadnutá bola, len niektoré o tom ešte nevedia. Dôležitou úlohou je pri takomto napadnutí minimalizovať škody,“ dodáva R. Janovič.
„Porozumieť správaniu malvéru potom, ako prenikne do zákazníkovej siete, je čoraz dôležitejšie,“ dodáva aj Peter Mesjar, expert pre oblasť bezpečnosti zo spoločnosti Cisco Slovensko. „Cisco v súčasnosti vyvíja pokročilé technológie, ktoré sú schopné z pozorovania správania siete odhaliť prítomnú nákazu v čase medzi preniknutím malvéru do systému a spôsobením škody.“
Cisco Annual Security Report ukazuje stále sa rozširujúcu priepasť medzi bezpečnostnými politikami firiem a skutočnými činmi IT špecialistov na kybernetickú bezpečnosť. Nejde totiž len o Heartbleed. Veľmi podobná situácia je napríklad aj v prípade internetových prehliadačov, ktoré sú pre veľký počet užívateľov každodenným pracovným nástrojom. Dnes už neslúžia len na prístup k bežným internetovým stránkam, ale i k stále populárnejším cloudovým službám a aplikáciám. Podľa výsledkov štúdie je len 10 percent prístupov na internetové stránky z prehliadača Internet Explorer z jeho najnovšej verzie.
Útočníkom pomáhajú sami užívatelia
Najčastejšie využívaná verzia je pritom staršia ako 31 mesiacov. Znamená to, že stále obsahuje bezpečnostné hrozby, ktoré sú útočníkom dávno známe a ktoré v najnovších verziách už výrobca odstránil. Výrazne lepšia situácia je v prípade prehliadača Google Chrome. Pretože tento prehliadač má nastavené automatické aktualizácie, celých 64 percent prístupov na internet z Google Chrome je z jeho najnovšej verzie.
To je veľmi dôležité, pretože kyberzločinci čiastočne menia taktiku. Inšpirovali sa podobným modelom, aký používajú niektorí výrobcovia softvéru, ktorí poskytnú základný program zdarma a spoplatňujú len pokročilé funkcie. Kybernetickí útočníci sa tak už nesnažia zarobiť veľa peňazí jedným veľkým útokom, ale spoliehajú sa skôr na veľké množstvo napadnutých užívateľov. Prostredníctvom ich prehliadačov môžu viesť ďalšie útoky alebo získavať postupne obchodovateľné informácie, či dáta. Tvorcovia malvéru využívajú napríklad webové doplnky ako prostriedok na šírenie škodlivého softvéru a nevyžiadaných aplikácií. Táto taktika sa zo strany útočníkov ukázala ako úspešná, pretože užívatelia doplnkom dôverujú alebo ich považujú za neškodné. Nevedomky si tak sami nainštalujú škodlivý softvér.
„Zločinci v kyberpriestore sa nezaobídu bez pomoci užívateľov, ktorí im často nevedomky otvoria dvere ku kybernetickému útoku,“ varuje Peter Mesjar a dodáva: „Útočníci často využívajú servery s dobrou povesťou alebo dôveryhodné e-mailové adresy na to, aby oklamali aj obozretných užívateľov. Ak navyše IT odborníci podcenia aktualizácie a inštalácie bezpečnostných záplat, majú útočníci veľmi uľahčenú prácu.“
Snežnicový spam
Cisco Annual Security Report ukazuje, že táto taktika sa prejavuje napríklad pri rozosielaní spamu. Namiesto jedného napadnutého serveru používajú dnešní kyberzločinci takzvanú snežnicovú taktiku (Snowshoe spam). Spamy posielajú z obrovského množstva napadnutých počítačov s veľkým množstvom IP adries, čo komplikuje ich odhalenie. Navyše sú útočníci schopní spamovú správu automaticky meniť, aby oklamali spamové filtre. Podarilo sa zaznamenať až 95 rôznych variácií jednej spamovej správy.
Škodlivé e-maily často obsahujú nebezpečné prílohy, útočníci pritom zneužívajú identitu dôveryhodných odosielateľov alebo sa nebezpečný obsah snažia maskovať ako dôveryhodný. Práve tieto útoky podčiarkujú dôležitosť pravidelných aktualizácií. Útočníci na ne využívajú známe zraniteľnosti v programoch od spoločnosti Adobe, na ktoré pripadá 19 percent útokov. Takmer v tretine prípadov zase zneužívajú chyby v prehliadači Internet Explorer.
Hoci objem spamu nedosahuje rekordné hodnoty z minulých rokov, Cisco Annual Security Report ukazuje varovný trend. Množstvo spamu sa len medzi januárom a novembrom minulého roka zvýšilo o 250 percent. Zdá sa, že snežnicová taktika je pomerne účinnou zbraňou útočníkov.
Falošný pocit bezpečia
Kybernetickí útočníci môžu ťažiť z toho, že manažéri, jednotliví užívatelia, ale aj IT odborníci sú často ukolísaní falošným pocitom bezpečia. Spoliehajú sa na to, že nimi nastavené bezpečnostné politiky ich spoľahlivo ochránia pred kybernetickým zločinom. Napriek tomu, že výsledky Cisco Annual Security Report naznačujú množstvo veľmi znepokojujúcich skutočností, súbežne vykonaná štúdia Security Capabilities Benchmark Study odhaľuje, že aj odborníci riziko napadnutia podceňujú.
Z výsledkov tejto štúdie vyplýva, že 59 percent IT riaditeľov považuje bezpečnostné procesy vo svojej firme za optimalizované. Rovnaký názor má aj 46 percent bezpečnostných špecialistov. Alarmujúcim zistením môže byť, že užívateľov, ktorí inštalujú bezpečnostné opravy, nie je ani polovica. Pritom by tak mohli zabrániť narušeniu bezpečnosti alebo aspoň útočníkom značne skomplikovať prácu.
Odpovede ukazujú, že veľké a stredné organizácie sú na tom so zabezpečením o niečo lepšie a že využívajú sofistikovanejšie postupy. Najspokojnejší s bezpečnostnými procesmi vo firme sú zástupcovia z oblastí technickej infraštruktúry a telekomunikácií (62 percent). O niečo menej spokojní sú účastníci z vládnych (52 percent) a finančných (50 percent) inštitúcií.
„Štúdia ukazuje zaujímavý paradox. Zdá sa, že rozhodne neplatí, že s väčším počtom bezpečnostných špecialistov rastie aj spoľahlivosť obrany proti kybernetickým útokom. Naopak sa ukazuje, že stredne veľké firmy môžu mať bezpečnostné politiky prepracovanejšie a lepšie nastavené ako tie úplne najväčšie spoločnosti,“ hovorí P. Mesjar.
Viac ako polovica opýtaných súhlasí, že ich bezpečnostná infraštruktúra je neustále vylepšovaná. Sú presvedčení, že používajú najnovšie dostupné verzie softvéru. Tretina respondentov uvádza, že pravidelne upgraduje, ale priznáva, že jej nástroje nemajú nainštalovanú vždy aktuálnu verziu. Len tri percentá vykonávajú upgrade len v situácii, keď už stará verzia prestane úplne fungovať alebo je príliš zastaraná.
Popularita exploitov klesá
Cisco Annual Security Report odhalil, že zatknutie Pauncha, ruského tvorcu najpopulárnejšieho exploit kitu Black Hole, zasadilo tomuto typu útokov pomerne citeľnú ranu. Medzi vlaňajším májom a novembrom klesol počet týchto útočných softvérových balíčkov o 88 percent. I tak sú ale exploit kity, umožňujúce v podstate vytvoriť kybernetický útok na zákazku, vážnou bezpečnostnou hrozbou. Ochrániť sa pred nimi dá len pravidelnou inštaláciou bezpečnostných záplat.
Napríklad vďaka výraznému posunu v bezpečnosti klesol počet útokov prostredníctvom doteraz najpopulárnejšej Javy o 34 percent. O tri percentá klesol aj počet útokov prostredníctvom Flashu. Naopak, o 228 percent narástol počet útokov využívajúcich technológiu Silverlight a o sedem percent narástol počet útokov, na ktoré boli zneužité programy spoločnosti Adobe. „Hitom“ útočníkov sa v roku 2014 stala kombinácia Javy a Flashu. Svoj útok v tomto prípade rozdeľujú do dvoch súborov, jedného flashového a jedného javového. Tento prístup ukazuje vylepšovanie nástrojov, ktoré kybernetickí útočníci používajú, pretože výrazne komplikuje detekciu takéhoto útoku i obranu proti nemu.