W bezpieczeństwie IT widać nowe zagrożenia

Zdjęcie

Nowe zagrożenia w bezpieczeństwie IT?

/123RF/PICSEL

Według raportu Fortinet, ruch po protokołach bezpiecznych jak HTTPS i SSL rośnie, osiągając w przypadku tego drugiego już połowę całego ruchu generowanego przez przedsiębiorstwa. Rośnie także liczba aplikacji chmurowych, wykorzystywanych przez firmy; obecnie jest ich średnio ok. 63, co stanowi 1/3 aplikacji wykorzystywanych w każdej firmie. W tym przypadku może stanowić to zagrożenie, ponieważ widoczność danych przechowywanych przez aplikacje działające w chmurze jest mniejsza, a wgląd w to, jak te dane są używane i kto uzyskuje do nich dostęp - ograniczony. Z kolei wzrost wykorzystywania mediów społecznościowych, transmisji strumieniowej audio i wideo oraz aplikacji P2P jest stabilny i niewysoki.

Jednak nowym zagrożeniem są ataki na produkty "Internetu Rzeczy" (IoT), bowiem zbudowanie złożonych z takich elementów botnetów umożliwia bardzo tanie a zarazem masowe ataki na sieci i firmy (np. DDoS). Tak działał największy jak do tej pory botnet Mirai, przy czym udostępnienie jego kodu źródłowego zwiększyło aktywność botnetu 25-krotnie w ciągu tygodnia, a do końca roku 2016 aż 125-krotnie.

Największą popularnością w Darknecie cieszyły się w końcu 2016 roku exploity, wykorzystujące kilka kategorii urządzeń Internetu Rzeczy, zaś szukające luk głównie w zabezpieczeniach drukarek i routerów. Nieco mniej popularne były exploity adresowane do rejestratorów DVR i NVR; ich wykorzystanie do przeprowadzania ataków wzrosło 6-krotnie.

Jak już wcześniej przewidywano, rośnie liczba ataków na urządzenia mobilne. Malware na te urządzenia stanowiło 1,7 proc. łącznie wszystkich odmian malware, ale aż 20 proc. przedsiębiorstw przyznaje, że ich urządzenia - najczęściej używające systemu operacyjnego Android - miały z nim do czynienia. Należy przy tym zauważyć, że ataki były zróżnicowane lokalnie: 36 proc. ataków było wymierzonych w przedsiębiorstwa z Afryki, 23 proc. - z Azji, 16 proc. - z Ameryki Północnej i zaledwie 8 proc. - z Europy.

Powszechne stosowanie exploitów przy ich stosunkowo niewielkiej liczbie sugeruje automatyzację ataków, niższe koszty malware oraz narzędzi do ataków sprzedawanych w darknecie. Wśród wykrytych exploitów na naczelnym miejscu uplasował się SQL Slammer, choć jest on zagrożeniem głównie dla instytucji edukacyjnych. Nieco tylko niższą pozycję zajmuje exploit stosujący algorytm siłowy do ataków na protokół Microsoft Remote Desktop Protocol (RDP). Inicjuje on 200 żądań RDP co dziesięć sekund, co tłumaczy jego częste wykrywanie. Exploit uszkodzenia pamięci w programie Windows File Manager, która umożliwia przestępcy zdalne wykonywanie dowolnego kodu w danej aplikacji z użyciem pliku .jpg, jest również bardzo popularny.

Botnety najczęściej wykorzystywane to H-Worm i ZeroAccess. I jeden i drugi umożliwiają cyberprzestępcom kontrolowanie systemów w celu wysysania danych, użycie w procederze określanym jako "click fraud" (nieuczciwe bądź fałszywe kliknięcia w link sponsorowany lub inną formę reklamy w celach zarobkowych) oraz do wykopywania bitcoinów. Próby ataków z wykorzystaniem tych dwóch botnetów najczęściej były dokonywane w branży technologicznej i sektorze publicznym.

Ransomware coraz częściej pojawia się w modelu RaaS (oprogramowanie ransomware jako usługa), czyli przestępcy mogą po prostu zamówić okres lny typ ataku na instytucję lub pobrać narzędzia i dokonać samodzielnie ataku - nawet otrzymać do niego instrukcję. Sporo, bo 36 proc. przedsiębiorstw wykryło aktywność botnetów związaną z ransomware; najczęściej stosowano TorrentLocker.

Chwilową popularność osiągnęły także rodziny malware Nemucod i Agent, które w 2016 roku widoczne były w 81,4 proc. próbek szkodliwego oprogramowania, przy czym Nemucod jest powszechnie kojarzony z ransomware. Często jednak do ataków wykorzystywano stare luki - aż 86 proc. firm doświadczyło ataków na luki starsze niż 10 lat, a 40 proc. z nich miało do czynienia z atakami na luki jeszcze starsze. Na jedno przedsiębiorstwo przypadło przy tym średnio 10,7 unikalnych exploitów aplikacji. Około 9 na 10 firm wykryło exploity stanowiące poważne lub krytyczne zagrożenie.

MM