Bezpieczeństwo firm w sieci I poł. 2014

Przeczytaj także: Bezpieczeństwo firm w sieci I poł. 2010

Elementy te umożliwiają cyberprzestępcom wykorzystanie luk w systemach IT przy zastosowaniu takich metod jak zapytania DNS, zestawy eksploitów, kompromitacja systemu w punkcie sprzedaży (POS, point-of-sale), malvertising, ransomware, infiltracja protokołów szyfrowania, inżynieria społeczna i spam dotyczący „wydarzeń z życia”.

Według autorów raportu, wielu użytkowników koncentruje się na eliminowaniu najgroźniejszych słabości systemów i aplikacji lekceważąc standardowe, powszechnie znane luki, co w efekcie powoduje, że poziom zagrożeń w praktyce rośnie.

Cyberprzestępcy zwiększają liczbę ataków na przestarzałe aplikacje i obsługujące je elementy infrastruktury, które nie mają znaczenia krytycznego dla działania firm. Wykorzystując znane luki i słabości oprogramowania są oni w stanie uniknąć wykrycia ataku przez specjalistów ds. bezpieczeństwa, którzy koncentrują się na eliminacji największych i najpoważniejszych zagrożeń, takich jak choćby Heartbleed.

Podstawowe wnioski z raportu

Analizy zawarte w raporcie Cisco Midyear Security Report zostały oparte na szczegółowych badaniach 16 międzynarodowych korporacji, które w 2013 roku wykazały przychody o łącznej wartości ponad 300 miliardów dolarów oraz dysponowały aktywami przewyższającymi 4 biliony dolarów. Z analiz tych wynikają trzy najważniejsze wnioski dotyczące wpływu złośliwego ruchu w sieci na bezpieczeństwo systemów firmowych:

• Ataki typu MiTB (Man-in-The-Browser) są dużym zagrożeniem dla korporacji: blisko 94% sieci firmowych analizowanych w pierwszej połowie 2014 roku obsługiwało ruch do stron webowych zawierających złośliwy kod. Chodzi tu o zapytania kierowane do serwerów DNS o nazwy serwerów webowych, których adresy IP zostały zidentyfikowane jako związane z dystrybucją takich rodzin szkodliwego oprogramowania jak Palevo, SpyEye lub Zeus, wykorzystujących funkcje MiTB.
• Ukryte botnety: blisko 70% sieci wykonuje zapytania DNS dotyczące dynamicznych nazw domen (Dynamic DNS Domains). Oznacza to, że systemy te są nieprawidłowo wykorzystywane lub zawierają komputery należące do sieci botnet i zainfekowane przez oprogramowanie, które stosuje mechanizm DDNS do zmiany rzeczywistego adresu IP i uniknięcia w ten sposób wykrycia przez systemy zabezpieczeń. W firmach, zewnętrzne połączenia DDNS są potrzebne i stosowane bardzo rzadko, najczęściej jest to komunikacja z serwerami C&C (Command & Control) sterującymi botnetem, a ukrywanie adresów IP ma na celu utrudnienie lokalizacji botnetu.
• Szyfrowanie wykradanych danych: w 44% badanych w 2014 roku przez Cisco sieciach dużych firm generowane były zapytania DNS dotyczące stron WWW lub domen, które oferują usługi szyfrowania transmisji danych. Wiadomo, że cyberprzestępcy wykorzystują techniki eksfiltracji kradzionych danych przy wykorzystaniu szyfrowanych kanałów takich, jak VPN, SSH, SFTP, FTP i FTPS by uniknąć detekcji przez systemy wykrywające włamania i blokujące wycieki informacji.