Przeprowadzone badania pokazują, że cyberprzestępcy nie tylko nadal starają się wykorzystywać wszelkie nadarzające się okazje do ataku w infrastrukturze cyfrowej, ale także uważnie obserwują aktualne globalne realia ekonomiczne i polityczne, aby zmaksymalizować korzyści i jeszcze bardziej zwiększyć prawdopodobieństwo realizacji swoich celów.

Według globalnych trendów częstotliwość występowania i wykrywania zagrożeń może różnić się w zależności od położenia geograficznego, ale wyrafinowanie i automatyzacja ataków na całym świecie są spójne. Ponadto, priorytetowa pozostaje konieczność edukowania użytkowników w zakresie cyberhigieny, ponieważ jest to jedna z najskuteczniejszych metod eliminacji ryzyka sprowadzenia na firmę zagrożenia w czasach, gdy siła podejmowanych ataków rośnie szybciej niż kiedykolwiek wcześniej.

Oto najważniejsze wnioski z badania

1. Wyniki badań pokazują, że w IV kwartale 2019 r. nadal miał miejsce znaczący poziom aktywności cyberprzestępczej w regionach, w których operuje powiązana z Iranem grupa Charming Kitten (czarujący kociak), specjalizująca się w zaawansowanych, uporczywych atakach (APT). Ten działający od około 2014 r. podmiot jest odpowiedzialny za liczne kampanie cyberprzestępcze. Jego ostatnie działania sugerują, że rozszerzył swoją działalność o akcje związane z zakłócaniem wyborów, po tym jak został powiązany z serią ukierunkowanych ataków na konta poczty elektronicznej należących do osób prowadzących prezydencką kampanię wyborczą w USA.

2. Internet rzeczy to wciąż relatywnie młoda dziedzina, a przez to wiele używanych w tego typu systemach urządzeń (często nie postrzeganych jako potencjalny cel, np. kamer IP) nie jest odpowiednio zabezpieczonych. Sytuację pogarsza fakt, że wiele urządzeń IoT, oferowanych przez różnych dostawców i pod różnymi markami, posiada wbudowane komponenty i oprogramowanie stworzone przez jednego producenta, co w przypadku powodzenia ataku znacznie ułatwia zwiększenie jego zasięgu. Często też są powszechnie dostępne fragmenty kodu, przez co cyberprzestępcy z łatwością mogą przeanalizować je i wykryć ewentualne luki. Rosnąca popularność i skala wdrożeń Internetu rzeczy, w połączeniu z częstym brakiem możliwości łatwego wgrania aktualizacji do tych urządzeń, stanowi coraz większe wyzwanie. Te czynniki przyczyniły się do tego, że w ciągu IV kwartału 2019 r. odnotowano trzecią co do wielkości liczbę luk w rozwiązaniach IoT, wykrytych przez wszystkie systemy przeciwdziałania włamaniom (IPS).

3. W obliczu ciągłej presji, by być gotowym na pojawianie się nowych zagrożeń, często zapomina się o tym, że te starsze nie mają daty ważności, a cyberprzestępcy będą korzystać ze znanych im luk tak długo, jak będzie to opłacalne. Przykładem jest exploit EternalBlue, który był wykorzystywanych w wielu kampaniach, w tym przede wszystkim w atakach ransomware WannaCry i NotPetya. Ponadto, w maju ubiegłego roku wydano łatkę dla luki BlueKeep, która mogłaby być wykorzystana na tak dużą skalę jak miało to miejsce w przypadku ataków WannaCry i NotPetya. Tymczasem w IV kwartale 2019 r. pojawiła się nowa wersja trojana EternalBlue Downloader, który wykorzystuje właśnie lukę BlueKeep. Na szczęście rozsyłana obecnie wersja tego złośliwego kodu nie jest całkowicie dopracowana, przez co zaatakowane urządzenia zawieszają się, zanim zostanie on uruchomiony. Ale należy zakładać, że zdeterminowani cyberprzestępcy prawdopodobnie szybko naprawią swój błąd i będą mieli funkcjonalną wersję tego potencjalnie szkodiwego pakietu w niedługiej przyszłości.

4. Niechciane wiadomości nadal są jednym z najważniejszych wyzwań, z którymi muszą radzić sobie firmy i osoby prywatne. W najnowszym raporcie Fortinetu porównano wielkość przepływu spamu pomiędzy krajami z danymi pokazującymi stosunek ilości wysłanego spamu do liczby otrzymanych wiadomości, co umożliwiło nowe spojrzenie na stary problem. Większość wysyłanego spamu wydaje się podążać za trendami gospodarczymi i politycznymi. Przykładowo, oprócz USA, do największych spamowych „oferentów” należą takie kraje jak Polska, Rosja, Niemcy, Japonia i Brazylia. Ponadto, jeśli chodzi o proporcje w ilości spamu wysyłanego wobec otrzymywanego w poszczególnych regionach geograficznych, Europa Wschodnia wiedzie prym na całym świecie, zaś na kolejnych miejscach uplasowały się różne podregiony w Azji.

5. Spojrzenie na sytuacje, w których w danym regionie systemy przeciwdziałania włamaniom (IPS) generowały alarmy, nie tylko pokazuje, jakie zasoby były atakowane, ale także pozwala domniemywać, na czym cyberprzestępcy będą skupiać się w przyszłości. Prawdopodobieństwo słuszności tego typu wniosków wynika z faktu, że wystarczająco wiele takich ataków zakończyło się sukcesem oraz że w niektórych regionach stosuje się więcej rozwiązań konkretnego rodzaju. Ale nie zawsze tak jest. Na przykład, według wyszukiwarki shodan.io, zdecydowana większość wdrożeń systemu CRM ThinkPHP zrealizowanych zostało w Chinach – prawie 10 razy więcej niż w Stanach Zjednoczonych. Zakładając, że firmy łatają swoje oprogramowanie w podobnym tempie w każdym regionie, jeśli przed wdrożeniem exploita botnet po prostu sondował podatne na zagrożenia instancje ThinkPHP, liczba alertów powinna być znacznie większa w regionie APAC. Jednak prób instalacji exploita w całym regionie APAC wykryto tylko 6% więcej niż w Ameryce Północnej.

Potrzebna zintegrowana i zautomatyzowana ochrona

W miarę szybkiego wzrostu liczby aplikacji oraz połączonych ze sobą urządzeń powstają miliardy nowych kombinacji, a wraz z nimi rośnie prawdopodobieństwo ataku. Konieczne jest więc zapewnienie odpowiedniego zarządzania i chrony. Ponadto, przedsiębiorstwa stają w obliczu coraz bardziej wyrafinowanych ataków wymierzonych w rozszerzającą się infrastrukturę cyfrową, z których część wykorzystuje sztuczną inteligencję i uczenie maszynowe. Aby skutecznie zabezpieczyć swoje rozproszone sieci, firmy muszą przejść od ochrony konkretnych rozwiązań do zabezpieczania danych rozsianych na brzegu sieci, znajdujących się u użytkowników, w systemach IT, urządzeniach i krytycznych aplikacjach. Tylko platforma cyberochronna, zaprojektowana w celu zapewnienia kompleksowych informacji co do stanu infrastruktury oraz parametrów prowadzonego właśnie ataku – wdrożona na urządzeniach użytkowników (także mobilnych), w środowiskach wielochmurowych i infrastrukturze SaaS – jest w stanie zabezpieczyć dzisiejsze szybko rozwijające się sieci, umożliwiające uzyskanie cyfrowej innowacyjności.

Źródło: Fortinet