Spamu je nejvíce za 7 let a každý desátý je škodlivý
Taktiky kybernetických útočníků se dnes podobají obchodním modelům s cílem maximalizovat zisk. A využívají nejen nových možností, ale spoléhají se i na staré finty, jako je spam, který dnes představuje 65 % všech odeslaných mailů. Přitom téměř desetina z nich je infikována nebezpečným softwarem. Novým trikem hackerů se stalo zneužívání programů zobrazující nevyžádanou reklamu. Ty se vyskytují v zařízeních až u 75 % organizací a mohou se stát základem pro silný útok. S těmito závěry přišla studie Cisco 2017 Annual Cybersecurity Report. Ta se zabývala také konkrétními dopady. Téměř třetina úspěšně napadených organizací zaznamenala nižší tržby a 38 % z nich dokonce hlásí snížení o více než pětinu. Asi 90 % z nich následně investovalo do zlepšení své kybernetické obrany. I přesto však zůstává 44 % bezpečnostních hlášení bez dalšího zkoumání.
Z letošního, již 10. vydání studie Cisco 2017 Annual Cybersecurity Report vyplývá, že téměř dvě třetiny všech odeslaných emailů na světě (zhruba 65 %) tvoří spam. Dostává se tak na rekordní hodnoty a jeho současný objem se blíží maximu z roku 2010. Každou vteřinu je na celém světě odesláno více než 3 500 spamů. Přitom zhruba 8 až 10 procent z nich obsahuje škodlivý software. Útočníci často využívají přílohu, skrze kterou šíří nebezpečný malware.
Hackeři uspěli – kolik to firmu bude stát? Jak tomu předejít?
Studie Cisco 2017 Annual Cybersecurity Report dále zkoumala, jaký dopad mají úspěšné kybernetické útoky na tržby nejenom velkých firem, ale i malých a středních podniků. Téměř čtvrtina organizací (22 %), na které byl veden úspěšný útok, ztratily své zákazníky a 40 % z nich přišlo o více než pětinu své zákaznické základny. Podobně se snížily i jejich tržby. Celých 29 % úspěšně napadených organizací zaznamenalo nižší příjmy, 38% z nich pak ztratilo více než 20 % objemu tržeb. „Přestože ztráty způsobené kybernetickými útoky jsou významné, naše studie zjistila, že až 44 % bezpečnostních incidentů zůstává ignorováno a dále nevyšetřeno. Důkladná analýza přestálého útoku je přitom nezbytná, aby organizace mohla vylepšit svá bezpečnostní opatření,“ říká Milan Habrcetl, bezpečnostní expert společnosti Cisco ČR.
Cloud jako bezpečnostní výzva
Počet cloudových aplikací, které zaměstnanci využívají, se za dva roky více než zdesetinásobil. Bezpečnostní tým Cisco CloudLock zkoumal 900 organizací a jejich zaměstnanci používali v říjnu 2014 celkem 20 400 různých cloudových aplikací, zatímco v říjnu 2016 už zhruba 222 000. Více než čtvrtina z nich (27 %) byla vyhodnocena jako vysoce riskantní. Zajištění ochrany v souvislosti s narůstajícím objemem cloudového provozu tak patří mezi hlavní body zájmu bezpečnostních manažerů.
Mnoho bezpečnostních nástrojů, málo odborníků
Více ne vždy znamená lépe. Ze závěrů studie vyplývá, že 55 % organizací používá bezpečnostní řešení více než 5 výrobců, 3 % organizací dokonce uvedly, že mají produkty od více než 50 výrobců. Složitost bezpečnostní architektury však může paradoxně pomoci útočníkům. Ti mají více času a prostoru pro zahájení útoku. Ne všechna řešení jsou totiž kompatibilní a ne všechna zařízení v síti bývají chráněna všemi nainstalovanými bezpečnostními produkty.
„Organizacím navíc taková situace stěžuje hledání bezpečnostních odborníků, neboť práce s mnoha nástroji výrazně zvyšuje nároky na kvalifikaci lidí. A právě nedostatek odborníků vnímají bezpečnostní ředitelé jako jedno z hlavních omezení pro vybudování kvalitního zabezpečení,“ uvádí Milan Habrcetl. Ve výzkumu to potvrdilo 25 % dotázaných. Mezi dalšími omezeními byly zmíněny: limitovaný rozpočet (38 %), potíže s kompatibilitou systémů (28 %) a potřebné certifikace (25 %).
Nebezpečnější nevyžádané reklamy
Škodlivý software zobrazující nevyžádanou reklamu (tzv. adware) je na vzestupu, navíc nebezpečnější než dříve. Kybernetičtí útočníci totiž začali adware využívat jako první krok k infikování systémů pokročilejším typem malwaru. Jedním z příkladů může být malware DNSChanger, který umožní útočníkovi kontrolovat síťový provoz. DNSChanger se přitom vyskytuje pouze v zařízeních, která již dříve byla infikována adwarem. Jeho škodlivost je nicméně velmi podceňována a výzkumníci zjistili, že v 75 % organizacích se adware vyskytuje minimálně na jednom zařízení. Zkoumáno bylo 130 organizací různých velikostí a napříč obory.
Útočníci také využívají častěji internetovou reklamu, prostřednictvím které šíří škodlivý software (tzv. malvertisting). Malvertising totiž umožňuje útočníkům rychle rozšířit počet potenciálních obětí. Při takto rozsáhlé kampani navíc dokážou rychle přepínat mezi jednotlivými servery, které šíří malware. Tímto způsobem snižují riziko svého odhalení. Například prostřednictvím kampaně ShadowGate zaútočili hackeři na miliony uživatelů po celém světě.
Nejrozšířenější exploit kity ustupují, přicházejí nové
Studie zjistila, že nejrozšířenější nástroje pro šíření škodlivého softwaru (tzv. exploit kity) téměř vymizely. Exploit kity Angler, Nuclear, Neutrino a RIG dříve patřily mezi nejpoužívanější. V listopadu 2016 však jediným aktivním byl RIG. Ústup exploit kitu Angler souvisí se zatčením 50 ruských hackerů na jaře 2016, kteří využívali malware Lurk k útokům na ruské banky. Výzkumníci společnosti Cisco totiž zjistili úzké propojení mezi malwarem Lurk a exploit kitem Angler. To však neznamená sníženou aktivitu útočníků. Na jejich místo nastupují jiné formy, například Sundown, Sweet Orange a Magnitude. Stejně jako RIG cílí tyto exploit kity na zranitelnosti v Microsoft Internet Exploreru, Flashi a v aplikační platformě Silverlight.
Efektivní obrana vyžaduje pozornost managementu
Pro zmírnění hrozeb a minimalizaci rizik doporučuje organizacím společnost Cisco:
- Určit si bezpečnostní priority: Vedení organizace by mělo zařadit kybernetickou bezpečnost mezi hlavní priority.
- Hodnotit dodržování postupů: Revize pracovních postupů, pravidelná aktualizace a kontrola přístupových bodů sítí, aplikací, funkcí a dat jsou dnes nutností.
- Testovat efektivitu: Organizace by si měly definovat jasná kritéria, hodnotit podle nich svoji úroveň bezpečnosti a pracovat na jejím neustálém zlepšování.
- Přijmout integrovaný přístup obrany: Integrace a automatizace by měly patřit mezi nejdůležitější hodnotící kritéria. Tento přístup umožňuje zvýšit viditelnost sítě, zefektivnit interoperabilitu a snížit čas odhalení a zastavení útoku. Poté se mohou bezpečnostní týmy plně soustředit na řešení skutečných hrozeb.
Kromě toho by se firmy neměly soustředit pouze na ochranu před útokem, ale počítat s tím, že se útočník do sítě může dostat. V takovém případě rozhoduje čas, za jaký je útočník odhalen (tzv. time to detection, TTD). Po včasném odhalení může organizace minimalizovat škody útoku. Společnost Cisco v této oblasti dosáhla nového rekordního času. Průměrné TTD dosáhlo hodnoty 6,5 hodiny.