Brak strategii bezpieczeństwa IT zagrożeniem dla MŚP

Ostatnia aktualizacja: 07.12.2013 13:10

Potencjalny wpływ cyber ataków i utraty poufnych danych na działalność biznesową jest dostrzegany szczególnie przez duże organizacje takie jak Evernote czy LexisNexis. Świadomość wpływu zagrożeń sieciowych na funkcjonowanie firmy często jest mniejsza w przypadku sektora MŚP.

Brak strategii bezpieczeństwa IT zagrożeniem dla MŚP

Niedawno Ponemon Institute i Sophos wydały raport ,,Ryzyko niepewnej strategii bezpieczeństwa IT’’, wynika z niego, że kwestie bezpieczeństwa IT nie są traktowane priorytetowo przez sektor MSP, ponieważ kadra zarządzająca nie potrafi wprowadzić jasnej strategii walki z tego typu zagrożeniami. Na podstawie odpowiedzi na 12 pytań zawartych w ankiecie Ponemon stworzył ,,Indeks niepewności”, wahający się od 10 do 1, gdzie 10 oznacza największą niepewność, a 1 pewność.

Jakie wnioski z indeksu mogą wyciągnąć przedstawiciele małych i średnich firm

Firmy amerykańskie z wynikiem 5,9 mają największy wskaźnik niepewności zagrożeń IT, zaraz za nimi plasuje się Wielka Brytania (5,0) i organizacje z regionu Azji i Pacyfiku (4,8). Sektor MSP w Niemczech charakteryzuje się największą świadomością
cyber-zagrożeń (3,8).
Mniejsze organizacje są najbardziej niepewne zagrożeń IT. Firmy zatrudniające poniżej 100 pracowników posiadają ocenę 6,5.
Według badania im wyższa pozycja pracownika w organizacji tym większa niepewność co do strategii bezpieczeństwa IT. Dyrektorzy otrzymali ocenę 6,8.

Badanie zidentyfikowało 7 oznak niepewnej polityki security IT:

Cyberataki pozostają niewykryte: znacząca liczba respondentów (33 proc.) jest niepewna czy ich organizacja doświadczyła cyberataku w ciągu ostatnich 12 miesięcy.
Nieznane przyczyny naruszenia danych: 51 proc. respondentów twierdzi, że ich organizacja doświadczyła naruszenia danych, tymczasem 44 proc. z nich nie potrafi zidentyfikować przyczyny tego stanu.
Brak reakcji na zagrożenia wykorzystujące luki w zabezpieczeniach: brakuje wiedzy na temat częstotliwości i skali ataków cybernetycznych. 33 proc. badanych potwierdziło, że brak wiedzy uniemożliwia wdrożenie skutecznej polityki bezpieczeństwa IT.
Bezpieczeństwo IT nie jest priorytetem: dla 44 proc. badanych kwestie IT security nie
są priorytetem. Dowodem tego jest fakt, że 42 proc. respondentów uważa, że ich budżet nie jest wystarczający do zapewnienia skutecznej ochrony IT. Dodatkowo 26 proc. twierdzi, że ich personel IT nie posiada wystarczającej wiedzy do zarządzania polityką bezpieczeństwa.
Brak inwestycji w cyberbezpieczeństwa: respondenci na wyższych stanowiskach mają najwięcej niepewności o zagrożeniach w ich organizacjach. 58 proc. z badanych twierdzi,
że zarząd nie postrzega cyberataków jako znaczące ryzyko.
Dwuznaczność trendu BYOD: 55 proc. respondentów twierdzi, że mobilne urządzenia zmniejszają stan bezpieczeństwa organizacji. Jednak, aż 58 proc. mimo zgłaszania obaw akceptuje używanie prywatnych urządzeń mobilnych w miejscu pracy. 45 proc. twierdzi,
że trend BYOD zmniejsza skuteczność zabezpieczeń organizacji.
Ekonomiczny wpływ działań cyberprzestępców jest nieznany: Respondenci szacują, że koszt zakłóceń spowodowanych działaniami cyberprzestępców jest znacznie wyższy od kosztów szkód, kradzieży majątku i infrastruktury. 29 proc. nie potrafi oszacować kosztów strat wywołanych utratą danych cyfrowych.

autor: Mariola Czapkiewicz

Zobacz więcej na temat: cyberprzestępczość firma it strategia bezpieczeństwa

Złapać złośliwe oprogramowanie

Ostatnia aktualizacja: 27.11.2013 05:45

Cyberprzestępstwa stały się wielkim interesem, i jak w przypadku każdego biznesu, hakerzy chcą zwiększyć swoje dochody i udziały w rynku. W celu zwiększenia prawdopodobieństwa sukcesu, swoje ataki adresują do setek, a nawet tysięcy przedsiębiorstw.

Foto: materiały prasowe

W roku 2012 każdego dnia powstawało i rozprzestrzeniało się średnio 70 000 – 100 000 nowych rodzajów złośliwego oprogramowania – to ponad 10 razy więcej niż w 2011 i ponad 100 razy więcej niż w 2006 roku. Raport 2013 Security Report firmy Check Point wykazał, że 63% firm było zainfekowane botami, a ponad połowa z nich przynajmniej raz dziennie była infekowana nowym złośliwym oprogramowaniem. Konwencjonalne podejście do zabezpieczania się przed wirusami nie ma szans sprostać takiemu przyrostowi.

Najciemniej pod latarnią

Ciche wirusy, czyli najczęściej wykorzystywany rodzaj ataku, są trudne do wykrycia i zaprojektowane tak, by działać w sposób niewykrywalny dla działów IT. Kod większości tego typu wirusów jest wpleciony w zawartość plików, z których wszyscy korzystają na co dzień w pracy – emaile i załączniki, włączając w to dokumenty Word, PDF, arkusze Excel itp. Narzędzia hakerów potrafią odpowiednio ukryć wykonywalne skrypty w celu zamaskowania uruchamiania złośliwych operacji, które mogą polegać na dokonywaniu zmian w rejestrze systemu, bądź ściągnięciu pliku, który niepotrzebnie uruchomiony infekuje całą sieć w jakiej się znajduje.

Mimo, iż wielowarstwowa ochrona wykorzystująca systemy IPS/IDS potrafi skutecznie zablokować część złośliwych operacji, to jednak takie podejście nie powstrzyma w zupełności wszystkich infekcji, które docierają i rozprzestrzeniają się w sieci. Nowe wirusy lub nowe ich warianty nie posiadają sygnatur, które mogłyby rozpoznać konwencjonalne techniki ochrony. Antywirusy, antyspyware i podobne rozwiązania mogą być użyteczne w przypadku „czyszczenia” środowiska po ataku, jednak często okazują się nieefektywne pod kątem ochrony przed nowymi rodzajami złośliwego oprogramowania.

Czasami dla zobrazowania problemów bezpieczeństwa, posługujemy się porównaniem do kontroli granicznej, przy której wykorzystuje się cały szereg technik obserwacji ludzi przyjeżdżających do danego kraju w celu namierzenia osób, które mogą stanowić potencjalne zagrożenie. Nowe techniki bezpieczeństwa pozwalają także badać w czasie rzeczywistym wiadomości email, pliki oraz dane wchodzące do sieci za pośrednictwem załączników czy pobrań ze stron web. Złośliwe pliki mogą wtedy zostać odizolowane już na poziomie bramy, czyli na samym krańcu sieci, lub w chmurze – w zależności od decyzji biznsowej firmy. W takim przypadku nie dochodzi do infekcji wewnątrz sieci. Rozwiązania takie dostarczają dodatkowej warstwy ochrony przeciwko atakom.

Skanowanie w poszukiwaniu wirusów

Proces izolowania i badania plików jest wykonywany z użyciem techniki zwanej „emulacją zagrożeń” (sandboxing). Podobnie jak rentgen przy kontroli granicznej, technika ta pozwala na zajrzenie do wewnątrz podejrzanego pliku, który znalazł się w systemie – może to być załącznik email lub plik ściągnięty ze strony internetowej. Zawartość pliku jest badana w odizolowanej strefie zwanej „sandbox”. Ta niezależna, zwirtualizowana wersja środowiska komputerowego działa jak poligon doświadczalny dla najróżniejszych aplikacji, które mogą stanowić zagrożenie, bądź dokonać szkód w prawdziwym systemie.

We wspomnianym środowisku sandbox, plik zostaje uruchomiony i monitorowany w czasie rzeczywistym pod kątem nietypowych działań, takich jak próby wykonywania zmian w rejestrze lub nawiązywania połączeń sieciowych. Jeżeli działanie pliku okaże się podejrzane lub szkodliwe, zostaje on poddany kwarantannie, co powstrzymuje wszelkie możliwości infekcji jeszcze przed momentem, kiedy plik przedostanie się do sieci i wyrządzi szkody. Następnie mogą zostać podjęte kolejne kroki w celu zidentyfikowania i sklasyfikowania nowego zagrożenia w celu ułatwienia detekcji przy kolejnej próbie ataku.

Tworzenie środowiska sandbox

Mechanizm emulacji zagrożeń działa na poziomie hypervisor, który równolegle obsługuje kilka środowisk w celu przeprowadzenia symulacji: Windows XP, 7 i 8, Office 2003, 2007 i 2010, środowiska Adobe 9 oraz zwritualizowane instancje najczęściej wykorzystywanych aplikacji Office, takich jak Word, Excel, Power Point i innych. Jako że większość nowoczesnego złośliwego oprogramowania wykorzystuje techniki inżynierii społecznościowej w celu nakłonienia użytkownika do kliknięcia z pozoru niewinnie wyglądającego załącznika lub ściągnięcia pliku, badanie plików na wirtualnych platformach działających w oparciu o te popularne systemy i aplikacje daje największe szanse na powstrzymanie infekcji.

Wybór plików uznawanych za podejrzane i wymagających kontroli – przykładowo droga, którą dostały się na środowisko sandbox – jest dokonywany online na bramie bezpieczeństwa lub w chmurze, za pośrednictwem agenta zainstalowanego na firmowym serwerze. Pliki mogą być wybierane również z szyfrowanego ruchu wchodzącego do firmowej sieci za pomocą tuneli SSL i TLS, gdyż w przeciwnym przypadku pomijany byłby mechanizm bezpieczeństwa wymagany w wielu branżach.

Wybór plików do analizy oparty jest o heurystykę i inne metody analityczne. Na przykład jeżeli instancje tego samego pliku znalazły się już wcześniej na gatewaye’u lub zostały wychwycone przez agenta email, system przyjmie założenie, że ten plik może być elementem ataku phishingowego wymierzonego w wielu pracowników. Takie podejście optymalizuje i przyspiesza analizę poprzez wyselekcjonowanie tylko podejrzanych plików przeznaczonych do dokładniejszego badania. Gdy pliki zostaną już wybrane, zostają przesłane do środowiska sandbox uzbrojonego w mechanizm emulacyjny, który działa na firewallu bądź w chmurze.

Wykrywanie zagrożeń

Pliki przesłane do środowiska testowego są kopiowane do różnych wirtualnych instancji systemów operacyjnych i aplikacyjnych. Następnie mechanizm bada je w pięciu następujących krokach:

Jeżeli plik przerwie działanie wirtualnej instancji programu, lub dokona próby rozpakowania i podmiany innych dokumentów, to zostanie oznaczony jako szkodliwy. Również odwołania do plików .dll lub .exe są uznawane za nietypowe i potencjalnie złośliwe.
Wirtualny rejestr jest sprawdzany pod kątem wszelkich zmian wywołanych przez plik – jest to charakterystyczne zachowanie złośliwego oprogramowania, który nie powinien być skutkiem otworzenia zwykłego dokumentu.
Monitorowaniu podlegają również systemy plików i procesy – tak jak w punkcie powyżej, dokument bez złośliwej zawartości nie powinien wprowadzać tam żadnych zmian.
Mechanizm emulacyjny bada, czy nawiązywane są nowe połączenia za pośrednictwem sieci web – np. w celu komunikacji z centrum sterowania lub do pobrania złośliwego kodu.
Na koniec system tworzy raport ze wszystkich działań, które wystąpiły na skutek uruchomienia pliku. Raport zawiera zrzuty ekranu środowiska testowego. Powstaje również znacznik „fingerprint” danego pliku, który umożliwia szybką identyfikację pliku przy następnym teście.

Złośliwe pliki wykryte przez mechanizm podlegają kwarantannie, wobec czego nie mają prawa dotrzeć do użytkownika i zainfekować zaufaną sieć. Nawet złośliwy kod, który został zaprojektowany tak, by wykrywać próby uruchomienia go na wirtualnym środowisku, nie jest w stanie pominąć zabezpieczeń sandbox. Taki kod może próbować ukryć swoje działania lub nie podejmować szkodliwych akcji podczas pracy na wirtualnym środowisku w celu uniemożliwienia wykrycia. Taki „kamuflaż” jest bowiem sam w sobie sygnałem wskazującym na to, że plik jest złośliwy i takie działania są wykrywane przez mechanizm emulujący a następnie zanotowane w końcowym raporcie jako podejrzane.

Cały proces dla większości plików odbywa się w sposób niewidoczny dla użytkownika. Oznacza to, że nawet w rzadkich przypadkach, gdy plik został skierowany do inspekcji a mimo to okazał się „czysty”, odbiorca tego pliku nie zaobserwuje żadnego przestoju w funkcjonowaniu usługi. Informacje na temat działań pliku są dostępne dla działu IT w formie szczegółowego raportu zagrożeń.

Rozpowszechnianie informacji na temat zagrożeń na skalę globalną

A gdyby tak, zaraz po wykryciu i zablokowaniu pliku w trakcie emulacji, firmy miały możliwość podzielenia się informacją na temat zagrożenia z innymi firmami, żeby mogły także uniknąć takiej infekcji? W końcu została utworzona sygnatura nowego wirusa, więc można ją wykorzystać, aby uniknąć szerzenia się zagrożenia.

To właśnie główne założenie usługi ThreatCloud firmy Check Point, która umożliwia rozpowszechnianie wiedzy zebranej na temat wroga. Podobnie jak międzynarodowe organizacje zdrowia współpracują przy zwalczaniu pojawiających się chorób, wymyślając szczepionki i opracowując inne formy leczenia, tak podejście ThreatCloud polegające na wspólnej bazie wiedzy zmniejsza czas pomiędzy wykryciem zagrożenia a możliwością ochrony przed nim. Gdy nowe zagrożenie zostanie oznaczone, szczegóły dotyczące wirusa (takie jak adres IP, URL lub DNS) są automatycznie wysyłane do ThreatCloud i rozpowszechniane wśród subskrybentów usługi. Przykładowo jeżeli jakiś wirus będzie wykorzystany do wymierzonego ataku na bank w Hong Kongu i zostanie wykryty podczas emulacji, to sygnatura tego wirusa zostanie rozesłana do bram bezpieczeństwa na całym świecie w ciągu kilku minut. Dzięki swego rodzaju „szczepionkom” dla firm przeciwko atakom, emulacja zagrożeń zmniejsza ryzyko epidemii włamań i zwiększa ogólny poziom bezpieczeństwa.

autor: Materiały prasowe

Zobacz więcej na temat: bezpieczeństwo cyberprzestępczość firma oprogramowanie

Brak strategii bezpieczeństwa IT zagrożeniem dla MŚP

Olsztyn: robot da Vinci z nowymi zadaniami. Przeprowadzi pierwsze operacje ginekologiczne

Chiny: firma Baidu zaprezentowała swój pierwszy komputer kwantowy o nazwie Qianshi

Naukowcy z UW opracowali nową metodę przywracania barw starym obrazom

Mijają 53 lata od lądowania na Księżycu

Skąd prąd czerpią astronauci?