Pomóż innym – podziel się wiedzą – dołącz do Forum Dobrych Praktyk!

 

Pomóż innym – podziel się wiedzą – dołącz do Forum Dobrych Praktyk ONLINE!

Zapraszam na wirtualne dyskusje podczas
“Forum Dobrych Praktyk” już 22 i 23 listopada!

 

Cel spotkań:
chcemy stworzyć Bazę Dobrych Praktyk – zwięzłe kompendium rozwiązań, rekomendowane przez Szefów Bezpieczeństwa – czyli Członków i Przyjaciół CSO Council.
Bazę dobrych praktyk zamieścimy w Raporcie podsumowującym tegoroczny ATS 2021

BEZ CIEBIE tego nie zrobimy! Dlatego…

Do wyboru jest 10 tematów. Sprawdź, w którym z nich możesz być ekspertem/masz największe doświadczenie i podziel się wiedzą!

 

Dlaczego warto wziąć udział w spotkaniach?

  • W kameralnej grupie wymienisz się doświadczeniami z innymi ekspertami. Posłuchaj, jak sobie poradzili z podobnymi wyzwaniami i spróbujcie znaleźć najlepsze rozwiązania.
  • Udział w wirtualnych dyskusjach potwierdzili Liderzy Bezpieczeństwa IT z największych organizacji w Polsce
  • Niełatwo być ekspertem, ale naprawdę warto! Bądź leaderem najlepszych rozwiązań. Może dzięki Tobie ktoś inny uniknie błędów w codziennych zadaniach w cybersecurity.

Spotkania odbędą się w ramach konferencji Advanced Threat Summit 2021!

 

Zarejestruj się na Forum Dobrych Praktyk, a otrzymasz bezpłatny udział i Pakiet Premium z nagraniami z konferencji – i aż 19 pkt CPE!

 

 

Raport FortiGuard Labs: Ataki z użyciem ransomware’u zdarzają się dziesięć razy częściej niż rok temu

Raport FortiGuard Labs: Ataki z użyciem ransomware’u zdarzają się dziesięć razy częściej niż rok temu


Raport FortiGuard Labs: Ataki z użyciem ransomware’u zdarzają się dziesięć razy częściej niż rok temu

Działania podmiotów z sektora publicznego i prywatnego, mające na celu przerwanie łańcuchów dostaw cyberprzestępczości, nabierają tempa

 

[Warszawa, 16.09.2021] Fortinet, globalny lider w dziedzinie zintegrowanych i zautomatyzowanych rozwiązań cyberochronnych, przedstawił najnowszą edycję raportu Global Threat Landscape, opracowanego przez analityków FortiGuard Labs. Dane dotyczące zagrożeń zaobserwowanych w pierwszej połowie 2021 r. wskazują na znaczny wzrost liczby i poziomu wyrafinowania ataków skierowanych przeciwko osobom prywatnym, przedsiębiorstwom oraz krytycznej infrastrukturze. Na celowniku cyberprzestępców nadal znajduje się rosnąca liczba osób pracujących i uczących się zdalnie. Podjęta w odpowiednim czasie współpraca pomiędzy organami ścigania, a także podmiotami z sektora publicznego i prywatnego daje szansę na zakłócenie działań cyberprzestępców w drugiej połowie 2021 roku.

 

Oto najważniejsze informacje z raportu za pierwsze półrocze 2021 r:

 

  1. W cyberatakach typu ransomware chodzi o coś więcej niż pieniądze

Dane FortiGuard Labs wskazują, że aktywność oprogramowania ransomware w czerwcu 2021 r. była ponad dziesięć razy wyższa niż rok temu. Świadczy to o konsekwentnym i stałym wzroście popularności tego narzędzia. Incydenty z użyciem ransomware’u sparaliżowały łańcuchy dostaw wielu przedsiębiorstw, szczególnie w branżach o krytycznym znaczeniu. Bardziej niż kiedykolwiek wpłynęły na życie codzienne, handel, produktywność pracowników itd.

 

Cyberprzestępcy najczęściej atakowali przedsiębiorstwa z sektora publicznego, branży telekomunikacyjnej, motoryzacyjnej, produkcyjnej oraz dostawców zarządzanych usług bezpieczeństwa (MSSP). Niektórzy jednak zmienili swoją strategię i odchodzą od inicjowania ataku poprzez wiadomości e-mail. Obecnie szczególne znaczenie ma dla nich zdobywanie danych zapewniających dostęp do sieci korporacyjnych i sprzedawanie ich, co przekłada się na rozwój modelu usługowego Ransomware-as-a-Service (RaaS).

 

Kluczowy wniosek jest taki, że ransomware pozostaje oczywistym i aktualnym zagrożeniem dla wszystkich firm, niezależnie od ich branży i wielkości. Muszą one przyjąć zatem proaktywne podejście do bezpieczeństwa ‒ stosować rozwiązania do ochrony urządzeń końcowych w czasie ­rzeczywistym, wykrywania incydentów i automatycznego reagowania na nie, wraz z podejściem Zero Trust Access, segmentacją sieci i szyfrowaniem.

 

  1. Jedna na cztery firmy wykryła malvertising

W ubiegłym półroczu cyberprzestępcy najchętniej wykorzystywali techniki scareware oraz malvertising. Bazujące na nich ataki dotknęły ponad 25% firm. W tym kontekście należy zwrócić uwagę zwłaszcza na rodzinę trojanów Cryxos, które na zainfekowanych lub złośliwych stronach wyświetlały oszukańcze powiadomienia. Chociaż duża część wykrytych przypadków jest prawdopodobnie połączona z innymi podobnymi kampaniami wykorzystującymi JavaScript, to uznaje się je za malvertising.

 

Cyberprzestępcy próbują tym samym zareagować na popularność powszechnie praktykowanego hybrydowego trybu pracy i nauki, co przekłada się na zmianę trendów w ich taktyce. Teraz dążą już nie tylko do przestraszenia ofiary, ale też do wymuszenia na niej spełnienia swoich żądań. Ważne jest zatem edukowanie użytkowników sieci i zwiększenie ich świadomości na temat cyberbezpieczeństwa, aby zapobiec atakom typu scareware i malvertising.

 

  1. Trendy dotyczące botnetów wskazują, że cyberprzestępcy atakują brzeg sieci

Gwałtowne nasilenie aktywności odnotowano z kolei w przypadku botnetów. W ciągu pół roku odsetek podmiotów, które wykryły je w swojej sieci, wzrósł z 35% do 51%. Związane jest to z wykorzystywaniem przez cyberprzestępców złośliwego kodu o nazwie TrickBot. Pierwotnie był to trojan bankowy, ale został rozwinięty do postaci wyrafinowanego zestawu narzędzi do przeprowadzania wieloetapowych ataków.

 

Wprowadzenie zdalnego trybu pracy i nauki, a wraz z tym zmiana codziennych nawyków, dla cyberprzestępców wciąż stanowią okazję do działania. Z tego powodu najbardziej rozpowszechnionym botnetem był Mirai atakujący urządzenia Internetu rzeczy (IoT) używane przez osoby pracujące lub uczące się w domu. W 2020 roku wyprzedził botneta zdalnego dostępu Gh0st i utrzymuje pozycję lidera także w 2021 roku. Gh0st natomiast stanowi nadal poważne zagrożenie – umożliwia on przejęcie pełnej kontroli nad zainfekowanym systemem, przechwytywanie na żywo obrazu z kamery internetowej i mikrofonu oraz pobieranie plików. Dlatego, aby chronić sieci i aplikacje, potrzebne jest stosowanie podejścia Zero Trust Access. Znaczne ograniczenie uprawnień dostępu zabezpiecza rozwiązania IoT i inne urządzenia podłączone do sieci.

 

  1. Zaburzenie funkcjonowania środowisk cyberprzestępczych przekłada się na zmniejszenie liczby zagrożeń

Chociaż cyberprzestępcy stają się coraz bardziej skuteczni, w 2021 r. walka z nimi przyniosła pewne sukcesy. W czerwcu twórca TrickBota został postawiony w stan oskarżenia pod wieloma zarzutami. Udało się również wyeliminować Emotet, jeden z najbardziej złośliwych programów w historii. Znaczącym krokiem było także podjęcie działań, które mają na celu przerwanie operacji związanych z należącym do kategorii ransomware oprogramowaniem Egregor, NetWalker i Cl0p. Stanowi to znaczący impuls do dalszej walki z cyberprzestępczością, głownie dla rządów z całego świata i organów ścigania.

 

Ponadto, duży rozgłos, który towarzyszył niektórym atakom, spowodował wycofanie się z działalności kilku operatorów ransomware. Dane FortiGuard Labs wykazały spowolnienie aktywności cyberprzestępców po wyłączeniu Emoteta. Ataki związane z wariantami TrickBot i Ryuk jeszcze się zdarzały, jednak ich skala była mniejsza. Świadczy to o tym, jak trudno jest natychmiast wyeliminować cyberzagrożenia lub wykorzystywane przez nie łańcuchy dostaw w całości, jednakże wspomniane wydarzenia stanowią ważne osiągnięcia.

 

  1. Cyberprzestępcy preferują techniki unikania oraz eskalację uprawnień

Skrupulatna analiza danych dotyczących cyberzagrożeń pozwala na wyciągnięcie wniosków na temat tego, jak obecnie ewoluują techniki ataków. FortiGuard Labs badało specyficzne funkcje wykrytego złośliwego oprogramowania poprzez uruchomienie jego próbek, aby przyjrzeć się zaimplementowanym przez cyberprzestępców mechanizmom zachowania. W efekcie sporządzono listę negatywnych rezultatów, które złośliwe oprogramowanie mogłoby spowodować, gdyby zostało uruchomione w docelowych środowiskach IT.

 

Z tego eksperymentu wynika, że przestępcy dążyli między innymi do eskalacji uprawnień, unikania mechanizmów ochronnych, przemieszczania się pobocznymi wobec wewnętrznych systemów ścieżkami oraz wykradania danych. Aż 55% zaobserwowanych funkcji eskalacji uprawnień wykorzystało technikę przechwytywania wywołań systemowych (hooking), zaś w 40% przypadków obecne były mechanizmy wstrzykiwania procesów.

 

Przykłady te pokazują, że w działalności cyberprzestępców istnieje oczywisty nacisk na stosowanie taktyki unikania obrony i eskalacji przywilejów. Dzięki tym obserwacjom, chociaż techniki te nie są nowe, zespoły ds. cyberbezpieczeństwa będą lepiej przygotowane do obrony przed przyszłymi atakami. Zintegrowane i korzystające z mechanizmów na sztucznej inteligencji (AI) platformowe podejście do bezpieczeństwa, bazujące na informacjach o zagrożeniach, jest niezbędne wobec zmieniającej się sytuacji, przed którą stoją dziś przedsiębiorstwa.

 

Skuteczność działania zapewni tylko partnerstwo, szkolenia, a także bazująca na sztucznej inteligencji prewencja oraz wykrywanie incydentów i reagowanie na nie

Chociaż instytucje rządowe i organy ścigania podejmowały wspólne akcje przeciw cyberprzestępczości w przeszłości, pierwsza połowa 2021 roku może być przełomowa pod względem tempa działań. Służby współpracują z dostawcami branżowymi, podmiotami zajmującymi się badaniem cyberzagrożeń oraz innymi globalnymi instytucjami partnerskimi. Jest to efekt przyjętej strategii, polegającej na połączeniu zasobów i informacji o cyberzagrożeniach w celu podjęcia bezpośrednich działań przeciwko przestępcom.

 

Niezależnie od tego, zastosowanie mechanizmów zautomatyzowanego wykrywania zagrożeń i sztucznej inteligencji (AI) pozostaje niezbędne, aby można było reagować na ataki w czasie rzeczywistym, łagodzić ich skutki z odpowiednią szybkością oraz we właściwej skali na każdym brzegu sieci. Ponadto, niezwykle ważne są szkolenia użytkowników w zakresie cyberbezpieczeństwa, ponieważ każdy może stać się ofiarą przestępstwa w sieci. Aby zapewnić ochronę poszczególnym pracownikom i całej firmie, potrzebny jest regularny instruktaż na temat najlepszych praktyk.

 

Derek Manky, szef działu Security Insights i Global Threat Alliances, FortiGuard Labs

Obserwujemy wzrost liczby skutecznych i niszczycielskich cyfrowych ataków, dotykających tysiące przedsiębiorstw w ramach jednej kampanii, co stanowi ważny punkt zwrotny w wojnie z cyberprzestępczością. Teraz, bardziej niż kiedykolwiek, każda osoba ma do odegrania ważną rolę we wzmocnieniu łańcucha działań mających na celu zneutralizowanie ataków. Połączenie sił dzięki współpracy musi być priorytetem w celu przerwania łańcuchów dostaw cyberprzestępców. Dzielenie się danymi oraz partnerskie relacje umożliwią skuteczniejsze reagowanie i lepsze przewidywanie stosowanych w przyszłości technik w celu powstrzymania działań przeciwników. Ciągłe szkolenia w zakresie świadomości cyberbezpieczeństwa, jak również bazujące na sztucznej inteligencji mechanizmy zapobiegania zagrożeniom, wykrywania ich i reagowania na nie, zintegrowane w urządzeniach końcowych, sieciach i chmurze, pozostaną kluczowe w walce z cyberprzestępcami.

 

Informacje o raporcie

Najnowszy raport Global Threat Landscape Report zawiera zbiorczą analizę opracowaną przez FortiGuard Labs, sporządzoną na podstawie danych z pierwszej połowy 2021 roku, pochodzących z należącej do Fortinetu rozległej sieci czujników, gromadzących miliardy informacji o zagrożeniach obserwowanych na całym świecie. W podobny sposób, jak ramy MITRE ATT&CK klasyfikują taktykę i techniki działania cyberprzestępców w trzech grupach obejmujących rozpoznanie, , zarządzanie zasobami i próbę uzyskania dostępu, tak FortiGuard Labs wykorzystuje ten model do opisania w dokumencie Global Threat Landscape Report w jaki sposób hakerzy znajdują luki, budują złośliwą infrastrukturę i eksplorują środowisko ofiary. Raport uwzględnia również perspektywę globalną i regionalną.

 

Dodatkowe zasoby

Informacja o firmie Fortinet

Firma Fortinet (NASDAQ: FTNT), dzięki swojej misji zabezpieczania ludzi, urządzeń i danych, gdziekolwiek się znajdują, umożliwia stworzenie cyfrowego świata, któremu zawsze można ufać. Dlatego największe światowe przedsiębiorstwa, dostawcy usług i organizacje rządowe wybierają Fortinet, aby bezpiecznie przyspieszyć swoją cyfrową transformację. Platforma Fortinet Security Fabric zapewnia szeroką, zintegrowaną i zautomatyzowaną ochronę przed różnego rodzajami ataków. Zabezpiecza urządzenia, dane i aplikacje o znaczeniu krytycznym oraz połączenia od centrum danych, przez chmurę, po biuro domowe. Ponad 530 tys. klientów zaufało Fortinetowi w zakresie ochrony swoich firm, co sprawia, że firma zajmuje pierwsze miejsce na świecie pod względem liczby dostarczonych urządzeń zabezpieczających. Instytut szkoleniowy Fortinet NSE, działający w ramach programu firmy Training Advancement Agenda (TAA), zapewnia jeden z najobszerniejszych programów edukacyjnych w branży, dzięki czemu szkolenia z zakresu cyberbezpieczeństwa i nowe możliwości zawodowe są dostępne dla wszystkich zainteresowanych. Więcej informacji można znaleźć pod adresem https://www.fortinet.com, na blogu Fortinet lub w FortiGuard Labs

Nowy perymetr to tożsamość

Nowy perymetr to tożsamość

O specyficznym sposobie zabezpieczenia środowisk hybrydowych, bezpieczeństwie w różnych modelach chmury oraz nowej strategii cyberbezpieczeństwa rozmawiamy z Michałem Ciemięga, Regional Sales Mangerem w CyberArk.

 

Migracja do chmury, wszystkich jej modeli – od IaaS po SaaS – tworzy nowe wyzwania w zakresie bezpieczeństwa. Co to oznacza dla CSO?

Michał Ciemięga [MC]: Przede wszystkim konieczność przyjęcia nowej strategii bezpieczeństwa. Środowiska hybrydowego, w szczególności takiego, które obejmuje aplikacje klasy SaaS, nie można po prostu otoczyć zaporą ogniową. Chmura powoduje, że dane zostają wyprowadzone poza bezpieczny obszar otoczony ‘murem ochronnym’ – nie tylko do naszego środowiska w chmurze, ale w wielu przypadkach do środowiska zarządzanego przez inną firmę. Zresztą nie tylko migracja danych spowodowała rozszczelnienie perymetru. W dużej mierze dołożyła się pandemia, która spowodowała wyjście użytkowników poza chronione środowisko firmowe. Znaczna część pracowników łączy się dzisiaj z aplikacjami i korzysta z firmowych zasobów spoza wewnętrznej infrastruktury i ten model pracy już znami zostanie. Samo grodzenie się już więc nie wystarczy.

 

Na czym polega ta nowa strategia?

MC: Naszym zdaniem fundamentem nowej strategii bezpieczeństwa musi być ochrona tożsamości. Dzisiaj większość poważnych ataków bazuje właśnie na wykradzionej tożsamości. Bardzo często jeden zestaw – login i hasło – pasuje do wielu aplikacji i systemów z których korzysta użytkownik. Co istotne, problem nie dotyczy wyłącznie tych uprzywilejowanych, ale wszystkich użytkowników. Sama ochrona tożsamości uprzywilejowanej miała sens kilka lat temu, ale dzisiaj granice pomiędzy użytkownikami się rozmyły i trzeba zabezpieczyć wszystkich. Jeśli przestępca wykradnie dowolną tożsamość, to będzie miał dostęp do środowiska, w którym będzie szukał tego, co go interesuje i posuwał się krok po kroku do swojego celu. Dlatego trzeba przyjąć, że nowym perymetrem w środowiskach hybrydowych czy multi-cloud jest tożsamość.

 

Jak zatem należy dzisiaj chronić tożsamość?

MC: Na początek musimy wiedzieć czy użytkownik, który korzysta z danych czy aplikacji to faktycznie ten użytkownik, za którego się podaje. Hasło i login są niewystarczające. Konieczne jest silne uwierzytelnianie. Dodanie kolejnego składnika to dobry krok, ale warto go odpowiednio dobrać. W przypadku ludzi optymalna jest biometria. Dzięki temu możemy się upewnić, że po drugiej stronie siedzi człowiek, któremu przyznano dostęp. Jest jedno ‘ale’. We współczesnych środowiskach mamy dodatkowo mnóstwo robotów programowych. Dlatego nie można skupiać się wyłącznie na ludziach.

Jeśli przekażemy hasło i login zewnętrznej firmie czy automatowi, to znowu nie wiemy kto się loguje. Tak jak ludzi najlepiej identyfikować z wykorzystaniem biometrii, robota można identyfikować przy użyciu hashu, choć są także inne metody. W ten sposób wyeliminujemy sytuację, że przekazujemy login i hasło, a później przez pół roku korzysta z tego zestawu zarówno robot, admin i nie wiadomo jeszcze kto. Tymczasem można wykorzystać mechanizm, że robot przy każdym logowaniu, uwierzytelniania się w centralnym systemie zarządzania poświadczeniami i dzięki temu dostaje unikatowe, zmieniające się cyklicznie hasło.

 

Czy to już wystarczy?

MC: Kiedy wiemy już kto się loguje i do czego, dobrze jest dodać dodatkowe zabezpieczenie dotyczące zakresu przyznawanego dostępu i czasu. Mianowicie dajemy najmniejszy możliwy dostęp i tylko wtedy, kiedy on jest niezbędny – i to niezależnie czy mówimy o ludziach czy robotach.

W większości przypadków użytkownicy potrzebują do wykonywania swoich obowiązków dostępu wyłącznie do określonych funkcji i to w godzinach pracy biurowej, np. od 9 do 17. Bardzo często jest tak, że administratorzy systemów operacyjnych nie potrzebują pełnego dostępu administracyjnego, a i tak go otrzymują. Przez to wielu użytkowników może zrobić o wiele więcej niż to wynika z zakresu ich obowiązków.

W to wszystko wplata się model Zero Trust, czyli założenie, że już zostaliśmy zaatakowani i przestępca ma dostęp do naszego środowiska. Warto w tym kontekście zadać sobie pytanie: dlaczego ufamy swoim pracownikom? Dotyczy to zwłaszcza dużych firm, zatrudniających kilkaset czy kilka tysięcy osób. Czy mamy pewność, że choćby jeden spośród aktualnych pracowników czy osób zatrudnianych nie ma złych zamiarów? Czasem przemiana z dobrego w złego użytkownika następuje w bardzo krótkim czasie – decydują pieniądze albo emocje. Dlatego myśląc o atakach zewnętrznych, przygotujmy się również na ataki wewnętrzne. Ufajmy użytkownikom, ale dawajmy im ograniczony dostęp, kontrolujmy go i monitorujmy to, co robią.

 

Tu pojawia się jednak problem: jak kontrolować i monitorować to, co robią setki czy tysiące użytkowników…

MC: Oczywiście, człowiek tego nie jest w stanie ogarnąć. Nawet armia ludzi. Potrzebne są automaty, które będą sprawdzać, czy użytkownicy nie robią czegoś, co wykracza poza ustaloną politykę bezpieczeństwa albo ich zachowanie zaczyna odbiegać od normy – technologie User Behavior Analytics stają się coraz bardziej popularne. Automat w przypadku wykrycia nieprawidłowości może podnieść alarm albo zablokować sesję.

 

Co jeszcze należy wziąć pod uwagę?

MC: Dla niektórych organizacji szczególne znaczenie ma wypełnianie ustalonych norm w kontekście audytów. W rozproszonych środowiskach kwestia mamy coraz więcej danych, aplikacji, automatów. Dlatego potrzebny jest jeden, centralny system, który pozwoli generować raporty potrzebne dla audytorów. Każda firma, która zapewni już odpowiedni poziom bezpieczeństwa,  zaczyna myśleć o kosztach. Jeśli możemy szybko, kilkoma kliknięciami wygenerować raporty potwierdzające, że spełniamy wymogi, zamiast robić to ręcznie, to mamy dużą oszczędność.

W tym momencie część firm powie: fajnie jest mieć wszystko w jednym miejscu, ale boimy się vendor lockingu. Naszym zdaniem, jeśli ktoś decyduje się na wdrożenie systemu klasy Privileged Access Management, to w jakiś sposób, chcąc nie chcąć i tak wiąże się z jednym dostawcą. Lepiej więc rozwinąć ochronę tożsamości i mieć łatwiejsze raportowanie, niż walczyć z vendor lockingiem, bo konsekwencją jest walka z wieloma innymi kwestiami. W każdym razie, naszym zdaniem, warto to przemyśleć i zastanowić się co jest lepsze zarówno z punktu widzenia bezpieczeństwa jak i z czystko ekonomicznych pobudek, bo wdrożenie jednej platformy adresującej wiele obszarów w większości przypadków jest po prostu tańsze niż utrzymywanie kilku różnych rozwiązań.

 

Wszystko składa się w jedną spójną całość, ale pojawia się inny problem: czy firmy posiadają odpowiednie kompetencje i doświadczenie, żeby to wszystko zrealizować?

MC: To oczywiście poważne wyzwanie. Ze naszej strony mogę zaproponować darmową usługę dla klientów, która polega na wsparciu w przygotowaniu długofalowego programu ochrony tożsamości. Nie sprzedajemy tej usługi, ani nie zobowiązujemy klientów, którzy z niej korzystają do późniejszego zakupu naszych rozwiązań. Powstająca w jej wyniku roadmapa nie jest oparta na żadnych konkretnych produktach.

CyberArk ma ponad dwie dekady doświadczeń w tym obszarze. Chętnie dzielimy się nimi z klientami, zwłaszcza, że wdrożenia systemów klasy Privileged Access Management, które nie są oparte o plan przygotowany przez osoby posiadające odpowiednią wiedzę i kompetencje, często nie przynoszą oczekiwanych rezultatów. Dlatego pomagamy klientom tworzyć plan na podstawie naszych doświadczeń, najlepszych praktyk, specyfiki środowiska i priorytetów klienta.

Dotychczas pomogliśmy przygotować takie roadmapy kilkuset klientom w regionie i żaden z nich nie powiedział, że był to stracony czas. Dlatego dla wszystkich firm, które nie czują się na siłach samodzielnie mierzyć się z przygotowaniem nowej strategii bezpieczeństwa, może to być najlepszy pierwszy krok. Jeżeli zaś chodzi o te firmy, które uważają, że posiadają odpowiednie kompetencje, żeby taki długofalowy plan stworzyć samodzielnie – zaciągnięcie dodatkowej, zewnętrznej opinii pozwoli im zweryfikować swoje założenia.

 

Krajobraz cyberbezpieczeństwa 2021: nowe wyzwania, nowe rozwiązania

Krajobraz cyberbezpieczeństwa 2021: nowe wyzwania, nowe rozwiązania

Tempo migracji do chmury nie spada. Ze względu na pandemię przenoszenie obciążeń z firmowych centrów danych do środowisk cloud dodatkowo przyspieszyło. Nie oznacza to jednak, że obawy dotyczące bezpieczeństwa chmury zniknęły. Zwłaszcza że masowa praca zdalna znacznie powiększyła powierzchnię ataku. O głównych wyzwaniach dotyczących chmury w kontekście bezpieczeństwa i o kluczowych technologiach mówi Paweł Wojciechowski, Business Development Manager w Fortinet.

 

Niedawno opublikowany został, opracowany przez Cybersecurity Insiders przy wsparciu Fortinet,  raport 2021 Cloud Security opierający się na globalnym badaniu przeprowadzonym wśród 572 specjalistów ds. cyberbezpieczeństwa. Jaki obraz bezpieczeństwa chmury wyłania się z tej publikacji?

Paweł Wojciechowski [PW]: Nie będzie dla nikogo zaskoczeniem, że większość organizacji, aż 71%, realizuje strategię hybrydową lub multi-cloud – to najlepsza droga, która prowadzi do łatwiejszej integracji usług, zwiększania możliwości skalowania i zapewnia ciągłość działania biznesu.

Wśród kluczowych barier utrudniających szybszą migrację uczestnicy badania wymieniali: brak pełnej widoczności – 53%, brak kontroli – 46% i brak zasobów ludzkich lub wiedzy specjalistycznej – 39%, a także wysokie koszty – 35%.

Największym ryzykiem związanym z bezpieczeństwem chmury według 67% specjalistów ds. cyberbezpieczeństwa pozostaje błędna konfiguracja usług. Zaraz za nią plasuje się wyciek wrażliwych danych – 59%, a dalej nieautoryzowany dostęp i niezabezpieczone interfejsy/API – 49%..

 

Co to wszystko oznacza w praktyce?

PW: Wszyscy doskonale rozumieją, że środowiska wielochmurowe zwiększają złożoność i rodzą nowe wyzwania związane z bezpieczeństwem. To normalne, że boimy się wycieku danych. Ale moim zdaniem…

… kluczowym problemem jest brak wysokiej klasy specjalistów od bezpieczeństwa, ludzi, którzy posiadają odpowiednie umiejętności i rozumieją jak poszczególne technologie ze sobą współpracują.

Nie przez przypadek zła konfiguracja usług cloud pozostaje na szczycie listy największych ryzyk. Jeśli mówimy o czymś więcej niż lift and shift, to sukces transformacji zależy od specjalistów, którzy rozumieją chmurę i potrafią nową architekturę aplikacji zaprojektować i uruchomić w optymalny dla tej aplikacji sposób.

Prawdopodobnie dlatego aż 78% ankietowanych specjalistów ds. cyberbezpieczeństwa uważa, że bardzo pomocne lub niezwykle pomocne jest posiadanie jednej platformy bezpieczeństwa w chmurze, która oferuje pojedynczy pulpit nawigacyjny i umożliwia konfigurację polityk w celu spójnej i kompleksowej ochrony danych w całej chmurze.

 

Czy zabezpieczanie chmury aż tak bardzo różni się od ochrony środowisk tradycyjnych?

PW: To zależy. Jeżeli spojrzymy na większość wykorzystywanych rozwiązań bezpieczeństwa, to są one znane i wykorzystywane od lat. Natomiast w przypadku chmury zawsze należy pamiętać o modelu współdzielonej odpowiedzialności, w którym dostawca i korzystający z chmury mają swoje obowiązki w zakresie bezpieczeństwa. Ponadto każda chmura jest trochę inna. W szczególności widać to w natywnych rozwiązaniach bezpieczeństwa oferowanych przez dostawcę chmury.

Migrując do chmury, kiedy mamy środowisko hybrydowe lub multi-cloud, można skorzystać z natywnych rozwiązań bezpieczeństwa oferowanych przez dostawców chmur, ale wówczas tworzymy oddzielne systemy bezpieczeństwa dla każdej z chmur. Tymczasem…

…spójność całego systemu zabezpieczeń dla środowisk hybrydowych i multi-cloud jest niezwykle ważna. Zwiększa poziom ochrony, ułatwia pracę, zmniejsza koszty i pozwala automatyzować działania w wybranych obszarach.

Nie wspominając o tym, że część tych rozwiązań, np. firewalle, ma zdecydowanie mniejszy stopień zaawansowania i zakres funkcjonalny w stosunku do specjalizowanych rozwiązań od dostawców bezpieczeństwa.

 

Na czym polegają te nowe zagrożenia, o których Pan wspomniał?

PW: Coraz więcej aplikacji jest udostępnianych na zewnątrz organizacji, coraz więcej danych jest udostępnianych na zewnętrz, coraz więcej danych jest tworzonych i przechowywanych na zewnętrz, w aplikacjach SaaS wszystkie te aplikacje i dane wymagają ochrony. To z kolei oznacza konieczność wykorzystywania specjalizowanych narzędzi. Idealnie, kiedy te narzędzia są częścią centralnego systemu cyberbezpieczeństwa lub można je łatwo z nim zintegrować. Kluczową kwestią jest bowiem widoczność całego środowiska i spójność systemu cyberbezpieczeństwa, co zostało potwierdzone w raporcie, o którym wcześniej wspominaliśmy

 

Jak sobie radzić z tymi wyzwaniami? Czy można liczyć na wsparcie technologii?

PW: Zdecydowanie, technologia ma do odegrania ogromną rolę. Zwłaszcza że jak powiedzieliśmy, rośnie poziom złożoności, zwiększa się powierzchnia ataku, a specjalistów brakuje.

Narzędzia, które w zautomatyzowany sposób sprawdzają błędy, rekomendują wprowadzenie zmian, technologie zapewniające spójny, całościowy obraz środowiska są nieocenione z punktu widzenia cyberbezpieczeństwa.

Oczywiście technologia nie rozwiąże wszystkich problemów. Jeśli ktoś tworzy pulę pamięci masowej w chmurze i źle przydzieli uprawnienia, to może się okazać, że cały świat ma dostęp do firmowych danych. Automat może to szybko wychwycić i albo poinformować o błędnej konfiguracji, albo naprawić błąd, a przynajmniej zablokować dostęp do czasu interwencji człowieka.

W przypadku bardziej złożonych błędów nie można zastąpić specjalisty. Wracamy zatem do kluczowego – w moim odczuciu – wyzwania braku specjalistów i w tym kontekście konieczności zapewniania spójnego bezpieczeństwa w skali całego środowiska.

Dlatego, my jako dostawca technologii cyberbezpieczeństwa, rozwijamy nasze rozwiązania i dostarczamy bogatą w funkcjonalność zintegrowaną platformę cyberbezpieczeństwa, jaką jest Fortinet Security Fabric. Dzięki temu zapewniamy spójne bezpieczeństwo aplikacji, gdziekolwiek się one znajdują. Jedna platforma oznacza bowiem bardziej efektywne zarządzanie. Nie zastąpi specjalisty, ale pozwala znacznie złagodzić brak ludzi z odpowiednimi kompetencjami

Dziękujemy za rozmowę!

 

Paweł Wojciechowski

Stanowisko: BDM
Firma: Fortinet
Z branżą IT związany od ponad 25 lat. Doświadczenie zdobywał pracując m.in. dla Hewlett-Packard, EMC i Symantec, będąc odpowiedzialny za rozwój biznesu w Polsce, jak również Austrii, Czechach, Słowacji i krajach bałtyckich. Absolwent Politechniki Warszawskiej, University of Bristol oraz programu MBA w Szkole Biznesu Politechniki Warszawskiej. Obecnie w firmie Fortinet pełni funkcję Business Development Manager.

 

Pełne zanurzenie w mrok DARKWEBA!

Pełne zanurzenie w mrok DARKWEBA!

Podczas wtorkowego spotkania CSO Council „Co piszczy w Darkwebie?” zeszliśmy tak głęboko w mroki Internetu jak nigdy do tej pory. Ekspert CERT Polska (nieco tajemniczy, bo do końca zachował swoja anonimowość) szybko przeszedł od slajdów do praktycznego demo – wejścia do przestępczego „cyberpodziemia”. Dla uczestników jest to temat ważny i ciekawy, ale dopiero duża skala organizacji i wyzwań bezpieczeństwa każe na poważnie na bieżąco śledzić to, co się dzieje w Darkwebie.

 

 

To stamtąd bowiem można odczytać obecne trendy i kierunki rozwoju cyberprzestępczości.
Ile kont VPN jest dostępnych w Darknecie – pokazał nam @Adam Danieluk w swoim CyberEkspressie. Pokazał nam również jakie zostały nałożone na firmy, które nie wykazały się odpowiednią dbałością o Cyberbezpieczeństwo. Hm…

Dziękujemy świetnym i bardzo tajemniczym (tym razem😊) Prelegentom spotkania, opiekunom dyskusji przy stolikach – którymi byli Piotr Kalbarczyk i Przemysław Dęba.
Ale przede wszystkim Uczestnikom Spotkania za zaangażowanie i trudne pytania😊

Do zobaczenia na kolejnym spotkaniu CSO Council – już 12 października!

 

The Internet of Things in the Cybercrime Underground

The internet of things (IoT) continues to influence many aspects of today’s society.
IoT devices are increasingly being used in homes and businesses to improve user experience and innovate services. The continuing growth of the IoT makes it an irresistible target for cybercriminals — thus shaping the threat landscape and the cybercrime underground.

Sztuczna inteligencja przeciwko cyberprzestępcom, czyli jak ogniem zwalczyć ogień

Sztuczna inteligencja przeciwko cyberprzestępcom, czyli jak ogniem zwalczyć ogień

Sztuczna inteligencja (AI) znajduje coraz szersze zastosowanie. Jest obecna w wielu dziedzinach codziennego życia – od zakupów online po ochronę zdrowia. Niestety, wykorzystują ją także cyberprzestępcy, którzy dzięki tym mechanizmom wzmacniają skuteczność swoich ataków. Aby podjąć skuteczną walkę, zespoły ds. cyberbezpieczeństwa powinny zatem skupić się na zrozumieniu tych technik i na bazie tej wiedzy projektować strategię działania.

Już w 2018 r. organizacja Electronic Frontier Foundation przestrzegała przed możliwością złośliwego zastosowania sztucznej inteligencji[1]. I rzeczywiście, mechanizmy te coraz częściej stają się dużym zagrożeniem dla bezpieczeństwa cyfrowego, gdyż dzięki nim cyberprzestępcy potrzebują mniej czasu na włamanie się do sieci. Zwykle operacja ta trwała nawet kilka miesięcy, zaś obecnie – kilka dni. Z powodu tak dużej skuteczności wzrasta liczba ataków bazujących na sztucznej inteligencji i uczeniu maszynowym. Skrócenie czasu potrzebnego na przeprowadzenie złośliwych działań przekłada się też na obniżenie związanych z nimi kosztów. W tym kontekście sytuację administratorów utrudnia możliwość dokonania przez cyberprzestępców automatyzacji całego procesu mapowania sieci, odkrywania potencjalnych celów, znajdowania w nich luk bezpieczeństwa, a nawet przeprowadzania niestandardowych ataków.

Sztuczna inteligencja w rękach atakujących stanowi coraz większe zagrożenie dla bezpieczeństwa sieci i danych. Sytuację pogarsza możliwość wykorzystania przez nich tzw. inteligentnych rojów oraz tworzenia zautomatyzowanych i bazujących na skryptach zagrożeń. To wszystko w zawrotnym tempie zwiększa szybkość i skalę cyberataków – ocenia Derek Manky z FortiGuard Labs firmy Fortinet.

Konieczność stosowania zintegrowanej architektury bezpieczeństwa

W wielu przedsiębiorstwach architektura ochronna nie jest dostosowana do obrony przed atakami bazującymi na sztucznej inteligencji. Głównym problemem jest stosowanie w jednym środowisku nawet kilkudziesięciu punktowych produktów zabezpieczających sieć, często pochodzących od różnych producentów. Utrudnia to uzyskanie pełnego obrazu poziomu ochrony, ponieważ wymagane jest ręczne integrowanie danych z wielu aplikacji. W takiej sytuacji niemożliwa jest skuteczna i skoordynowana reakcja na cyberatak obejmujący całą sieć.

Co więcej, zespoły ds. cyberbezpieczeństwa często nie nadążają z wykrywaniem zagrożenia, ponieważ przestępcy stają się coraz szybsi i minimalizują czas potrzebny na przeprowadzenie ataków. To z kolei powoduje powstawanie tzw. luki wykrywalności naruszenia bezpieczeństwa (Breach Detection Gap), określanej jako okres od momentu włamania do sieci, aż do wykrycia incydentu. Dane przedstawione w dokumencie Ponemon Cost of a Data Breach Report 2020[2] wskazują, że czas ten może wynieść średnio nawet 280 dni. Według tego raportu, przeciętny koszt naruszenia bezpieczeństwa danych na świecie wynosi 3,86 mln dolarów. Skala tego zjawiska pokazuje, jak ważne jest zintegrowanie posiadanych zabezpieczeń.

Czego zespoły ds. bezpieczeństwa IT mogą nauczyć się od cyberprzestępców?

W branży cyberbezpieczeństwa stale brakuje dużej liczby specjalistów. Pozyskanie odpowiednio wykwalifikowanych pracowników w tym obszarze jest dla firm poważnym problemem. Szczególnie trudno jest znaleźć osoby, które znają się na sztucznej inteligencji. Tymczasem, wraz z jej rozwojem, cyberprzestępcy opracowują coraz bardziej skuteczne, bazujące na tym mechanizmie techniki. Wykorzystywane w cyberatakach samouczące się rozwiązania pozwalają nie tylko na szybkie znalezienie luk w zabezpieczeniach. Umożliwiają także dobieranie na bieżąco najskuteczniejszego w danej sytuacji złośliwego kodu oraz aktywne neutralizowanie prób jego zablokowania.

Wykorzystując sztuczną inteligencję oraz łącząc ją z nowymi metodami ataków, np. rojami botów, cyberprzestępcy zyskują możliwość segmentacji ataku. Jego poszczególne elementy funkcjonalne mogą być przypisane do różnych członków roju, aby umożliwić interaktywną komunikację i przyspieszyć tempo ataku. Trzeba jednak zaznaczyć, że może być on też przeprowadzony przez pojedynczego przestępcę, więc nie zawsze jest potrzebne angażowanie większej grupy ludzi – opisuje Derek Manky.

Cyberprzestępcy posługują się coraz bardziej złożonymi i wyrafinowanymi technikami, co przekłada się na wzrost efektywności ich działania. Dlatego strategia bezpieczeństwa również powinna być wzmocniona o zastosowanie rozwiązań wykorzystujących sztuczną inteligencję. Zespoły ds. cyberbezpieczeństwa powinny zapomnieć o zasadzie, że ognia nie gasi się ogniem. W tym przypadku jest odwrotnie. Wyrównanie szans w walce z cyberprzestępcami będzie możliwe tylko wtedy, gdy metodyka ich działania zostanie zaadaptowana do celów działań ochronnych. Jest to istotne zwłaszcza w sytuacji niedoboru specjalistów na rynku. Wykorzystanie potencjału sztucznej inteligencji może usprawnić pracę zespołów ds. bezpieczeństwa i chociaż trochę zmniejszyć odczuwanie negatywnych skutków luki kompetencyjnej.

[1] https://www.eff.org/deeplinks/2018/02/malicious-use-artificial-intelligence-forecasting-prevention-and-mitigation

[2] https://www.ibm.com/security/data-breach

 

Eksperci Fortinet o socjotechnicznych atakach w postcovidowej rzeczywistości

Eksperci Fortinet o socjotechnicznych atakach w postcovidowej rzeczywistości

Spowodowane pandemią nagłe przejście na telepracę zaskoczyło wiele przedsiębiorstw, a brak odpowiedniego przygotowania naraził ich sieci na zagrożenia. Działania manipulacyjne cyberprzestępców, obecne w licznych atakach phishingowych i spearphishingowych, zaczęły bowiem koncentrować się wokół obaw użytkowników komputerów związanych z COVID-19. Teraz, gdy wiele firm ponownie zmienia model pracy, konieczne jest rozważenie, jak wpłynie to na bezpieczeństwo ich infrastruktury IT.

Analitycy Derek Manky i Aamir Lakhani z FortiGuard Labs, działającego w strukturach firmy Fortinet, wyjaśniają, jak w czasie pandemii zmodyfikowane zostały techniki działań socjotechnicznych oraz wskazują, co firmy muszą zrobić, aby zabezpieczyć środowiska pracy hybrydowej.

Czym spotykane obecnie zagrożenia socjotechniczne różnią się od tych z początku pandemii?

Derek: Mamy za sobą już ponad 15 miesięcy pandemii. Zakładałem, że po takim czasie zabiegi socjotechniczne związane z COVID-19 będą coraz mniej popularne. Analiza naszych danych wskazuje jednak, że liczba ataków, szczególnie prowadzonych z wykorzystaniem wiadomości e-mail, pozostaje na podobnym poziomie. Różnica polega jedynie na wykorzystywanych do manipulacji tematach. Na początku dotyczyły one głównie pracy zdalnej. Obecnie koncentrują się na ponownym otwarciu biur i kwestiach związanych ze szczepieniami. Popularne jest podszywanie się pod pracowników działów bezpieczeństwa IT.

Aamir: Również oczekiwałem zmniejszenia liczby ataków wykorzystujących temat COVID-19. Biorąc jednak pod uwagę skuteczność, jaką miały niektóre z nich, trudno się dziwić, że kwestie związane z pandemią wciąż są popularne. Cyberprzestępcy po prostu dostosowują swoje przynęty do aktualnej sytuacji i wykorzystują nowe tematy. Niestety, ludzie często nie traktują tych ataków tak poważnie, jak powinni. Na przykład, powrót do pracy stacjonarnej przekłada się na większą liczbę wiadomości phishingowych od przestępców podszywających się pod korporacyjnych specjalistów IT. Należy się spodziewać, że te e-maile będą zgodne z korporacyjnymi wytycznymi dotyczącymi bezpieczeństwa. Przykładowo, będą nakazywać pracownikom ostrożność wobec podejrzanych wiadomości, a jednocześnie będą zachęcać do kliknięcia w znajdujące się w nich złośliwe łącza. Dlatego działy IT w każdej firmie muszą pamiętać o dzieleniu się z pracownikami wiedzą o cyberzagrożeniach i odpowiednio ich uczulać na zagrożenia.

W jaki sposób cyberprzestępcy zmieniają taktykę działania, gdy coraz więcej firm przechodzi na hybrydowe modele pracy?

Aamir: Chociaż coraz więcej osób jest zaszczepionych, a świat wraca do poczucia „normalności”, to o COVID-19 wciąż codziennie słyszymy w mediach. Cyberprzestępcy to wykorzystują, dostosowując jedynie przynęty do popularnych aktualnie tematów. Pojawiają się jednak również nowe taktyki, związane z powrotem do biur. Co zaskakujące, rośnie popularność modelu Ransomware-as-a-Service, w którym cyberprzestępcy dokonują włamania, a następnie oferują „usługi konsultingowe” – w zamian za okup deklarują ujawnienie firmowym specjalistom, w jaki sposób uzyskali dostęp do sieci. W niektórych przypadkach kampanie te przynoszą miliony dolarów zysku. To naprawdę interesująca zmiana w podejściu cyberprzestępców, ponieważ do tej pory próbowali wpłynąć na emocje atakowanego, a teraz oferują im pomoc, oczywiście z korzyścią dla siebie.

Derek: Warto zauważyć, że wiele informacji, których ujawnienie może mieć negatywne konsekwencje, przekazywanych jest przez ich posiadaczy dobrowolnie. Cyberprzestępcy mogą uzyskać dostęp do tych danych i wykorzystać je do przeprowadzenia ataków typu spear phishing. Niektóre informacje przesyłane między pracownikami również mogą zawierać poufne informacje korporacyjne i dane umożliwiające identyfikację konkretnej osoby. W takiej sytuacji cyberprzestępcy nie mają już wiele pracy – wystarczy pobranie dokumentów i informacji publicznie udostępnionych.

O czym zarządy przedsiębiorstw powinny pamiętać przy tworzeniu planów bezpieczeństwa dopasowanych do nowych modeli pracy?

Aamir: Jeżeli firma wysyła jakieś dane do usługodawcy lub dostawcy, trzeba zastanowić się w jaki sposób są one przetwarzane. Czy partnerzy dbają o ochronę poufnych informacji przed zagrożeniami? To są trudne pytania, które należy zadać już na samym początku współpracy. Kupując produkty IoT pytajmy o ich zabezpieczenia, możliwość dostania się do nich z innych sieci, sposób komunikowania z innymi urządzeniami – to wszystko jest bardzo ważne. Właściwie należy się zastanowić, czemu nie zadajemy tych pytań na co dzień, również sobie. Czy przekazując dalej otrzymaną wiadomość e-mail nie udostępniamy jakichś poufnych informacji?

Derek: Ważne jest, aby współpracować i reagować na zagrożenia. Kluczowa jest jednak kwestia zaufania. Jeśli nadawca złośliwych wiadomości e-mail jest sfalsyfikowany i rozsyłane są one rzekomo przez korporacyjny zespół, pracownicy muszą dysponować odpowiednią wiedzą, aby zidentyfikować je jako potencjalne zagrożenie i zweryfikować tożsamość nadawcy. Model zero trust jest tutaj bardzo ważny, bo zmniejsza przestrzeń, w ramach której mogą działać cyberprzestępcy. To rozwiązanie było kluczowe podczas przejścia na pracę zdalną i powinno zostać zastosowane również w przypadku pracy hybrydowej.