Cisco zaprezentowało raport dotyczący aktualnego krajobrazu cyberzagrożeń. Podczas prezentacji dowiedziałam się kilku ciekawostek, którymi warto podzielić się z Czytelnikami. Niektóre ze wskazówek specjalistów Cisco warto zastosować także w codziennym życiu.
Statystyki są optymistyczne i coraz więcej firm zabezpiecza dane kompleksowo, w czym bardzo pomogła przyspieszona cyfryzacja biur i usług. Cisco zapowiada też epokę logowania bez hasła i sztucznej inteligencji, która będzie pilnowała pracowników i potwierdzała ich tożsamość. Przewinął się też wątek ataku na firmę Garmin, który mnie osobiście poruszył do tego stopnia, że sprzedałam swój ulubiony zegarek. Od tego wątku zacznę, bo to doskonały przykład kompleksowego działania branży cyberataków.
Cyberatak na firmę Garmin jest przykładem kompleksowego działania branży cyberprzestępczej. Gdy usługi przestały działać pod koniec lipca 2020 roku, firma nie komunikowała praktycznie nic o ataku. O tym, że padła ofiarą ransomware, dowiedzieliśmy się z nieoficjalnych źródeł. W końcu Garmin zapłacił okup i przywrócił swoje usługi do działania, ale to nie koniec.
Zobacz: Garmin Connect nie działa? Przyczyną może być atak hakerów Evil Corp i ransomware WastedLocker
Zobacz: Garmin Connect ofiarą cyberataku. Przestępcy żądają kolosalnego okupu
Przy okazji ataku ransomware cyberprzestępcy wykradli także dane użytkowników platformy Garmin Connect. Po tym, jak Garmin zapłacił okup za odszyfrowanie danych, musiał zapłacić jeszcze drugi. Wszystko po to, by upewnić się, że dane nie zostaną udostępnione w sieci. To przykład działania, które ma na celu wyduszenie z ofiary, ile się tylko da.
Przy tym organizacje cyberprzestępcze działają wcale nie gorzej niż „poważne firmy” – mają centra obsługi klienta, rozbudowane oferty itp. Są tak pewne siebie, że od niedawna pobierają opłaty za efekty pracy, a nie po prostu za dostęp do szkodliwego oprogramowania. W sieci pojawia się nowy trend: attack as a service.
To prowadzi nas do kolejnego wątku: wzrostu popularności tak zwanego credentials dumping. To wykradanie i udostępniania całych baz danych użytkowników. Przykład takiego działania opisywaliśmy niedawno w kontekście Facebooka. Do sieci trafiły między innymi e-maile i numery telefonu około 500 mln użytkowników platformy (stan na kwiecień 2019).
Zobacz: Wyciek z Facebooka: sprawdź swoje dane i lepiej zabezpiecz konto
Pewnie myślisz sobie, że takimi danymi nie da się w zasadzie zrobić nic zyskownego. Owszem, jeśli będą traktowane osobno. Jednak w sieci są już miliardy rekordów z wielu innych platform, gdzie również mogą być adresy e-mail, hasła, być może dane teleadresowe czy płatnicze. Wystarczy zebrać kilka takich zbiorów i zrobić z nich jedną relacyjną bazę danych, by uzyskać komplet. Najlepszą obroną w takich sytuacjach jest dywersyfikacja metod logowania i stosowanie autoryzacji wieloskładnikowej.
Przy okazji prezentacji raportu specjaliści z Cisco ponownie zaprezentowali też zalecenia dotyczące cyberbezpieczeństwa. Były kierowane głównie do firm, ale myślę, że niektóre warto zastosować także w codziennym życiu:
Ponadto Cisco jest wśród firm, które będą promować życie bez haseł. To może się wydawać sprzeczne z intuicją, bo w końcu od lat hasło jest podstawową metodą zabezpieczania czegokolwiek, ale wcale nie oznacza, że to metoda najlepsza.
Latem Cisco wprowadzi swoje rozwiązanie passwordless – Cisco Duo. Będzie to system kompleksowy, który świetnie wpisuje się w ideę „zero zaufania przez cały czas”. Dostęp do systemu (na przykład do firmowej sieci) będzie odbywał się bez hasła. Na kolejnym etapie będzie przeprowadzona weryfikacja zaufanego urządzenia, z którego nastąpiło logowanie. Można więc zacząć pracę.
I tu ciekawostka – przez cały czas pracy w systemie działania będą monitorowane przez sztuczną inteligencję. Będzie to metoda podobna do proaktywnej ochrony we współczesnych programach antywirusowych, tylko tu SI nie będzie monitorować działań procesów w systemie, ale zachowanie człowieka. Efekt? Jeśli SI zauważy coś nietypowego, natychmiast wyloguje to konto. Nie będzie więc możliwości preprowadzenia żadnych szkodliwych działań, nawet jeśli jakimś cudem cyberprzestępcom uda się przejąć sesję.
Oczywiście prezentacja raportu to także garść faktów. I tak z obserwacji Cisco wynika, że rośnie popularność ataków na łańcuchy dostaw. Niezmiennie pojawiają się problemy z Internetem Rzeczy. Dobre praktyki mówią, że infrastruktura krytyczna i IoT powinny być odseparowane od sieci, z której wszyscy korzystamy. Po prostu nie może być punktów styku. A jednak zdarza się, że urządzenia te łapią popularne, „desktopowe” malware.
Wciąż popularne są ataki ransomware, ale rynek się skonsolidował. Prym wiedzie 7 najpopularniejszych pakietów szkodliwego oprogramowania. Ofiarami tego typu ataków padają podmioty ze wszystkich sektorów. Trojany są domeną służby zdrowia (często niedofinansowanej i kiepsko zabezpieczonej), administracji i jednostek finansowych. Jeśli celem jest potajemne kopanie kryptowalut, najczęściej na cel brane są firmy IT – to tam można dostać się do najnowszych i najpotężniejszych komputerów. Phishing najczęściej kierowany jest przeciwko administracji, usługom finansowym i szkolnictwu wyższemu.
Zadziwiająco dobrze działają ataki phishingowe na małe kwoty: 5, 10, 20 złotych dopłaty za paczkę albo do urzędu. Trudno tego nie zauważyć. UKE niedawno uruchomił kampanię informacyjną, ostrzegającą przed atakami na dopłatę, na szczepionkę i podobnymi. Za tym idzie jeszcze jedno zagrożenie – jeśli „złapie się” ktoś pracujący na kluczowym stanowisku w firmie czy urzędzie, nieszczęście gotowe.
Pandemia zmusiła wszystkich do przyspieszonej cyfryzacji i dotyczy to także cyberbezpieczeństwa. Coraz więcej osób decyzyjnych jest świadomych, że trzeba się za to zabrać. Polskie firmy radzą sobie z tym dość dobrze według specjalistów z Cisco. Najpierw oczywiście trzeba było zorganizować możliwość pracy zdalnej. W niektórych firmach jednocześnie na pracę zdalną przechodziło kilkanaście tysięcy osób. Na szczęście zaraz potem pojawiło się zainteresowanie dodatkowymi zabezpieczeniami na styku z Internetem
Najpierw popularność zyskały narzędzia, które łatwo wdrożyć, jak Cisco Umbrella. Aktualnie polski biznes wchodzi w fazę zainteresowania autoryzacją wieloskładnikową i passwordless i bardziej złożonymi systemami bezpieczeństwa. Wciąż rośnie też zainteresowanie automatyzacją – alertów zabezpieczeń jest tyle, że ludziom nie starczy życia na ich analizę. Internet to niebezpieczne miejsce.
Źródło tekstu: wł., Cisco
