V posledních měsících bylo provedeno několik průzkumů a studií, jejichž výsledky ukazují na aktuální trendy kybernetické kriminality. Ačkoliv stále více výrobců softwaru za nalézání a reportování bezpečnostních chyb platí, mnoho zranitelností nultého dne (zero day) se stále dostává i do rukou podvodníků.
Trh je tak rozvinutý, že stejná zranitelnost bývá zpravidla objevena i prodána vícekrát nezávisle na sobě. Podvodníkům se pak nevyplatí chyby si šetřit na zvlášť důležité cíle, nejvíce vydělá ten, kdo s akcí přijde jako první – brzy poté zareagují dodavatelé zabezpečení a další pokusy o zneužití už nebudou tak účinné. I malé firmy se tak stále častěji stávají terčem sofistikovaných útoků.
Rychlé infekce
Analýza společnosti Verizon se zaměřila na účinnost phishgingu, což je při útocích stále jedna z nejčastěji používaných metod. Ačkoliv se s phishingem pro jeho všudypřítomnost setkal snad každý, tato metoda překvapivě neztrácí na efektivitě.
Podle Verizonu je v podnikovém prostředí dnes phishing účinný především kvůli tomu, že některá oddělení mají otevírání a reakce i na nevyžádané e-maily v popisu práce. Zaměstnanci technické podpory, právního oddělení či vztahů s veřejností mají prostě za úkol otevírat i nevyžádané e-maily od neznámých adresátů, nelze je vyškolit, aby to nedělali. I když vzdělávání uživatelů má v mixu obranných technik své místo, potřeba je nasazovat i adekvátní technické prostředky.
Závěry studie také ukazují, že oběti na phishing naletí obvykle velmi rychle, už v řádu minut po zahájení útoku. Z toho důvodu nelze plně spoléhat na definice malwaru. Než se bezpečnostní systém stihne aktualizovat, infekce je často již v plném proudu. Výhodu zde ale mají ti, kdo používají řešení fungující efektivně na principech cloudu a rozšířené po celém světě – díky tomu lze informace sdílet podstatně rychleji. Například základna produktů Avast představuje asi 230 milionů uživatelů.
Vše k pronajmutí
Studie Websense 2015 Threat Report uvádí, že počítačová kriminalita dnes prakticky plně kopíruje legální softwarové trhy. Malware i infrastruktura (řídicí servery, ovládané botnety...) se přeprodávají, prodává se software i služba, na černém trhu funguje marketing a je k dispozici technická podpora produktů. Útočník proto zdaleka nemusí mít všechny potřebné technické dovednosti, vše si může snadno koupit i pronajmout.
Podle statistik organizace AV-Test bylo v posledních 2 letech vytvořeno více nového malwaru než za celé předešlé desetiletí. Opět z toho vyplývá, že bezpečnostní řešení, která rozpoznávají škodlivý kód na základě definic (signatur) ztrácejí svou účinnost a úroveň ochrany potřebnou v podnikové sféře poskytnou pouze moderní nástroje založené na behaviorální analýze.
Aktualizace nestačí
Zero day útoky a účinný phishing znamenají, že firmy jsou ohroženy, i když si pečlivě aktualizují svůj software. Velký význam v této souvislosti získávají filtry, které blokují škodlivé weby, podezřelé odkazy v sociálních sítích, rozpoznávají e-maily podle jejich obsahu a analyzují jejich přílohy.
Moderní bezpečnostní produkty se rovněž snaží škodlivé kódy nejprve spouštět ve virtuálních prostředích (sandboxech). Ani tyto metody ochrany ale nejsou 100% účinné. V poslední době čím dál víc malwaru při svém spuštění testuje, zda neběží ve virtuálním stroji nebo sandboxu, a v takovém případě se škodlivé chování často vůbec neaktivuje.
Za situace, kdy 100% bezpečnost těžko zajistit, je třeba volit priority. Některé části firemní sítě si zaslouží speciální ochranu, obsahují např. kritická data nebo zálohy z koncových zařízení, na která cílí stále populárnější ransomware. Vedle zabezpečení koncových bodů by podniky proto měly také zvážit nasazení speciálních řešení na úrovni serverů. Společnost Avast zde nabízí aplikace pro ochranu e-mailových i souborových serverů a speciálně pro MS Exchange, SharePoint a Small Business Server.
Renesance makrovirů
K dalším trendům kybernetické kriminality patří dnes makroviry. Jedná se o metodu starou a málem zapomenutou, která ale v současnosti zažívá renesanci. Na rozdíl od spustitelných souborů nebývají dokumenty s makry běžně blokovány na úrovni e-mailové brány. Uživatele je obvykle třeba přimět k povolení maker metodami sociálního inženýrství. V některých prostředích pak bývají makra ale povolena standardně – často jde o finanční či analytická oddělení podniku, která pro útočníky samozřejmě představují zvlášť zajímavý cíl.
Roman Veselý
Autor je bezpečnostním expertem společnosti ALWIL Trade, distributora produktů Avast
PŘEDPLATNÉ
ČLÁNKY DO MAILU