;

Bezpečnost v krizi důvěry: Každý den je zablokováno 4,5 miliardy e-mailů

29. 6. 2015
Doba čtení: 5 minut

Sdílet

 Autor: Fotolia © ktsdesign
Uživatelé věří systémům, aplikacím a lidem, kteří s nimi pracují. Právě s touto premisou operují kybernetičtí útočníci a tvůrci škodlivého softwaru. A vychází jim to.

Útočníkům se stále více daří působit nepozorovaně. Jejich potenciálně škodlivé aplikace často zůstávají po dlouhá období neviditelné. Na svou přítomnost upozorní obvykle až ve chvíli útoku, případně po něm. Hackeři pracují s důvěrou na mnoha úrovních. Uživatele vyzývají s pomocí sociálního inženýrství, správce a administrátory matou zdánlivě potřebnými aktualizacemi a doplňky.

Počítačové systémy v důsledku úspěšných útoků čelí dvojímu poklesu důvěry. Uživatelé preventivně podezírají poskytovatele aplikací a služeb z nízké míry zabezpečení. Administrátoři kontinuálně prohrávají bitvy s hackery a pochybují o efektivnosti bezpečnostních nástrojů, autorit a opatření.

4,5 miliardy zablokovaných mailů

Jen málokterá společnost na světě dokáže nabídnout tak masivní vhled do bezpečnostní problematiky a její reality. Cílem není glorifikovat firmu Cisco, ale současně nelze popřít, že právě její infrastruktura má z globálního pohledu asi největší zastoupení. Denně prověří služba Cisco Cloud Web Security na 16 miliard webových požadavků. Hostovaná e-mailová řešení firmy Cisco každý den obslouží 93 miliard zpráv. Denně společnost prověří na 200 tisíc IP adres, 400 tisíc vzorků malwaru, 33 milionů souborů a 28 milionů síťových spojení.
Co je výsledkem? 4,5 miliardy e-mailů je každý den zablokováno. Stejný postih čeká i 80 milionů webových požadavků. 6450 souborů každý den odchytí systémy FireAMP jako škodlivé. A detekováno je na 50 tisíc pokusů o průnik do podnikových sítí, rovněž denně.
Specialisté společnosti Cisco se shodují na tom, že trendy v podobě cloud computingu a mobility snižují vizibilitu a zvyšují bezpečnostní komplexnost. Organizace tyto technologie na jedné straně musejí akceptovat, protože jde o jejich konkurenceschopnost, na straně druhé podstatně více vytíží týmy odpovědné za ochranu infrastruktury a dat. Cloud i mobilita sice představují letitá témata, ale jejich masivní uplatnění v praxi je relativně nové. Útočníci pracují rychleji a špatně integrovaná řešení jim otevírají nové obzory a možnosti realizace.

Organizovaný zločin

Změně prostředí se přizpůsobila i hierarchie počítačové kriminality. Jak podotýká řada bezpečnostních firem, jde o regulerní byznys s velmi dobrou organizací. Hierarchie počítačové kriminality má podobu pyramidy. Její základnu tvoří netechnicky orientovaní oportunisté a uživatelé služeb Crimeware-as-a-Service.

Jde téměř bez výjimky o lidi a skupiny, kteří chtějí vydělat peníze, případně se zviditelnit. Ve středu pyramidy figurují prodejci nástrojů a provozovatelé útočné infrastruktury. Na špici najdeme technicky orientované inovátory. Jde o hlavní hráče, kteří určují trendy, a současně jsou nejhůře dohledatelní i postižitelní.
Moderní počítačoví zločinci mají před sebou jasně definované obchodní cíle. Velmi přesně ví, jaké informace hledají, a kterými způsoby se k nim dostanou. Jejich protivníci se povětšinou mohou spolehnout jen na oficiálně dostupné informace, jež povětšinou pocházejí ze sociálních sítí.

Užijeme-li termín sofistikovaný přístup, lze jej na kybernetické zločince aplikovat téměř bez obav. Své akce mají povětšinou důmyslně rozfázované. V první etapě vyšlou malware, jenž pouze zkoumá prostředí, nastavení infrastruktury, detekuje ochranné prvky a případné nedostatky. Ve chvíli samotného útoku mají tedy hackeři cílovou infrastrukturu velmi dobře zmapovanou. Hlavní vlnu škodlivého softwaru již dokáží přizpůsobit a nastavit tak, aby byla mise úspěšná.

Bezpečnostní manažeři a správci počítačových sítí by se podle specialistů společnosti Cisco měli alespoň pokusit myslet jako útočníci, vžít se do jejich situace. Hlubší pochopení metod a postupů kybernetického zločinu totiž může pomoci se samotnou ochranou. Obránci sami identifikují způsoby, jak posílit infrastrukturu. Měli by si ujasnit, jaká aktiva v jejich portfoliu představují atraktivní cíl, kde jsou uložena a jak chráněna. Pozor, nehovoříme o penetračních testech. Ty obvykle představují jednorázovou záležitost, která odhalí slabiny v okamžiku realizace.

Řetězec útoku sestává z pěti kroků. V prvním se útočník snaží prozkoumat cíl. Zajímá ho síťová infrastruktura, koncová zařízení, mobilní přístroje, virtuální stroje a bezpečnostní technologie. Ve druhém kroku vytvoří cílený malware, jenž je přizpůsoben cílovému prostředí. Následně dojde na fázi testu. Útočníci si ověří, zda škodlivý kód pracuje správně a dokáže obejít bezpečnostní nástroje. Čtvrtý krok mám podobu infiltrace do cílového prostředí. V poslední fázi dojde na zcizení dat, přerušení provozu nebo ke zničení cíle.

Eroze důvěry

bitcoin_skoleni

Malware distribuovaný z legitimních webových stránek, spam zdánlivě odesílaný známými společnostmi, mobilní aplikace proložené viry v oficiálních obchodech. Mnohý uživatel by mohl dojít k závěru, že věřit nemůže ničemu v kybernetickém světě. Podnikoví bezpečnostní manažeři zase bojují s přílišnými omezeními, jež bezpečnosti svědčí, ale omezují provoz, případně obtěžují zaměstnance nebo zákazníky. Při volbě vhodných technologií a dodavatelů je navíc doprovázejí pochybnosti, neboť každý dodavatel slibuje to samé – bezpečnost a důvěru, a přesto dochází k pochybením.
Objevují se samozřejmě projekty a aktivity, které návrat důvěry do kybernetického prostoru minimálně slibují. Jde například o pracovní rámec Common Criteria for Information Technology Security Evaluation. V jeho rámci vládní agentury a další účastníci definují požadavky na technologické produkty. Při jejich splnění je lze považovat za důvěryhodné. Členy dohody Common Criteria Recognition Arrangement se stalo již 26 zemí světa, včetně Spojených států.

Zdroj: Cisco Annual Security Report 2014